Afin d’assurer la délivrabilité des e-mails simulant une campagne de phishing, il est essentiel d’effectuer certains réglages. Bien que nos e-mails soient techniquement conformes, ce qui signifie que nous détenons réellement les noms de domaine utilisés et que les DNS (SPF, DKIM et DMARC) sont correctement configurés, les filtres anti-spam/phishing examinent divers paramètres de l’e-mail, y compris les mots-clés. Cela peut entraîner une classification en tant que SPAM, une mise en quarantaine ou même un blocage des messages.
Il existe plusieurs paramètres possibles pour Microsoft 365, et nous vous encourageons à tester les solutions proposées ci-dessous une par une, en suivant l’ordre chronologique :
💡Astuce : Consultez directement depuis l’application BlueSecure toutes les informations nécessaires à la mise en liste blanche, afin d’assurer la bonne réception des communications et le bon fonctionnement de la plateforme: https://app.bluesecure.fr/cybersecurity/campaigns/whitelisting
Méthode n°1 : Configurer des simulations d’hameçonnage tierces dans la stratégie de livraison avancée
- Dans le portail Microsoft 365 Defender à l’adresse https://security.microsoft.com, accédez à « Email & collaboration » > « Stratégies & Règles » > »Stratégie de menace » > « Remise avancée » (dans la section Règles). Pour accéder directement à la page Remise avancée , utilisez https://security.microsoft.com/advanceddelivery.
- Dans la page Remise avancée , sélectionnez l’onglet Simulation de hameçonnage , puis effectuez l’une des étapes suivantes :
- Cliquez sur Modifier.
- Si aucune simulation d’hameçonnage n’est configurée, cliquez sur Ajouter.
- Dans le menu volant Modifier la simulation de hameçonnage tierce qui s’ouvre, configurez les paramètres suivants :
- Domaine : développez ce paramètre et entrez au moins un domaine d’adresse de messagerie (par exemple, office355mail.tech) en cliquant dans la zone, en entrant une valeur, puis en appuyant sur Entrée ou en sélectionnant la valeur affichée sous la zone. Répétez cette étape autant de fois que nécessaire. Vous pouvez ajouter jusqu’à 20 entrées.
- Adresse IP d’envoi : développez ce paramètre et entrez les adresses IP Bluesecure
- URL de simulation à autoriser : développez ce paramètre et entrez des URL spécifiques qui font partie de votre campagne de simulation de hameçonnage en cliquant dans la zone, en entrant une valeur sans le “https://” devant et sans “/”, par exemple *secured.authantication.link ou bien .authantication.link
- Puis en appuyant sur Entrée ou en sélectionnant la valeur affichée sous la zone.
- Vous pouvez ajouter jusqu’à 30 entrées. Pour connaître le format de syntaxe d’URL, consultez Syntaxe d’URL pour la liste verte/bloquée du locataire.
- Lorsque vous avez terminé, cliquez sur Ajouter, puis sur Fermer.
Méthode n°2 :Ajouter les domaines et expéditeurs autorisés dans la stratégie anti-courrier indésirable
- Allez sur le portail de sécurité M365 – https://security.microsoft.com/
- Ouvrez Email & Collaboration dans la barre latérale de gauche et accédez à Stratégies et règles > Stratégies de menace > Stratégies > Logiciel anti-courrier indésirable
- Cliquez sur Stratégie entrante anti-courrier indésirable, puis faites défiler la fenêtre latérale jusqu’en bas de la fenêtre et cliquez sur Modifier les expéditeurs et les domaines autorisés et bloqués.
- Cela ouvrira l’écran Modifier les expéditeurs et domaines autorisés et bloqués. Cliquez sur le lien Autoriser les domaines.
- Cliquez sur Ajouter des domaines dans la section Gérer les domaines autorisés.
- Saisissez chacun de nos domaines que vous souhaitez autoriser – la liste complète des domaines pris en charge se trouve ici
- Lorsque vous avez fini d’ajouter des domaines, cliquez sur Ajouter des domaines en bas de la fenêtre d’information.
- Enfin, cliquez sur Terminé puis sur Enregistrer pour activer les nouveaux paramètres.
- Toujours dans la fenêtre Modifier les expéditeurs et domaines autorisés et bloqués, cliquez sur Gérer X expéditeurs, dans la partie “Autorisé”.
- Cliquez sur “Ajouter des expéditeurs” renseignez l’adresse expéditeur de votre campagne, ici [email protected] puis cliquez sur le bouton bleu “Ajouter des expéditeurs” puis le bouton “OK”
Méthode n°3 :Ajouter l’adresse IP autorisée dans la stratégie anti-courrier indésirable
Pour une approche plus robuste, vous pouvez configurer la règle pour inclure les adresses IP spécifiques des serveurs d’envoi de Bluesecure. Cela garantit que tous les emails provenant de ces adresses IP ignorent le filtrage de courrier indésirable.
- Allez sur le portail de sécurité M365 – https://security.microsoft.com/
- Ouvrez Email & Collaboration dans la barre latérale de gauche et accédez à Stratégies et règles > Stratégies de menace > Stratégies > Logiciel anti-courrier indésirable
- Cliquez sur Stratégie de filtre de connexion, puis sur Modifier la stratégie de filtre de connexion
- Ajoutez les adresses IP au champ Toujours autoriser les messages provenant des adresses IP ou des plages d’adresses suivantes (Always allow messages from the following IP addresses or address range)
- Enfin, cliquez sur Enregistrer pour activer les nouveaux paramètres.
Méthode n°4 : Empêcher les emails d’être mis en quarantaine
Pourquoi cette configuration est importante ?
Les emails de campagne de sensibilisation doivent atteindre les utilisateurs finaux sans être interceptés par les filtres de courrier indésirable. En ajustant les paramètres de filtrage, vous assurez une meilleure réception et une plus grande efficacité de vos campagnes.
Remarque : Cette configuration empêchera vos emails d’être bloqués dans la quarantaine de Microsoft 365, mais n’empêchera pas nécessairement ces emails d’atterrir dans les dossiers de spam ou de courrier indésirable des destinataires.
- Accéder au Centre d’Administration Exchange
- Allez sur admin.exchange.microsoft.com et connectez-vous avec vos identifiants administratifs.
- Naviguer vers les Règles de Flux de Messagerie
- Dans le panneau de gauche, sélectionnez Flux de courrier puis Règles.
- Ajouter une nouvelle règle :
- Cliquez sur Ajouter une règle, puis sélectionnez Créer une règle.
- Définir les conditions de la règle :
- Nom de la Règle : Entrez un nom significatif tel que « Ignorer le filtrage pour Bluesecure ».
- Appliquer cette règle si :
- L’expéditeur est : Sélectionnez « le domaine est » puis renseignez le nom domaine utilisé dans l’adresse expéditeur de BlueSecure.
-
-
- Les adresses IP : Ajoutez les adresses IP des serveurs d’envoi de Bluesecure.
-
- 5. Ajouter des exceptions (si nécessaire)
- Si vous avez des exceptions spécifiques, ajoutez-les en cliquant sur Ajouter une exception.
6. Enregistrer et activer la règle- Passez en revue les paramètres de la règle et cliquez sur suivant, appliquer et terminer.
7. Enregistrer et activer la règle
Passez en revue les paramètres de la règle et cliquez sur suivant, appliquer et terminer.
⚠️ Avez-vous attendu 24h que ces paramétrages soient bien propagés avant de lancer vos tests ?
L’attente de 24 heures pour la propagation des changements depuis un environnement Microsoft est une étape nécessaire pour garantir que les modifications apportées aux configurations et paramètres soient uniformément appliquées dans l’ensemble de l’infrastructure. Microsoft utilise des serveurs de mise à jour et des mécanismes de cache pour synchroniser les modifications, ce qui peut prendre jusqu’à 24 heures. Cette période d’attente doit être prise en compte dans la planification pour assurer le bon fonctionnement de l’environnement
Comment forcer l’affichage des images dans les e-mails sur Microsoft?
Procédures PowerShell pour ajouter des expéditeurs de confiance
Microsoft 365 ou Exchange on-premise
Voici le script PowerShell qui permet d’ajouter en expéditeur de confiance l’adresse d’envoi. Bien que cette procédure ne soit pas obligatoire pour la réception de vos emails, elle a pour avantage de garantir l’affichage des images. Cette technique permet d’afficher d’office les images dès la première réception de l’e-mail de simulation de phishing.
Pour cela, il faut utiliser Exchange Online PowerShell.
Pour plus d’informations sur sont utilisation cliquez ici : https://learn.microsoft.com/fr-fr/defender-office-365/configure-junk-email-settings-on-exo-mailboxes?view=o365-worldwide#use-exchange-online-powershell-to-configure-the-safelist-collection-on-a-mailbox
Afficher des images dans les e-mails en masse pour tous les utilisateurs
Voici le script PowerShell qui permet d’ajouter en expéditeur de confiance l’adresse d’envoi. Bien que cette procédure ne soit pas obligatoire pour la réception de vos emails, elle a pour avantage de garantir l’affichage des images. Cette technique permet d’afficher d’office les images dès la première réception de l’e-mail de simulation de phishing.
Get-Mailbox -ResultSize unlimited -RecipientTypeDetails UserMailbox | Set-MailboxJunkEmailConfiguration -TrustedSendersAndDomains @{Add="[email protected]"} -ErrorAction SilentlyContinuePour le retour arrière il faudra remplacer « Add » par « Remove ».
