Skip to main content
Guide des sources : Microsoft 365

Guide des sources : Microsoft 365

- 21 septembre 2022
Conseils techniques

Ce guide des sources décrit le processus de configuration de Microsoft 365 pour l'envoi de messages conformes à la norme DMARC. Vous devrez configurer cette source, ainsi que d'autres qui envoient des messages en votre nom, avant de faire évoluer vos politiques DMARC vers un état plus restrictif (par exemple, mise en quarantaine et/ou rejet).

Pour mettre cette source en conformité avec DMARC, vous devez avoir accès au compte administratif de Microsoft 365 et à la console de gestion DNS du domaine.

De temps en temps, ces instructions changent avec très peu de préavis. Veuillez toujours vous référer à la documentation publiée par Microsoft 365 pour obtenir les informations les plus complètes et les plus précises.

Informations générales
Microsoft 365 fournit un service de messagerie électronique basé sur le cloud, ainsi qu'une suite d'outils et d'utilitaires. Il est probablement géré par le service informatique et utilisé par tous les départements de votre organisation. Microsoft 365 prend en charge la conformité DMARC grâce à l'alignement de SPF et DKIM.

SPF
Pour configurer le SPF, ajoutez l'entrée suivante à l'enregistrement SPF de votre domaine d'envoi :

Pour Exchange online (commun), ajoutez : include:spf.protection.outlook.com

Pour Exchange Online dédié uniquement (non commun), ajoutez :

  • ip4:23.103.224.0/19
  • ip4:206.191.224.0/19
  • ip4:40.103.0.0/16
  • include:spf.protection.outlook.com

Pour Microsoft 365 Allemagne, Microsoft Cloud Allemagne uniquement (non commun), ajoutez : include:spf.protection.outlook.de

Référence : Instructions SPF de Microsoft 365

DKIM
Il existe deux façons d'activer DKIM pour Microsoft 365 : depuis l'interface utilisateur (IU) ou à l'aide de PowerShell.

Pour configurer DKIM :

  • Déterminer le domaine d'envoi pour activer la signature DKIM (exemple.com)
  • Récupérer les enregistrements DNS (CNAME) à publier
  • Publier les enregistrements CNAME dans la zone DNS du domaine d'envoi
  • Confirmer que les enregistrements DNS publiés se sont propagés
  • Activer la signature DKIM (depuis l'interface utilisateur ou via Powershell)

Méthode 1 : Microsoft UI
Étape 1: Cliquez sur le domaine que vous souhaitez configurer DKIM sur la page DKIM (https://security.microsoft.com/dkimv2 ou https://protection.office.com/dkimv2).

Étape 2: Faites glisser le commutateur sur Enable. Vous verrez une fenêtre pop-up indiquant que vous devez ajouter des enregistrements CNAME.

Étape 3: Copier les CNAMEs montrés dans la fenêtre pop-up

Étape 4: publiez les enregistrements CNAME copiés auprès de votre fournisseur de services DNS. Sur le site Web de votre fournisseur de services DNS, ajoutez les enregistrements CNAME pour DKIM que vous souhaitez activer. Assurez-vous que les champs sont définis sur les valeurs suivantes pour chacun d'entre eux :

Type d'enregistrement: CNAME (Alias)
Hôte: Collez les valeurs que vous avez copiées depuis le popup DKIM.
Pointer l'adresse: Copiez la valeur de la popup DKIM.
TTL: 3600 (ou la valeur par défaut de votre fournisseur)

Étape 5: Retournez à la page DKIM pour activer DKIM.

Si vous voyez toujours l'erreur "Client Error CNAME record doesn't exist", cela peut être dû à la synchronisation avec le serveur DNS, qui peut prendre quelques secondes à quelques heures pour se résoudre. Si le problème persiste, répétez les étapes à nouveau et vérifiez s'il y a des erreurs de copier/coller, comme des espaces ou des tabulations supplémentaires.

Méthode 2 : PowerShell

Étape 1: Se connecter à Exchange Online PowerShell

Étape 2: Exécutez les commandes suivantes dans Exchange Online PowerShell pour créer les enregistrements de sélection :

New-DkimSigningConfig -DomainName <domain> -Enabled $false
Get-DkimSigningConfig -Identity <domain> | Format-List Selector1CNAME, Selector2CNAME

Si vous avez provisionné des domaines personnalisés en plus du domaine initial dans Microsoft 365, vous devez publier deux enregistrements CNAME pour chaque domaine supplémentaire. Par exemple, si vous avez deux domaines, vous devez publier deux enregistrements CNAME supplémentaires, et ainsi de suite.

Étape 3: Utilisez le format suivant pour les enregistrements CNAME :

Host name: selector1._domainkey
Points to address or value: selector1-<customDomainIdentifier>._domainkey.<initialDomain>
TTL: 3600

Host name: selector2._domainkey
Points to address or value: selector2-<customDomainIdentifier>._domainkey.<initialDomain>
TTL: 3600

Exemple :

Nom d'hôte : selector1._domainkey
Pointe vers l'adresse ou la valeur : selector1-example-com._domainkey.example.onmicrosoft.com
TTL : 3600

Nom d'hôte : selector2._domainkey
Pointe vers l'adresse ou la valeur : selector2-example-com._domainkey.example.onmicrosoft.com
TTL : 3600

Pour Microsoft 365, les sélecteurs seront toujours "selector1" ou "selector2".

customDomainIdentifier est le même que celui de l'enregistrement MX personnalisé pour votre domaine personnalisé qui apparaît avant mail.protection.outlook.com. Par exemple, dans l'enregistrement MX suivant pour le domaine contoso.com, le customDomainIdentifier est contoso-com :

contoso.com. 3600 IN MX 5 contoso-com.mail.protection.outlook.com

initialDomain est le domaine que vous avez utilisé lorsque vous vous êtes inscrit à Microsoft 365. Les domaines initiaux se terminent toujours par onmicrosoft.com.

Remarque: Il est important de créer le deuxième enregistrement, mais il se peut qu'un seul des sélecteurs soit disponible au moment de la création. En fait, le deuxième sélecteur peut pointer vers une adresse qui n'a pas encore été créée. Nous vous recommandons tout de même de créer le deuxième enregistrement CNAME, afin que la rotation des clés soit transparente.

Étape 4: une fois que vous avez publié les enregistrements CNAME dans le DNS, vous êtes prêt à activer la signature DKIM via Microsoft 365. Vous pouvez le faire via le centre d'administration de Microsoft 365 ou en utilisant PowerShell.

Utilisez la syntaxe PowerShell suivante :

Set-DkimSigningConfig -Identity <Domain> -Enabled $true

Exemple :

Set-DkimSigningConfig -Identity example.com -Enabled $true

Référence : Instructions DKIM de Microsoft 365

Si vous avez un compte dmarcian, cela peut prendre quelques jours pour voir ces changements reflétés dans la plateforme dmarcian. Vous pouvez regarder dans le Visualiseur de détails (montré ci-dessous) pour vérifier l'alignement de SPF et DKIM requis pour DMARC.

capture d'écran de la visionneuse de détails dmarcian pour les guides sources

Nous sommes là pour vous aider
Avec une équipe d'experts en sécurité du courrier électronique et une mission visant à rendre le courrier électronique et l'Internet plus fiables grâce à la sécurité des domaines, dmarcian est là pour aider à évaluer le catalogue de domaines d'une organisation et à mettre en œuvre et gérer DMARC à long terme.

Commencez avec notre essai gratuit de 14 jours

Vous voulez continuer la conversation ? Rendez-vous sur le forum dmarcien.

Microsoftsources

Postes connexes