Comment configurer l'authentification par e-mail avec Microsoft Office (SPF, DKIM, DMARC)

Authentification de messagerie Microsoft Office 365 - SPF, DKIM, DMARC

Nous constatons de plus en plus de problèmes de délivrabilité avec les clients ces jours-ci et trop d'entreprises n'ont pas de base Authentification par email mis en place avec leurs fournisseurs de services de messagerie et de marketing par e-mail. La plus récente était une société de commerce électronique avec laquelle nous travaillons et qui envoie ses messages d'assistance à partir de Microsoft Exchange Server.

Ceci est important car les e-mails d'assistance client du client utilisent cet échange de courrier, puis sont acheminés via leur système de ticket d'assistance. Il est donc essentiel que nous configurions l'authentification par e-mail afin que ces e-mails ne soient pas rejetés par inadvertance.

Lorsque vous configurez Microsoft Office pour la première fois sur votre domaine, Microsoft a une bonne intégration avec la plupart des serveurs d'enregistrement de domaine où ils configurent automatiquement tous les échanges de courrier nécessaires (MX) ainsi qu'un Sender Policy Framework (SPF) pour votre e-mail Office. Un enregistrement SPF avec Microsoft envoyant votre courrier électronique professionnel est un enregistrement de texte (TXT) dans votre bureau d'enregistrement de domaine qui ressemble à ceci :

v=spf1 include:spf.protection.outlook.com -all

SPF est une technologie plus ancienne, cependant, et l'authentification des e-mails a progressé avec l'authentification, la création de rapports et la conformité des messages basés sur le domaine (DMARC) où il est moins probable que votre domaine soit usurpé par un spammeur. DMARC fournit la méthodologie permettant de définir la rigueur avec laquelle vous souhaitez que les fournisseurs de services Internet (FAI) valident vos informations d'envoi et fournissent une clé publique (RSA) pour vérifier votre domaine auprès du fournisseur de services, dans ce cas, Microsoft.

Étapes pour configurer DKIM dans Office 365

Alors que de nombreux FAI aiment Espace de travail Google vous fournir 2 enregistrements TXT à configurer, Microsoft le fait un peu différemment. Ils vous fournissent souvent 2 enregistrements CNAME où toute authentification est renvoyée à leurs serveurs pour la recherche et l'authentification. Cette approche devient assez courante dans l'industrie… en particulier avec les fournisseurs de services de messagerie et les fournisseurs DMARC-as-a-service.

  1. Publiez deux enregistrements CNAME :

CNAME: selector1._domainkey 
VALUE: selector1-{your sending domain}._domainkey.{your office subdomain}.onmicrosoft.com
TTL: 3600

CNAME: selector2._domainkey
VALUE: selector2-{your sending domain}._domainkey.{your office subdomain}.onmicrosoft.com
TTL: 3600

Bien sûr, vous devez mettre à jour votre domaine d'envoi et votre sous-domaine de bureau respectivement dans l'exemple ci-dessus.

  1. Créer vos clés DKIM dans votre Défenseur Microsoft 365, le panneau d'administration de Microsoft permettant à leurs clients de gérer leur sécurité, leurs politiques et leurs autorisations. Vous trouverez cela dans Politiques et règles > Politiques de menace > Politiques anti-spam.

dkim clés microsoft 365 défenseur

  1. Une fois que vous avez créé vos clés DKIM, vous devez activer Signer les messages pour ce domaine avec des signatures DKIM. Une remarque à ce sujet est que cela peut prendre des heures voire des jours pour que cela soit validé puisque les enregistrements de domaine sont mis en cache.
  2. Une fois mis à jour, vous pouvez exécutez vos tests DKIM pour s'assurer qu'ils fonctionnent correctement.

Qu'en est-il de l'authentification par e-mail et des rapports de délivrabilité ?

Avec DKIM, vous configurez généralement une adresse e-mail de capture pour que tous les rapports vous soient envoyés sur la délivrabilité. Une autre fonctionnalité intéressante de la méthodologie de Microsoft ici est qu'ils enregistrent et regroupent tous vos rapports de délivrabilité - il n'est donc pas nécessaire de surveiller cette adresse e-mail !

Rapports d'usurpation d'e-mails Microsoft 365 Security