Adresse
8 rue de la Garenne, 41000 Blois
Email
contact@computasys.com
Téléphone
(+33) 9 72 57 08 46
ComputaSYS

Sécurisez les e-mails avec Exchange Online Protection

Ameliorez la securite de votre messagerie Microsoft 365 avec Exchange Online Protection
  • 30 avril 2025
  • ComputaSYS
  • Blog
  • 0


I. Présentation

Avec Microsoft 365, comment limiter la taille des pièces jointes ? Comment bloquer certaines extensions pour les pièces jointes ? Comment bloquer les e-mails suspects ? Voilà plusieurs questions légitimes que vous pourriez vous poser.

Dans cet article, nous allons mettre en lumière une fonctionnalité intégrée au tenant Microsoft 365 et qui va permettre d’ajouter une couche de sécurité à votre messagerie en créant des règles de base. Dans cet exemple, nous allons créer trois règles qui auront pour objectif de :

Bloquer certaines extensions présentes dans le contenu du message.

Limiter les pièces jointes à une taille maximale de 1 Mo.

Bloquer les extensions suspectes.

II. Qu’est-ce qu’Exchange Online Protection ?

Exchange Online Protection (EOP) est un service Cloud conçu pour protéger votre messagerie Microsoft 365 (Office 365) contre le spam, les programmes malveillants, l’hameçonnage (phishing) et d’autres menaces. EOP est inclus gratuitement avec les boîtes aux lettres Exchange Online et ne nécessite donc ni installation ni frais supplémentaires.

La protection EOP est activée par défaut grâce aux stratégies suivantes :

Protection contre les programmes malveillants

Protection anti-spam

Protection contre l’hameçonnage (usurpation d’identité)

Ces stratégies par défaut s’appliquent automatiquement à tous les destinataires et ne peuvent pas être désactivées. Cependant, elles peuvent être remplacées par des stratégies de sécurité prédéfinies ou des stratégies personnalisées que vous créez.

Malheureusement, les règles par défaut, bien connues des attaquants, peuvent être contournées ou s’avérer insuffisantes. C’est ce que nous allons analyser dans cet article.

Un petit rappel du fonctionnement EOP :

Lorsqu’un message est reçu, il passe par les filtres et règles d’EOP afin de vérifier qu’il est sain. S’il est jugé suspect, il sera soit rejeté, soit placé en quarantaine. En revanche, s’il valide toutes les étapes de filtrage, il sera ensuite remis dans la boîte de réception de l’utilisateur.

Pour plus de détails sur le fonctionnement d’EOP, vous pouvez consulter la documentation officielle de Microsoft :

III. Création des règles EOP

À partir du portail d’administration de Microsoft 365, nous allons maintenant nous rendre dans la partie EOP afin de configurer les règles de type “Mail Flow”.

Pour rappel, ces règles ont une particularité par rapport aux autres règles EOP intégrées et activées par défaut dans Microsoft Defender. En effet :

Les règles EOP par défaut reposent sur une analyse par IA et une détection automatique des menaces.

En revanche, les règles Mail Flow sont statiques et permettent de compléter ou de personnaliser la protection en ajoutant vos propres règles adaptées à votre environnement.

Voici un tableau récapitulatif :

Fonctionnalité

Règles Mail Flow (EAC)Filtres EOP & Defender

Basé sur des règles manuelles

Oui

Non

Protection avancée (IA, Machine Learning)

Non

Oui

Bloquer des extensions spécifiques

Oui

Oui (via anti-malware)

Détection automatique du spam et phishing

Non

Oui

Protection contre les fichiers malveillants

Via extensionsVia sandbox et signatures AV

Bloquer les liens malveillants

Non

Oui (Safe Links)

Quarantaine des e-mails suspects

Non (Rejet direct)

Oui

Application sur des destinataires spécifiques

Oui

Oui

Analyser l’ensemble des e-mails en temps réel

Non

Oui

A. Limiter la taille des pièces jointes avec Exchange Online

Commençons par nous intéresser à la limitation de la taille des pièces jointes. Depuis le Centre d’administration Microsoft 365, ouvrez votre navigateur et cliquez sur “Exchange”.

Une fois la console ouverte, vous accédez au menu d’administration Exchange. Ce qui va nous intéresser ici, c’est la section Mail Flow située sur la gauche (dans le menu latéral).

Développez cette section et sélectionnez “Rules”.

Nous allons maintenant créer nos règles de base. Cliquez sur “Add a rule”.

Sélectionnez l’option “Create a new rule”.

Donnez un nom à votre règle.

Dans la partie “Apply”, sélectionnez dans la liste déroulante “Any attachment” pour l’appliquer sur toutes les pièces jointes. Vous avez remarqué qu’on a un large choix, à vous de l’explorer par la suite pour créer d’autres règles une fois que vous avez compris le principe. La logique est assez simple.

Dans la barre à côté, sélectionnez la valeur “Size is greater thant or equal to”.

Puis, dans la fenêtre qui s’ouvre, entrez la valeur maximale à ne pas dépasser, dans notre cas, nous avons opté pour 5 Mo en KB.

Dans la partie “Do the following”, l’équivalent de l’action à effectuer, sélectionnez “Bloquer le message”, puis choisissez l’option “Reject the message and include an explanation” pour afficher un message à l’utilisateur.

Entrez ensuite le message à afficher.

Dans la partie “Except if”, nous pouvons créer une exception pour autoriser les pièces jointes de grande taille en provenance d’un certain domaine, ainsi que celles envoyées en interne.

Dans notre cas, nous avons autorisé les domaines “it-connect.fr” et “infolab.fr”.

Cliquez ensuite sur “Next”.

Dans la fenêtre suivante “Set rule settings”, il est possible :

D’appliquer la règle immédiatement ou de la mettre en mode audit (“Test with policy tips”),

De l’activer ou la désactiver à partir d’une certaine date.

Le niveau de Severity reflète le niveau de menace. Dans notre cas, nous avons opté pour Medium.

Enfin, cliquez sur Suivant.

Nous arrivons maintenant sur la page de Résumé.

Si tout est bon, cliquez sur “Finish” et attendez que la règle apparaisse.

Notre règle s’est bien créée !

Notre règle est maintenant créée, mais elle est désactivée par défaut. Cliquez sur “Disabled” pour l’activer.

Puis “Enable” pour activer la règle.

Si tout se passe bien, notre règle sera activée avec succès.

B. Bloquer des extensions dans Exchange Online

Nous allons maintenant procéder de la même manière pour créer deux autres règles. Commençons par créer la règle qui va permettre de bloquer les e-mails contenant une pièce jointe avec une extension suspecte.

Créez une nouvelle règle et attribuez-lui un nom.

Dans la section Apply, sélectionnez “File extensions includes the word”.

Ajoutez les extensions que vous souhaitez bloquer, comme zip, rar, bmp, ps1…

Dans la partie “Do the following”, choisissez “Forward the message for approval” afin d’envoyer l’email à un groupe d’administrateurs ou d’utilisateurs pour validation.

Ci-dessous la liste des extensions.

Dans la partie “Settings”, laissez la configuration par défaut.

Nous sommes dans un environnement de test, donc le niveau de sévérité ne bloque pas le fonctionnement, car nous sommes en mode approbation.

Ajoutez un numéro de priorité en cas de conflit, puis validez votre règle.

C. Bloquer les e-mails avec certains mots clés

Créez de la même façon une troisième règle qui bloquera les e-mails contenant des mots-clés comme “bitcoin”, “dropbox”, ou d’autres termes sensibles.

Cela permet d’empêcher le contournement des restrictions en envoyant des liens contenant des fichiers à télécharger.

Dans la section “Apply this rule if”, sélectionnez “The subject or body” comme indiqué dans la capture.

Saisissez vos mots-clés un par ligne.

Choisissez “Bloquer le message” avec un message d’explication.

Ajoutez une autre condition pour afficher un code d’erreur lors du blocage.

Une fois terminé, validez votre règle.

Comme vous l’avez remarqué, nous avons un large choix d’actions possibles :

Bloquer le message

Le rediriger vers une sandbox

Modifier ses propriétés

Et bien d’autres options…

L’interface est vraiment intuitive, ce qui permet d’adapter facilement les règles selon les besoins.

D. Aperçu des règles

Une fois validées, nous retrouvons nos trois règles activées, avec une priorité modifiable à tout moment. Il ne nous reste plus qu’à les tester.

Certains ajustements peuvent être nécessaires en fonction des résultats des tests.

Vous pouvez également créer une règle de liste blanche qui n’autorise que certains domaines ou adresses IP. Cette approche est très stricte et peut présenter des risques, notamment en bloquant involontairement des e-mails légitimes.

À utiliser avec modération et en testant soigneusement avant une mise en production.

Voici un exemple de configuration n’autorisant que vos domaines de confiance. Ceci nécessite une gestion manuelle de la liste blanche statique.

Comme nous pouvons le voir, une fois que nous avons compris le fonctionnement des règles, nous pouvons facilement bloquer ou autoriser ce qui nous arrange.

Cela permet d’adapter finement la sécurité de la messagerie en fonction des besoins de l’organisation.

IV. Tester le fonctionnement

La phase de test n’est pas compliquée, car elle implique simplement d’envoyer différents e-mails.

Je vais envoyer :

Un e-mail contenant une extension bloquée (.bmp).

Un fichier de grande taille dépassant la limite définie.

Un e-mail contenant un mot-clé sensible, comme Bitcoin.

Regardons les résultats des tets.

Le premier e-mail contenant le mot Bitcoin et un lien a bien été rejeté conformément à la règle mise en place.

Un second e-mail externe contenant une extension bloquée (.bmp) a été envoyé à l’administrateur pour approbation. En cliquant sur la petite flèche à côté du message, nous pouvons l’explorer et examiner les détails avant de prendre une décision.

Une fois le message ouvert, nous pouvons l’approuver ou pas.

Une fois approuvé, l’utilisateur recevra le message.

Enfin, évoquons le troisième test. Les fichiers dépassant la taille autorisée seront rejetés, et l’expéditeur recevra un message d’alerte l’informant que son e-mail n’a pas été délivré.

V. Conclusion

Grâce à Exchange Online Protection (EOP), nous avons pu mettre en place des règles personnalisées pour renforcer la sécurité de notre messagerie.

Filtrage efficace des pièces jointes en fonction de leur taille et de leur extension.

Blocage des e-mails contenant des mots-clés sensibles pour limiter les tentatives de contournement.

Mise en place d’un système d’approbation pour les messages nécessitant une validation.

Comme nous l’avons vu, EOP offre de nombreuses possibilités pour sécuriser et adapter le filtrage selon les besoins. Il est essentiel de tester et ajuster régulièrement ces règles afin de garantir un bon équilibre entre sécurité et fluidité des échanges.

Dans un prochain article, nous nous intéresserons aux règles par défaut et automatiques générées par l’IA, ainsi qu’à Microsoft Defender for Office (MDO) pour renforcer encore davantage la sécurité des e-mails.

Consultant et formateur expert Windows Server et Cloud Azure. Chercheur en Cybersécurité.



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *