Passer au contenu principal

Microsoft 365 - Détails whitelistling

Cet article vous aidera à configurer votre environnement microsoft 365 pour autoriser nos campagnes de phishing

Alex avatar
Écrit par Alex
Mis à jour il y a plus d’une semaine

Vous trouverez ci-dessous les deux méthodes pour effectuer le whitelisting de nos e-mails : par IP ou par en-tête. Nous recommandons de commencer par le whitelisting par IP ; en cas de difficulté, utilisez le whitelisting par en-tête.

Whitelisting par IP

Etape 1 : Microsoft Defender - Stratégie de filtre de connexion

Se rendre sur Stratégie anti-courrier indésirable


Lien vers anti-courrier indésirable: https://security.microsoft.com/antispam

Allez dans Microsoft Defender en cliquant sur Sécurité dans le centre d’administration.

Dans Microsoft Defender cliquez dans le menu sur Stratégies et règles.

Cliquez sur Stratégie de menace.


Cliquez sur Logiciel anti-courrier indésirable.

Mettre à jour la stratégie de filtre de connexion

Cliquez sur Stratégie de filtre de connexion.

Cliquez sur Modifier la stratégie de filtre de connexion.

Ajoutez les adresses IP Kamaé une par une dans le champ Always allow messages from... :

Puis cliquez sur Enregistrer.

Première étape terminée 🎉

Etape 2 : Microsoft Defender - