Régler la protection anti-hameçonnage

• S’applique à:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Bien que Microsoft 365 soit fourni avec une variété de fonctionnalités anti-hameçonnage activées par défaut, il est possible que certains messages d’hameçonnage puissent toujours être transmis aux boîtes aux lettres dans votre organization. Cet article décrit ce que vous pouvez faire pour découvrir pourquoi un message d’hameçonnage a été transmis et ce que vous pouvez faire pour ajuster les paramètres anti-hameçonnage dans votre organization Microsoft 365 sans aggraver accidentellement les choses.

Tout d’abord, gérez tous les comptes compromis et veillez à empêcher tout autre message d’hameçonnage de passer

Si le compte d’un destinataire a été compromis à la suite du message d’hameçonnage, suivez les étapes décrites dans Réponse à un compte de messagerie compromis dans Microsoft 365.

Si votre abonnement inclut Microsoft Defender pour Office 365, vous pouvez utiliser Office 365 Threat Intelligence pour identifier les autres utilisateurs qui ont également reçu le message d’hameçonnage. Vous disposez d’options supplémentaires pour bloquer les messages d’hameçonnage :

• Liens fiables dans Microsoft Defender pour Office 365
• Pièces jointes sécurisées dans Defender pour Office 365
• Stratégies anti-hameçonnage dans Microsoft Defender pour Office 365. Vous pouvez temporairement augmenter les seuils d’hameçonnage avancé dans la stratégie de Standard à Agressif, Plus agressif ou Plus agressif.

Vérifiez que ces stratégies fonctionnent. La protection des liens fiables et des pièces jointes fiables est activée par défaut, grâce à la protection intégrée dans les stratégies de sécurité prédéfinies. L’anti-hameçonnage a une stratégie par défaut qui s’applique à tous les destinataires où la protection contre l’usurpation d’identité est activée par défaut. La protection contre l’emprunt d’identité n’est pas activée dans la stratégie et doit donc être configurée. Pour obtenir des instructions, consultez Configurer des stratégies anti-hameçonnage dans Microsoft Defender pour Office 365.

Signaler le message d’hameçonnage à Microsoft

La création de rapports de messages d’hameçonnage est utile pour paramétrer les filtres utilisés pour protéger tous les clients dans Microsoft 365. Pour obtenir des instructions, consultez Utiliser la page Soumissions pour envoyer des courriers indésirables suspects, des hameçonnages, des URL, des e-mails légitimes bloqués et des pièces jointes à Microsoft.

Inspecter les en-têtes de message

Vous pouvez examiner les en-têtes du message de hameçonnage pour voir s’il y a quelque chose que vous pouvez faire vous-même pour empêcher l’envoi d’autres messages de hameçonnage. En d’autres termes, l’examen des en-têtes de messages peut vous aider à identifier les paramètres de votre organization qui étaient responsables de l’autorisation des messages de hameçonnage.

Plus précisément, vous devez case activée le champ d’en-tête X-Forefront-Antispam-Report dans les en-têtes de message pour obtenir des indications de filtrage ignoré pour le courrier indésirable ou l’hameçonnage dans la valeur SFV (Spam Filtering Verdict). Les messages qui ignorent le filtrage ont une entrée de SCL:-1, ce qui signifie que l’un de vos paramètres a autorisé ce message à passer en remplaçant les verdicts de courrier indésirable ou de hameçonnage qui ont été déterminés par le service. Pour plus d’informations sur l’obtention des en-têtes de message et la liste complète de tous les en-têtes de message anti-courrier indésirable et anti-hameçonnage disponibles, consultez En-têtes de message anti-courrier indésirable dans Microsoft 365.

Conseil

Vous pouvez copier et coller le contenu de l'en-tête d’un message dans l'analyseur d'en-têtes de message. Cet outil aide à analyser les en-têtes et à les afficher dans un format plus lisible.

Vous pouvez également utiliser l’analyseur de configuration pour comparer vos stratégies de sécurité EOP et Defender for Office 365 aux recommandations Standard et Strict.

Bonnes pratiques pour rester protégé

• Chaque mois, exécutez le degré de sécurisation pour évaluer les paramètres de sécurité de votre organization.

• Pour les messages qui se retrouvent en quarantaine par erreur (faux positifs) ou pour les messages autorisés (faux négatifs), nous vous recommandons de rechercher ces messages dans détections de menaces Explorer et en temps réel. Vous pouvez effectuer une recherche par expéditeur, destinataire ou ID de message. Après avoir localisé le message, accédez aux détails en cliquant sur l’objet. Pour un message mis en quarantaine, recherchez la « technologie de détection » afin que vous puissiez utiliser la méthode appropriée pour remplacer. Pour un message autorisé, recherchez la stratégie qui a autorisé le message.

