Base de connaissance - Procédure déploiement de e-securemail pour Microsoft 365

Cet article décrit la procédure de déploiement sécurisé dédiée à votre messagerie Microsoft 365.

Les paramètres s'appliqueront à l'aide de l'exécution d'un script PowerShell via un téléchargement à partir de votre console.

Remarque : cette installation s'applique uniquement pour un environnement de messagerie hors configuration hybride.

En toute simplicité suivez les 4 étapes ci-dessous.

⚠️ Pour garantir une bonne délivrabilité de vos mails et éviter toute perte, merci de suivre dans l'ordre chaque étape de la procédure. Les modifications des MX doivent impérativement être faites en dernier.

1. Définir le serveur Mail de destination :

Afin de livrer les messages filtrés vers la messagerie Microsoft 365, renseigner le serveur de messagerie du domaine concerné.

Par exemple, votredomaine-fr.-mail.protection.outlook.com

1. Connectez-vous à l’interface de gestion de domaine à l’adresse https://www.security-mail.net/

2. Saisissez votre identifiant et mot de passe.

3. Naviguez dans (Configuration => Paramètres du domaine => Livraison/SMTP) et mettez à jour le serveur mail de destination (de votre serveur sur Microsoft 365).

2. Modification des enregistrement DNS (SPF, DKIM et DMARC) :

Afin de rendre légitimes les envois via les serveurs e-securemail il faudra rajouter :

Ajout de l’enregistrement SPF

L'enregistrement SPF est une ligne que vous devez rajouter dans votre serveur DNS afin d'éviter l'usurpation d'identité de vos serveurs de messagerie. Cela permet de réduire les risques que votre domaine soit utilisé pour du SPAM.

Voici l'information que vous devez rajouter auprès de votre registrar (Gandi, 1&1, OVH …) afin de créer le champ TXT du domaine « votre-nom-domaine.com »

votre-nom-domaine.com est un nom de domaine que nous utiliserons à titre d'exemple.

Votre-nom-domaine.com 10800 IN TXT "v=spf1 include:includespf.security-mail.net include:includeshex.security-mail.net -all"

Ajout de l’enregistrement DKIM

Permet de prouver que le nom de domaine n'a pas été usurpé et que le message n'a pas été altéré durant sa transmission.

Pour générer votre clé DKIM, rendez-vous sur l'interface e-securemail dans la section Configuration > Paramètre du domaine > DKIM.

Renseignez la clé DKIM dans les enregistrements DNS de votre domaine.

Les informations à entrer sont les suivantes :

Nom : sec-sig-email._domainkey
TTL : 3600
Format : TXT

Ajout de l’enregistrement DMARC

L'enregistrement DMARC, qui permet de spécifier comment un domaine doit gérer les emails échouant aux vérifications SPF et DKIM, offrant ainsi une protection contre l'usurpation d'identité et le phishing en indiquant si les messages doivent être acceptés, mis en quarantaine ou rejetés.

Pour générer un enregistrement DMARC pour votre domaine, vous devez vous connecter dans votre console https://support.security-mail.net/et naviguer dans Rapports => DMARC.

Exemple d'enregistrement DMARC

Voici un exemple d'enregistrement DMARC pour le domaine example.com qui utilise la politique "none" et envoie des rapports à l'adresse e-mail dmarc@secuserve.com :

Nom : _dmarc
TTL : 3600
Format : TXT

v=DMARC1; p=none; rua=mailto:dmarc@secuserve.com

Si aucun enregistrement n'est publié vers nos passerelles, donc vers dmarc@secuserve.com, la notification ci-dessous sera affichée :

Ajouter un enregistrement DMARC à votre zone DNS

Une fois que vous avez généré votre enregistrement DMARC, vous devez l'ajouter à votre zone DNS.

Vous pouvez le faire en vous connectant au panneau de configuration de votre hébergeur et en accédant aux paramètres DNS de votre domaine.

Ces enregistrements peuvent être paramétrés après le déploiement, à condition que vous ne disposiez pas d'une entrée DKIM.

3. Déploiement automatisé :

"Assurez-vous que vous disposez des droits nécessaires pour effectuer des modifications au niveau du tenant du domaine concerné"

Cette étape est essentielle pour le déploiement des fonctionnalités avancées telles que 'remédiation' et 'mise en courrier indésirable dans Microsoft Outlook' ainsi que le relayage/filtrage du flux sortant.

Voir les avantages de cette étape.

⚠️L'exécution du script nécessite le module ExchangeOnlineManagement. Pour l'installer, saisissez la commande suivante dans une console Powershell : Install-Module ExchangeOnlineManagement -Scope CurrentUser

Accès au script : Connectez-vous à votre interface e-securemail https://www.security-mail.net/ sélectionner le domaine concerné (dans votre liste des domaines) puis rendez-vous dans Administration > Office 365 puis choisir automatique.

Choisissez le domaine à configurer.

Actif : Les spams seront envoyés directement dans le courrier indésirable de Microsoft 365 (Vous ne recevrez pas de rapport de quarantaine).

Inactif : Les spams seront envoyés dans la quarantaine de e-securemail (Vous recevrez des rapports de quarantaine.

Saisissez l'adresse mail du compte Admin Microsoft puis cliquez sur télécharger.

Exécutez le fichier avec PowerShell en Administrateur.

Une authentification Microsoft vous sera demandé, connectez-vous avec le compte Admin Microsoft.

Besoin d'aide ?

Revenez sur la page Administration > Office 365 puis cliquez sur confirmer.

4. Modification des enregistrements DNS (MX):

Une fois le serveur mail de destination mis à jour, configurer les enregistrement MX pour rediriger le trafic vers nos passerelles.

Cela permet de réduire la surface d'attaque vers votre messagerie Microsoft 365, modifier les enregistrements MX avec les informations suivantes.

Connaître les avantages ?

MX :

Priorité Serveur de messagerie

10 france.security-mail.net.

50 europe.security-mail.net.

Chez certain Registrar il est nécessaire d’ajouter un POINT après le .net pour clôturer l’enregistrement.