Armer vos utilisateurs contre les phishings ciblés usurpant les adresses e-mail de vos employés/clients/fournisseurs/etc.

Microsoft 365

L'e-mail reste le passage d'entrée favori des cybercriminels, pour diffuser des malwares comme pour récupérer des données d'identification par le biais du phishing. Les attaques par "phishing" peuvent prendre plusieurs formes. Les plus redoutables sont celles qui usurpent exactement les adresses e-mail de vos collaborateurs, clients et fournisseurs :

spoofed email from a friend

Si vous ou vos contacts externes n’ont pas encore configuré DMARC en mode « reject », il est relativement facile pour des cybercriminels de vous joindre en usurpant des adresses e-mail, à l'aide d'outils comme celui-ci :

broken image

Nous profitons de cet article pour vous montrer une configuration de type « règle de transport » ou « règle de flux de messagerie », dans Exchange Online, permettant d’avertir vos utilisateurs quand ils reçoivent un e-mail qui rate la vérification d’authenticité DMARC, autrement nommé, le contrôle de conformité DMARC.

Qu'est-ce qu'un contrôle de conformité DMARC ?

Un e-mail émis de manière non authentifié par les protocoles d’authentification des e-mails SPF et DKIM échoue de facto au contrôle de conformité DMARC. Cet e-mail peut alors être qualifié de suspect par les personnes le recevant puisque, techniquement, rien n’indique qu'il a été émis par un système approuvé par l’organisation propriétaire du nom de domaine de l’adresse e-mail usurpée. En voici un exemple ici:

broken image

L’e-mail ci-dessous a été émis au nom de « myFrenchStartup contact@myfrenchstartup.com », par mailchimp.

Or, cet e-mail n’a pas été authentifié par le domaine « myfrenchstartup.com » avec les protocoles SPF & DKIM.

DMARC=fail
  • L'e-mail passe sa vérification SPF avec le domaine mail114.suw231.rsgsv.net et non pas le domaine myfrenchstartup.com
  • L'e-mail passe sa vérification DKIM avec le domaine mailchimpapp.net et non pas le domaine myfrenchstartup.com

Il rate donc le contrôle de conformité DMARC.

Le domaine myfrenchstartup.com n’indique pas à ses destinataires quelle politique appliquer ( quarantine ou reject) lorsque ceux-ci reçoivent un e-mail échouant DMARC de la part de myfrenchstartup.com.

broken image

Même si rien ne prouve que cet e-mail a bien été envoyé par myfrenchstartup.com, il peut quand même être accepté dans la boite principale de vos utilisateurs.

En ajoutant un message d'avertissement aux e-mails que vous recevez et qui échouent leurs vérifications de conformité DMARC, la règle de transport d'Exchange Online ci-dessous permet de pallier au manquement de vos contacts à protéger leurs domaines avec le protocole DMARC.

Ici, grâce à cette règle de transport, nous ajoutons le préfix « Spoofed e-mail » dans le sujet des e-mails reçus échouant DMARC :

transport rule office 365

Et voici le résultat:

broken image

Ce marqueur visible permettra d’indiquer à vos utilisateurs qu’ils doivent faire attention avant d’ouvrir cet e-mail car il a été émis par une personne qui n’est peut-être pas la personne indiquée dans l’adresse de l’émetteur.