{"id":16222,"date":"2017-08-25T16:09:38","date_gmt":"2017-08-25T21:09:38","guid":{"rendered":"http:\/\/www.okiok.com\/?p=16222\/"},"modified":"2019-05-22T14:51:03","modified_gmt":"2019-05-22T19:51:03","slug":"protections-pour-les-courriels-entrantsinternes-lorganisation","status":"publish","type":"post","link":"https:\/\/www.okiok.com\/fr\/protections-pour-les-courriels-entrantsinternes-lorganisation\/","title":{"rendered":"Protections pour les courriels entrants\/internes \u00e0 l\u2019organisation"},"content":{"rendered":"

Solution \u00ab\u00a0On-Premise\u00a0\u00bb<\/strong><\/p>\n

Nous avons pr\u00e9c\u00e9demment explor\u00e9 certaines pistes de solution contre les pourriels sortants, il est maintenant temps, de voir ce qu’il est possible de faire pour se prot\u00e9ger \u00e0 l’interne.<\/p>\n

Pour un serveur courriel bas\u00e9 sur Exchange (2007 et plus r\u00e9cent), m\u00eame si celui-ci est configur\u00e9 pour bloquer les adresses invalides, au niveau de l’enveloppe SMTP, il est possible de personnifier un utilisateur du domaine en utilisant la section \u00ab\u00a0DATA\u00a0\u00bb du message.<\/p>\n

Le droit \u00e9tendu \u00ab\u00a0ms-Exch-SMTP-Accept-Authoritative-Domain-Sender\u00a0\u00bb indique au serveur \u00e0 partir de quels domaines il peut accepter d\u2019envoyer des courriels, ceux-ci \u00e9tant identifi\u00e9s dans la section \u00ab\u00a0Accepted Domains\u00a0\u00bb d\u2019Exchange.<\/p>\n

Lorsqu\u2019un domaine est \u00ab Authorative Domain Sender \u00bb, il est contre-indiqu\u00e9 de permettre aux utilisateurs externes de soumettre des courriels sans authentification en utilisant ce domaine dans l\u2019en-t\u00eate \u00ab\u00a0MAIL FROM\u00a0\u00bb ou dans l\u2019entr\u00e9e \u00ab\u00a0FROM\u00a0\u00bb de la section \u00ab\u00a0DATA\u00a0\u00bb du courriel.<\/p>\n

Pour imposer cette restriction, il est possible de retirer le droit de \u00ab\u00a0NT AUTHORITY\\Anonymous Logon\u00a0\u00bb sur le connecteur externe d\u2019Exchange (les utilisateurs l\u00e9gitimes, \u00e9tant authentifi\u00e9s, pourront toujours envoyer des courriels).<\/p>\n

Afin de valider l’envoi anonyme (non authentifi\u00e9) de l’externe sur votre serveur, vous pouvez lancer la commande suivante gr\u00e2ce \u00e0 l’environnement de ligne de commande Exchange Management Shell en rempla\u00e7ant \u00ab\u00a0Default internet facing connector\u00a0\u00bb par l’identifiant du connecteur acceptant les courriels d’Internet :<\/p>\n[PS] C:\\Windows\\system32>Get-ReceiveConnector \u00ab Default internet facing connector \u00bb | get-ADPermission -user \u00ab NT AUTHORITY\\Anonymous Logon \u00bb -ExtendedRights ms-Exch-SMTP-Accept-Authoritative-Domain-Sender<\/p>\n

Pour retirer la personnification en utilisant les droits \u00ab\u00a0Anonymous Logon\u00a0\u00bb, utilisez la commande suivante (toujours en rempla\u00e7ant \u00ab\u00a0Default internet facing connector\u00a0\u00bb par l’identifiant du connecteur acceptant les courriels d’Internet) :<\/p>\n[PS] C:\\Windows\\system32>Get-ReceiveConnector \u00ab Default internet facing connector \u00bb | remove-ADPermission -user \u00ab NT AUTHORITY\\Anonymous Logon \u00bb -ExtendedRights ms-Exch-SMTP-Accept-Authoritative-Domain-Sender<\/p>\n

Il est \u00e0 noter qu’il est important pour les administrateurs de serveurs de courriels Exchange de s’assurer qu’il n’y ait pas d\u2019utilisations l\u00e9gitimes de l’envoi de courriels utilisant le droit \u00ab\u00a0NT AUTHORITY\\Anonymous Logon\u00a0\u00bb sur le connecteur externe avant d’entreprendre les \u00e9tapes mentionn\u00e9es dans cet article.<\/p>\n