• Email provenant d’expéditeurs usurpés (l’adresse d’origine du message ne correspond pas à la source du message) est classé comme hameçonnage dans Defender for Office 365. Parfois, l’usurpation d’identité est sans gravité, et parfois les utilisateurs ne veulent pas que les messages provenant d’un expéditeur usurpé spécifique soient mis en quarantaine. Pour réduire l’impact sur les utilisateurs, passez régulièrement en revue les informations d’intelligence contre l’usurpation d’identité, les entrées des expéditeurs usurpés dans la liste verte/bloquée des locataires et le rapport détections d’usurpation d’identité. Après avoir examiné les expéditeurs usurpés autorisés et bloqués et avoir fait les remplacements nécessaires, vous pouvez configurer en toute confiance l’intelligence contre l’usurpation d’identité dans les stratégies anti-hameçonnage pour mettre en quarantaine les messages suspects au lieu de les remettre au dossier Email de courrier indésirable de l’utilisateur.

• Dans Defender for Office 365, vous pouvez également utiliser la page Informations d’emprunt d’identité à l’adresse pour https://security.microsoft.com/impersonationinsight suivre les détections d’emprunt d’identité d’utilisateur ou d’emprunt d’identité de domaine. Pour plus d’informations, consultez Informations sur l’emprunt d’identité dans Defender for Office 365.

• Examinez régulièrement le rapport État de la protection contre les menaces pour les détections d’hameçonnage.

• Certains clients autorisent par inadvertance les messages d’hameçonnage en plaçant leurs propres domaines dans la liste Autoriser l’expéditeur ou Autoriser les domaines dans les stratégies anti-courrier indésirable. Bien que cette configuration autorise certains messages légitimes, elle autorise également les messages malveillants qui seraient normalement bloqués par les filtres de courrier indésirable et/ou d’hameçonnage. Au lieu d’autoriser le domaine, vous devez corriger le problème sous-jacent.

  La meilleure façon de traiter les messages légitimes bloqués par Microsoft 365 (faux positifs) qui impliquent des expéditeurs dans votre domaine consiste à configurer entièrement et complètement les enregistrements SPF, DKIM et DMARC dans DNS pour tous vos domaines de messagerie :

  • Vérifiez que votre enregistrement SPF identifie toutes les sources d’e-mail pour les expéditeurs de votre domaine (n’oubliez pas les services tiers !).

  • Utilisez la défaillance matérielle (-all) pour vous assurer que les expéditeurs non autorisés sont rejetés par les systèmes de messagerie configurés pour le faire. Vous pouvez utiliser l’insight d’usurpation d’identité pour identifier les expéditeurs qui utilisent votre domaine afin de pouvoir inclure des expéditeurs tiers autorisés dans votre enregistrement SPF.

  Pour obtenir des instructions de configuration, consultez :

  • Configurer SPF pour empêcher l’usurpation d’identité
  • Utilisation de DKIM pour valider les messages sortants envoyés à partir de votre domaine personnalisé
  • Utiliser DMARC pour valider les messages électroniques

• Dans la mesure du possible, nous vous recommandons de remettre des e-mails pour votre domaine directement à Microsoft 365. En d’autres termes, pointez l’enregistrement MX de votre domaine Microsoft 365 vers Microsoft 365. Exchange Online Protection (EOP) est en mesure de fournir la meilleure protection à vos utilisateurs cloud lorsque leurs messages sont remis directement à Microsoft 365. Si vous devez utiliser un système d’hygiène de messagerie tiers devant EOP, utilisez filtrage amélioré pour les connecteurs. Pour obtenir des instructions, consultez filtrage amélioré pour les connecteurs dans Exchange Online.

• Les utilisateurs doivent utiliser le bouton Rapport intégré dans Outlook sur le web ou déployer les compléments Message de rapport Microsoft ou Signaler l’hameçonnage dans votre organization. Configurez les paramètres signalés par l’utilisateur pour envoyer des messages signalés par l’utilisateur à une boîte aux lettres de création de rapports, à Microsoft ou aux deux. Les messages signalés par l’utilisateur sont ensuite disponibles pour les administrateurs sous l’onglet Utilisateur signalé dans la page Soumissions à l’adresse https://security.microsoft.com/reportsubmission?viewid=user. Administration pouvez signaler les messages signalés par l’utilisateur ou tout autre message à Microsoft, comme décrit dans Utiliser la page Soumissions pour envoyer des courriers indésirables suspects, des hameçonnages, des URL, des e-mails légitimes bloqués et des pièces jointes à Microsoft. Il est important que les utilisateurs ou les administrateurs signalent des faux positifs ou des faux négatifs à Microsoft, car ils permettent d’entraîner nos systèmes de détection.

• L’authentification multifacteur (MFA) est un bon moyen d’empêcher les comptes compromis. Vous devez fortement envisager d’activer l’authentification multifacteur pour tous vos utilisateurs. Pour une approche progressive, commencez par activer l’authentification multifacteur pour vos utilisateurs les plus sensibles (administrateurs, cadres, etc.) avant d’activer l’authentification multifacteur pour tout le monde. Pour consulter des instructions, voir Configurer Multi-factor Authentification (MFA).

• Les règles de transfert à des destinataires externes sont souvent utilisées par les attaquants pour extraire des données. Utilisez les informations sur les règles de transfert de boîte aux lettres dans Microsoft Secure Score pour rechercher et même empêcher les règles de transfert aux destinataires externes. Pour plus d’informations, consultez Atténuation des règles de transfert externe du client avec le degré de sécurisation.

  Utilisez le rapport des messages envoyés automatiquement pour afficher des détails spécifiques sur les e-mails transférés.