Vous trouverez davantage d’informations dans la documentation Microsoft suivante : https://docs.microsoft.com/fr-fr/microsoft-365/security/office-365-security/configure-junk-email-settings-on-exo-mailboxes?view=o365-worldwide
Afficher des images dans les e-mails pour une seule adresse e-mail expéditeur
Pour autoriser l’affichage des images dans les e-mails pour une seule adresse e-mail et pour revenir en arrière, utilisez les commandes ci-dessous. Remplacez [email protected] par l’e-mail de l’utilisateur et [email protected] par l’adresse d’expédition de votre campagne de simulation de phishing.
Pour autoriser l’affichage des images :
Set-MailboxJunkEmailConfiguration -Identity [email protected] -TrustedSendersAndDomains @{Add="[email protected]"}
Pour révoquer l’autorisation et revenir à la configuration précédente :
Set-MailboxJunkEmailConfiguration -Identity [email protected] -TrustedSendersAndDomains @{Remove="[email protected]"}
Pour 2 adresses :
Pour autoriser l’affichage des images dans les e-mails pour deux adresses e-mail et pour revenir en arrière, utilisez les commandes ci-dessous. Remplacez [email protected] par l’e-mail de l’utilisateur et [email protected] et [email protected] par les adresses d’expédition de vos campagnes de simulation de phishing.
Pour autoriser l’affichage des images pour ces deux adresses :
Set-MailboxJunkEmailConfiguration -Identity [email protected] -TrustedSendersAndDomains @{Add="[email protected]","[email protected]"}
Pour révoquer l’autorisation pour ces deux adresses :
Set-MailboxJunkEmailConfiguration -Identity [email protected] -TrustedSendersAndDomains @{Remove="[email protected]","[email protected]"}
Ces commandes vous permettront de gérer l’affichage des images dans les e-mails pour les adresses e-mail spécifiées.
💡 Avez-vous attendu 24h que ces paramétrages soient bien propagés avant de lancer vos tests ?
L’attente de 24 heures pour la propagation des changements depuis un environnement Microsoft est une étape nécessaire pour garantir que les modifications apportées aux configurations et paramètres soient uniformément appliquées dans l’ensemble de l’infrastructure. Microsoft utilise des serveurs de mise à jour et des mécanismes de cache pour synchroniser les modifications, ce qui peut prendre jusqu’à 24 heures. Cette période d’attente doit être prise en compte dans la planification pour assurer le bon fonctionnement de l’environnement.
Ajout d’une règle de liste blanche basée sur un en-tête personnalisé dans Microsoft 365 / Exchange
Cette procédure permet d’ajouter une règle pour que les e-mails contenant un en-tête personnalisé (X-BSC) soient autorisés à passer les filtres sans être considérés comme du spam ou du phishing.
Étapes pour Microsoft 365 (via le Centre d’administration Exchange)
1- Connectez-vous à l’interface d’administration Exchange :
https://admin.exchange.microsoft.com/ Dans le menu de gauche, accédez à Flux de messagerie (Mail flow) > Règles (Rules).
2- Cliquez sur + Ajouter une règle (Add a rule) > Créer une nouvelle règle (Create a new rule).
3- Donnez un nom à la règle, par exemple :Autoriser emails avec en-tête X-BSC
4- Cliquez sur Plus d’options… (More options…) en bas de la boîte de dialogue.
5- Dans Appliquer cette règle si… (Apply this rule if…) :
- Choisissez L’en-tête du message (A message header).
- Dans le champ « nom de l’en-tête », entrez :
X-BSC - Dans le champ « inclut ces mots », entrez :
true(ou toute autre valeur utilisée côté expéditeur).
6- Dans Effectuer les opérations suivantes (Do the following) :
- Choisissez Modifier la probabilité de courrier indésirable (Set the spam confidence level).
- Puis Définir sur Bypass filter -1 (Set the SCL to -1) → cela marque le message comme légitime (jamais spam).
7- Cliquez sur Suivant, configurez les exceptions si nécessaire (optionnel).
8- Cliquez sur Enregistrer.
Cette méthode suppose que l’expéditeur ajoute un en-tête personnalisé X-BSC: true à ses e-mails. Cette règle évite que Microsoft filtre ces e-mails comme spam.
Pensez à tester l’envoi d’un email avec cet en-tête depuis un environnement sécurisé pour vérifier que la règle fonctionne.
Vérification et dépannage
- Tester la règle : Envoyez des emails de test pour vérifier que la règle fonctionne correctement.
- Surveiller les Logs : Utilisez les journaux de flux de messagerie pour surveiller et ajuster la règle si nécessaire.
💡 Avez-vous attendu 24h que ces paramétrages soient bien propagés avant de lancer vos tests ?
L’attente de 24 heures pour la propagation des changements depuis un environnement Microsoft est une étape nécessaire pour garantir que les modifications apportées aux configurations et paramètres soient uniformément appliquées dans l’ensemble de l’infrastructure. Microsoft utilise des serveurs de mise à jour et des mécanismes de cache pour synchroniser les modifications, ce qui peut prendre jusqu’à 24 heures. Cette période d’attente doit être prise en compte dans la planification pour assurer le bon fonctionnement de l’environnement.