Si c’est le cas, la cr\u00e9ation d’un nouveau connecteur avec ce droit, mais limit\u00e9 pour recevoir uniquement des IP correspondantes, peut l\u00e9gitimer la mise en place de cette protection sur le connecteur par d\u00e9faut tout en permettant l\u2019envoi de courriel de mani\u00e8re anonyme pour les services sp\u00e9cifiques.<\/p>\n

Cette protection n’est malheureusement pas mise en place par d\u00e9faut lors de l\u2019installation de base des serveurs de courriels Exchange.<\/p>\n

La faible quantit\u00e9 de documentation disponible, l\u2019absence d’impact visible et le manque de sensibilisation \u00e0 ce probl\u00e8me font que son impl\u00e9mentation est peu r\u00e9pandue dans l’industrie.<\/p>\n

Cette simple manipulation permet cependant d’assurer un plus haut niveau d’int\u00e9grit\u00e9 pour vos communications \u00e9lectroniques.<\/p>\n

 <\/p>\n

Solution Office365<\/strong><\/p>\n

Office 365 ne propose pas de protection interne de \u00ab\u00a0spoofing\u00a0\u00bb pour les courriels re\u00e7us de votre propre domaine. Il est donc primordial de mettre en place certaines r\u00e8gles qui permettront de limiter grandement les tentatives d\u2019usurpation de noms internes.<\/p>\n

Nous allons cr\u00e9er entre 1 et 3 listes de distribution selon les besoins\u00a0:<\/p>\n

– 1 liste dynamique afin d\u2019inclure tous les utilisateurs avec une bo\u00eete aux lettres<\/p>\n

– 1 liste statique pour ajouter des exceptions aux r\u00e8gles **<\/p>\n

– 1 liste statique pour les bo\u00eetes aux lettres de ressources **<\/p>\n

** les deux listes de distribution statiques sont facultatives si vous n\u2019utilisez pas de bo\u00eetes aux lettres de ressources ou d\u2019exception (scanners, imprimantes)<\/p>\n

Note\u00a0: Les r\u00e8gles ci-dessous n\u2019incluent pas les listes de distribution facultatives, mais vous pouvez les ajouter en conditions dans les r\u00e8gles, si n\u00e9cessaire.<\/p>\n

Pour cr\u00e9er ces r\u00e8gles, vous devez acc\u00e9der au centre d\u2019Admin Exchange Admin Center Office 365 > Admin Center > Exchange > Mail Flow > r\u00e8gles<\/p>\n

R\u00e8gle #1\u00a0: si le message est re\u00e7u par un membre du groupe \u00ab\u00a0globalddl@domain.com\u00a0\u00bb et est re\u00e7u de \u00ab\u00a0\u00c0 l\u2019int\u00e9rieur de l\u2019organisation\u00a0\u00bb, Ajouter l\u2019en-t\u00eate de message \u00ab\u00a0X-Transport_Validation\u00a0\u00bb avec la valeur \u00ab\u00a0exp\u00e9diteur valid\u00e9\u00a0\u00bb.<\/p>\n

R\u00e8gle #2\u00a0: si le message est envoy\u00e9 \u00e0 un membre du groupe \u00ab\u00a0globalddl@domain.com\u00a0\u00bb et inclut ces mots dans l\u2019adresse de l\u2019exp\u00e9diteur\u00a0: \u00ab\u00a0domaine.com\u00a0\u00bb (votre nom de domaine), ajouter le sujet avec \u00ab\u00a0MESSAGE d\u2019avertissement USURP\u00c9E\u00a0:\u00a0\u00bb sauf si l\u2019en-t\u00eate \u00ab\u00a0X-Transport_Validation\u00a0\u00bb contient \u00ab\u00a0exp\u00e9diteur valid\u00e9\u00a0\u00bb.<\/p>\n

** La r\u00e8gle num\u00e9ro 2 peut \u00eatre adapt\u00e9e pour faire rebondir le message, le livrer avec l\u2019avertissement ou l\u2019envoyer \u00e0 une autre bo\u00eete aux lettres de surveillance.<\/p>\n

Note\u00a0: Il est recommand\u00e9 de modifier les exemples inclus de noms pour l\u2019en-t\u00eate et les valeurs afin d\u2019\u00e9viter une utilisation r\u00e9pandue des m\u00eames valeurs qui permettrait de contourner cette s\u00e9curit\u00e9.<\/p>\n

