Procédure déploiement de e-securemail

    1. Définir le serveur mail de destination :

    Afin de livrer les messages filtrés (valide) vers la messagerie du domaine concerné, saisir le nom d'hôte ou l'ip de destintation. 

    Par exemple, votredomaine.fr ou 11.111.111.11 ou -mail.protection.outlook.com

    1. Connectez-vous à l’interface de gestion de domaine à l’adresse https://www.security-mail.net/

    2. Saisissez votre identifiant et mot de passe.

    3. Naviguez dans  (Configuration => Paramètres du domaine => Livraison/SMTP) et mettez à jour le serveur mail de destination de votre serveur.

    Cette capture illustre un serveur mail de destination hébergé chez Microsoft 365. 

    ⚠️ Pour garantir une configuration correcte et éviter toute perte de mail, il est essentiel de suivre la procédure dans l’ordre indiqué. Veuillez noter que la configuration des enregistrements MX doit impérativement être effectuée en dernier. 

    2. Modification des enregistrement DNS (SPF, DKIM et DMARC) :

    Afin de rendre légitimes les envois via les serveurs e-securemail il faudra rajouter :

    Ajout de l’enregistrement SPF

    L'enregistrement SPF est une ligne que vous devez rajouter dans votre serveur DNS afin d'éviter l'usurpation d'identité de vos serveurs de messagerie. Cela permet de réduire les risques que votre domaine soit utilisé pour du SPAM.

    Voici l'information que vous devez rajouter auprès de votre registrar (Gandi, 1&1, OVH …) afin de créer le champ TXT du domaine « votre-nom-domaine.com »

    votre-nom-domaine.com est un nom de domaine que nous utiliserons à titre d'exemple.

    Votre-nom-domaine.com 10800 IN TXT "v=spf1 include:includespf.security-mail.net -all"

    Ajout de l’enregistrement DKIM

     Permet de prouver que le nom de domaine n'a pas été usurpé et que le message n'a pas été altéré durant sa transmission.

    Pour générer votre clé DKIM, rendez-vous sur l'interface e-securemail dans la section Configuration > Paramètre du domaine > DKIM.

    Renseignez la clé DKIM dans les enregistrements DNS de votre domaine.

    Les informations à entrer sont les suivantes :

    • Nom : sec-sig-email._domainkey
    • TTL : 3600
    • Format : TXT

    Ajout de l’enregistrement DMARC

    L'enregistrement DMARC, qui permet de spécifier comment un domaine doit gérer les emails échouant aux vérifications SPF et DKIM, offrant ainsi une protection contre l'usurpation d'identité et le phishing en indiquant si les messages doivent être acceptés, mis en quarantaine ou rejetés.

    Pour générer un enregistrement DMARC pour votre domaine, vous devez vous connecter dans votre console https://support.security-mail.net/et naviguer dans Rapports => DMARC

    Exemple d'enregistrement DMARC

    Voici un exemple d'enregistrement DMARC pour le domaine example.com qui utilise la politique "none" et envoie des rapports à l'adresse e-mail dmarc@secuserve.com :

    v=DMARC1; p=none; rua=mailto:dmarc@secuserve.com

    Si aucun enregistrement n'est publié vers nos passerelles, donc vers dmarc@secuserve.com, la notification ci-dessous sera affichée :


    Ajouter un enregistrement DMARC à votre zone DNS

    Une fois que vous avez généré votre enregistrement DMARC, vous devez l'ajouter à votre zone DNS.

    Vous pouvez le faire en vous connectant au panneau de configuration de votre hébergeur et en accédant aux paramètres DNS de votre domaine.

    Ces enregistrements peuvent être paramétrés après le déploiement, à condition que vous ne disposiez pas d'une entrée DKIM. 


    Démonstration en vidéo 

     

    3. Modification des enregistrements DNS (MX):

    Une fois le serveur mail de destination mis à jour, configurer les enregistrement MX pour rediriger le trafic vers nos passerelles.

    Cela permet de réduire la surface d'attaque vers votre messagerie (Google, Microsoft 365, Exchange et autres...) . 


    Modifier les enregistrements MX avec les informations suivantes.


    MX :

    Priorité Serveur de messagerie
    10 france.security-mail.net.
    20 europe.security-mail.net.


    Chez certain Registrar il est nécessaire d’ajouter un POINT après le .net pour clôturer l’enregistrement.


    Pour les messagerie Google Workspace et Microsoft 365 : 

    Google : 

    Pour la messagerie Google Workspace il est nécessaire de vérifier la mise à jour MX est bien répliquée dans votre portail Google Admin

    Microsoft 365 : 

    Pour la messagerie Microsoft 365, vous pouvez suivre le déploiement manuel ou automatisé

    4. Limitation des connexions à votre serveur de messagerie :

    Afin d’être certain de ne recevoir que des messages sécurisés, il vous est recommandé de limiter l’arrivée des mails en provenance des seuls serveurs du Service de Filtrage Email. Cette opération permettra encore de mieux sécuriser votre serveur de messagerie en le rendant invisible du monde extérieur.

    Vous pouvez mettre en place cette limitation au niveau de votre coupe-feu d'entreprise par la mise en place de règles de sécurité autorisant seulement les serveurs du Service de Filtrage E-mail à correspondre avec votre serveur en protocole SMTP.


    Configuration du serveur de messagerie : 

    Paramétre votre serveur de messagerie pour diriger le trafic sortant vers la passerelle de filtrage/relayage. 

    Ceci peut impliquer la modification des règles de routage ou la configuration d'un connecteur spécifique pour le filtrage sortant.


    Voir la range IP à autoriser 


    Pour identifier l'hôte auquel vous devez vous connecter, veuillez vous référer à la documentation de mise en service que vous avez reçue lors de votre inscription. 

    Dans le cas contraire, vous pouvez également contacter le service d'assistance à l'adresse support@secuserve.com.

    ESM for Microsoft 365 version MX avec filtrage des messages sortants
    Étiquettes
    ESM PRO changement MX Information MX MX SPF DKIM Configuration DNS
    Publié