Guide facile pour ajouter DMARC à Office 365

La plate-forme Microsoft Office 365 prend en charge DMARC (authentification, génération de rapports et conformité des messages basée sur un domaine). Ce protocole empêche les spammeurs d’utiliser illégalement votre domaine et d’envoyer des courriers électroniques avec une adresse «De» qui fait en sorte que les courriers électroniques semblent provenir de quelqu'un de votre domaine. L’impact des spammeurs qui utilisent illégalement votre domaine pour envoyer du spam ou des courriers indésirables a une incidence négative sur la qualité et la réputation de votre domaine. Le guide complet de Microsoft est répertorié ici .

SPF enregistrement

Le point de départ est d'examiner les paramètres SPF et DKIM en tant qu'activité initiale. Nous recommandons également le guide de Microsoft - Configurer SPF dans Office 365 pour aider à prévenir l'usurpation d'identité. Comment votre enregistrement SPF est formaté selon que Office 365 soit ou non le seul service:

Si vous utilisez uniquement Office 365:
v = spf1 mx comprend: spf.protection.outlook.com? all

Si vous utilisez également d'autres services, ajoutez `include: spf.protection.outlook.com` à votre SPF existant pour qu'il ressemble à ceci:
v = spf1 comprend: spf.serviceA.com comprend: spf.protection.outlook.com? all

Une fois que vous avez l'assurance que l'enregistrement SPF est correctement implémenté, changez ?tout à -tout.

Entrant vs sortant

Dans l'article ci-dessus, Microsoft établit une distinction entre les courriers électroniques entrants et sortants. Du point de vue de DMARC, l’aspect essentiel du protocole est d’identifier les faux courriels légitimes, de sorte que la destination n’est pas aussi préoccupante. Cependant, les termes sont pertinents pour la mise en œuvre de DMARC, car ils reflètent les différentes responsabilités de gestion et de support organisationnelles, à savoir: courrier électronique entrant géré et pris en charge par les opérations informatiques et courrier sortant par le marketing, le service clientèle et d'autres équipes fonctionnelles. La mise en œuvre de DMARC pour le courrier électronique entrant et sortant suit les mêmes directives de gestion des enregistrements SPF et DKIM; Cependant, le courrier électronique sortant nécessite une réflexion sur les sous-domaines, la délégation complète ou CNAME ou manuelle et la gestion de base des fournisseurs tiers.

Passerelles de messagerie sécurisées tierces

Les abonnés Office 365 semblent disposer d'un service tiers de filtrage du nuage de messagerie en tant que couche entrante ajoutée, bien plus que les abonnés de Gmail - c'est-à-dire: ProofPoint, Cisco, Forcepoint (Websense), Symantec, Mimecast, etc.

Celles-ci sont classées comme des passerelles sécurisées de messagerie traditionnelles qui nécessitent de modifier l'enregistrement MX pour acheminer les messages électroniques vers leur infrastructure. Bien qu'Office 365 se trouve derrière ces passerelles tierces, il continuera à valider les enregistrements SPF, DKIM et DMARC. Cela introduit un certain nombre de problèmes à la fois entrants et sortants qui doivent être résolus. Par exemple, pour les appels entrants, la validation d'Office 365 SPF échouera, car la source apparaîtra comme passerelle de messagerie tierce (généralement résolue avec une règle de liste blanche). Pour les communications sortantes, la signature DKIM devra être configurée sur la passerelle de messagerie tierce, car les signatures DKIM basées sur Office 365 échoueront si la passerelle de messagerie tierce ajoute des renonciations à tous les courriels sortants.

Étape 1

Créez votre enregistrement DMARC et ajoutez-le à un sous-domaine de votre domaine au format _dmarc.votre domaine.com (rappelez-vous le trait de soulignement à l'avant)

Il existe plusieurs options pour créer l’enregistrement:

  • Utiliser dmarcian Assistant d'enregistrement DMARC pour générer l'enregistrement - une expertise technique de base est requise et tous les courriels sont envoyés à votre boîte de réception désignée.
  • Inscrivez-vous pour un essai sur dmarcian - très peu d'expertise technique est requise - un enregistrement DMARC est créé et des instructions sont données sur la manière de le placer dans le DNS de votre domaine. Les rapports seront envoyés au tableau de bord dmarcian pour une interprétation plus facile.

Étape 2

Utilisez un tableau de bord DMARC pour interpréter les rapports XML. Une fois que vous êtes certain que toutes vos ressources de messagerie sont comptabilisées, vous pouvez limiter la stratégie DMARC de manière à ce que seuls des expéditeurs légitimes utilisent votre domaine.

Si vous vous êtes inscrit à dmarcian vous êtes déjà sur votre chemin. Les rapports doivent apparaître quelques jours après la création de l'enregistrement DMARC dans le DNS de votre domaine.