En fait, ces r\u00e8gles ajoutent une valeur sp\u00e9cifique \u00e0 l\u2019int\u00e9rieur de vos en-t\u00eates de message (exp\u00e9diteur confirm\u00e9) chaque fois que \u00ab\u00a0un vrai utilisateur\u00a0\u00bb envoie un courriel \u00e0 l\u2019int\u00e9rieur de l\u2019organisation. Chaque fois que vous recevez un message en provenance de votre propre domaine, il cherche cette valeur. Si cet en-t\u00eate n\u2019est pas pr\u00e9sent, il va ajouter \u00e0 l\u2019objet du message \u00ab\u00a0MESSAGE d\u2019avertissement USURP\u00c9E\u00a0\u00bb (ou ex\u00e9cuter l\u2019action de votre choix). Il est \u00e9galement possible, dans les options d\u2019Office 365, de rejeter le message en g\u00e9n\u00e9rant un rapport d\u2019incident qui sera envoy\u00e9 \u00e0 une bo\u00eete de courriel valide pour mod\u00e9ration.<\/p>\n","protected":false},"excerpt":{"rendered":"

Solution \u00ab\u00a0On-Premise\u00a0\u00bb Nous avons pr\u00e9c\u00e9demment explor\u00e9 certaines pistes de solution contre les pourriels sortants, il est maintenant temps, de voir ce qu’il est possible de faire pour se prot\u00e9ger \u00e0 l’interne. Pour un serveur courriel bas\u00e9 sur Exchange (2007 et plus r\u00e9cent), m\u00eame si celui-ci est configur\u00e9 pour bloquer les adresses invalides, au niveau de […]<\/p>\n","protected":false},"author":10,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[201],"tags":[],"class_list":["post-16222","post","type-post","status-publish","format-standard","hentry","category-blog-fr"],"yoast_head":"\nSe prot\u00e9gez des courriels entrants internes \u00e0 l'organisation | OKIOK<\/title>\n<meta name=\"description\" content=\"Les experts d'Okiok en s\u00e9curit\u00e9 de l'information explorent les solutions offertes aux organisations pour se prot\u00e9ger \u00e0 l'interne des courriels entrants.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Se prot\u00e9gez des courriels entrants internes \u00e0 l'organisation | OKIOK\" \/>\n<meta property=\"og:description\" content=\"Les experts d'Okiok en s\u00e9curit\u00e9 de l'information explorent les solutions offertes aux organisations pour se prot\u00e9ger \u00e0 l'interne des courriels entrants.\" \/>\n<meta property=\"og:site_name\" content=\"OKIOK - Securit\u00e9 dans un monde en changement\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/okiokdata\/\" \/>\n<meta property=\"article:published_time\" content=\"2017-08-25T21:09:38+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2019-05-22T19:51:03+00:00\" \/>\n<meta name=\"author\" content=\"Okiok\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:creator\" content=\"@OKIOKdata\" \/>\n<meta name=\"twitter:site\" content=\"@OKIOKdata\" \/>\n<meta name=\"twitter:label1\" content=\"\u00c9crit par\" \/>\n\t<meta name=\"twitter:data1\" content=\"Okiok\" \/>\n\t<meta name=\"twitter:label2\" content=\"Dur\u00e9e de lecture estim\u00e9e\" \/>\n\t<meta name=\"twitter:data2\" content=\"5 minutes\" \/>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Se prot\u00e9gez des courriels entrants internes \u00e0 l'organisation | OKIOK","description":"Les experts d'Okiok en s\u00e9curit\u00e9 de l'information explorent les solutions offertes aux organisations pour se prot\u00e9ger \u00e0 l'interne des courriels entrants.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"og_locale":"fr_FR","og_type":"article","og_title":"Se prot\u00e9gez des courriels entrants internes \u00e0 l'organisation | OKIOK","og_description":"Les experts d'Okiok en s\u00e9curit\u00e9 de l'information explorent les solutions offertes aux organisations pour se prot\u00e9ger \u00e0 l'interne des courriels entrants.","og_site_name":"OKIOK - Securit\u00e9 dans un monde en changement","article_publisher":"https:\/\/www.facebook.com\/okiokdata\/","article_published_time":"2017-08-25T21:09:38+00:00","article_modified_time":"2019-05-22T19:51:03+00:00","author":"Okiok","twitter_card":"summary_large_image","twitter_creator":"@OKIOKdata","twitter_site":"@OKIOKdata","twitter_misc":{"\u00c9crit par":"Okiok","Dur\u00e9e de lecture estim\u00e9e":"5 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.okiok.com\/fr\/protections-pour-les-courriels-entrantsinternes-lorganisation\/#article","isPartOf":{"@id":"https:\/\/www.okiok.com\/fr\/protections-pour-les-courriels-entrantsinternes-lorganisation\/"},"author":{"name":"Okiok","@id":"https:\/\/www.okiok.com\/fr\/#\/schema\/person\/5d92c7d8760791d758c6a6fe9379a5c5"},"headline":"Protections