L’avertissement «External » d’Outlook
Empêcher les attaques de phishing à faire des dégâts s'avère coûteux pour les entreprises. Selon une étude d'Osterman Research, les activités liées au phishing mobilisent un tiers du temps total des équipes informatiques et de la sécurité et représentent pour les entreprises un coût pouvant aller de 2,84 à 85,33 USD HT/mail de phishing.
Or, la plupart de ces attaques proviennent de l’extérieur de votre organisation.
Pour aider vos utilisateurs à identifier les e-mails provenant de l’extérieur de votre organisation, il est désormais possible d’activer une option dans Microsoft Exchange Online qui permet d’ajouter aux e-mails provenant de l'extérieur l'avertissement suivant : « External ». Cet avertissement incite à la prudence et peut réduire le nombre d'utilisateurs qui ouvrent des e-mails de phishing.
(New) Version Windows Outlook :
Version mobile d’Outlook :
Version web d’Outlook :
Comment activer l’avertissement « external » ?
1 Connectez-vous à Exchange Online
2 Activez l’option “external” dans Outlook
3 Vérifiez la bonne activation en tapant cette commande :
4 Ajouter ou retirer des domaines de la "whitelist"
Vous pouvez "whitelister" des domaines pour que les e-mails émis au nom de ces domaines ne soient plus marqués comme « external » :
Vous pouvez également retirer des domaines de cette liste :
Vous pouvez vérifier l’état de cette whitelist en tapant cette commande :
Sachez que les domaines déjà acceptés et configurés dans O365 sont déjà « whitelistés ».
De ce fait, un e-mail usurpant exactement votre nom de domaine de messagerie, émis depuis l’extérieur de votre organisation (et donc possiblement émis par un pirate), ne sera pas marqué comme « external » par Outlook, ce qui peut représenter un risque :
Pour parer à cette situation et vous prémunir des risques d’usurpation exacte de votre domaine de messagerie, nous vous conseillons d’activer DMARC en mode Quarantine/Reject sur votre domaine de messagerie, et, de créer une règle de transport comme celle-ci dessous pour ajouter « Spoofed e-mail » dans le sujet des e-mails usurpés,
c'est-à-dire, des e-mails qui ratent leurs vérifications d’authenticité DMARC :
Cette règle de transport avertira vos utilisateurs que l’e-mail en présence rate ses vérifications d’authenticité DMARC et donc que son émetteur n’est peut-être pas la personne qui est affichée dans les champs « header from » :