pour les courriels entrants\/internes \u00e0 l\u2019organisation","datePublished":"2017-08-25T21:09:38+00:00","dateModified":"2019-05-22T19:51:03+00:00","mainEntityOfPage":{"@id":"https:\/\/www.okiok.com\/fr\/protections-pour-les-courriels-entrantsinternes-lorganisation\/"},"wordCount":937,"commentCount":0,"publisher":{"@id":"https:\/\/www.okiok.com\/fr\/#organization"},"articleSection":["Blog"],"inLanguage":"fr-FR","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/www.okiok.com\/fr\/protections-pour-les-courriels-entrantsinternes-lorganisation\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/www.okiok.com\/fr\/protections-pour-les-courriels-entrantsinternes-lorganisation\/","url":"https:\/\/www.okiok.com\/fr\/protections-pour-les-courriels-entrantsinternes-lorganisation\/","name":"Se prot\u00e9gez des courriels entrants internes \u00e0 l'organisation | OKIOK","isPartOf":{"@id":"https:\/\/www.okiok.com\/fr\/#website"},"datePublished":"2017-08-25T21:09:38+00:00","dateModified":"2019-05-22T19:51:03+00:00","description":"Les experts d'Okiok en s\u00e9curit\u00e9 de l'information explorent les solutions offertes aux organisations pour se prot\u00e9ger \u00e0 l'interne des courriels entrants.","breadcrumb":{"@id":"https:\/\/www.okiok.com\/fr\/protections-pour-les-courriels-entrantsinternes-lorganisation\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.okiok.com\/fr\/protections-pour-les-courriels-entrantsinternes-lorganisation\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/www.okiok.com\/fr\/protections-pour-les-courriels-entrantsinternes-lorganisation\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/prod.okiok.com\/fr\/"},{"@type":"ListItem","position":2,"name":"Protections pour les courriels entrants\/internes \u00e0 l\u2019organisation"}]},{"@type":"WebSite","@id":"https:\/\/www.okiok.com\/fr\/#website","url":"https:\/\/www.okiok.com\/fr\/","name":"OKIOK - Securit\u00e9 dans un monde en changement","description":"","publisher":{"@id":"https:\/\/www.okiok.com\/fr\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.okiok.com\/fr\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"},{"@type":"Organization","@id":"https:\/\/www.okiok.com\/fr\/#organization","name":"Okiok","url":"https:\/\/www.okiok.com\/fr\/","logo":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/www.okiok.com\/fr\/#\/schema\/logo\/image\/","url":"https:\/\/www.okiok.com\/wp-content\/uploads\/2017\/06\/logo-okiok-2.png","contentUrl":"https:\/\/www.okiok.com\/wp-content\/uploads\/2017\/06\/logo-okiok-2.png","width":300,"height":369,"caption":"Okiok"},"image":{"@id":"https:\/\/www.okiok.com\/fr\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/okiokdata\/","https:\/\/x.com\/OKIOKdata","https:\/\/www.linkedin.com\/company-beta\/119436\/"]},{"@type":"Person","@id":"https:\/\/www.okiok.com\/fr\/#\/schema\/person\/5d92c7d8760791d758c6a6fe9379a5c5","name":"Okiok","image":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/www.okiok.com\/fr\/#\/schema\/person\/image\/","url":"https:\/\/www.okiok.com\/wp-content\/litespeed\/avatar\/c2ff4924e830f919116b336e837f514b.jpg?ver=1775176560","contentUrl":"https:\/\/www.okiok.com\/wp-content\/litespeed\/avatar\/c2ff4924e830f919116b336e837f514b.jpg?ver=1775176560","caption":"Okiok"}}]}},"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.okiok.com\/fr\/wp-json\/wp\/v2\/posts\/16222","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.okiok.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.okiok.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.okiok.com\/fr\/wp-json\/wp\/v2\/users\/10"}],"replies":[{"embeddable":true,"href":"https:\/\/www.okiok.com\/fr\/wp-json\/wp\/v2\/comments?post=16222"}],"version-history":[{"count":1,"href":"https:\/\/www.okiok.com\/fr\/wp-json\/wp\/v2\/posts\/16222\/revisions"}],"predecessor-version":[{"id":16223,"href":"https:\/\/www.okiok.com\/fr\/wp-json\/wp\/v2\/posts\/16222\/revisions\/16223"}],"wp:attachment":[{"href":"https:\/\/www.okiok.com\/fr\/wp-json\/wp\/v2\/media?parent=16222"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.okiok.com\/fr\/wp-json\/wp\/v2\/categories?post=16222"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.okiok.com\/fr\/wp-json\/wp\/v2\/tags?post=16222"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}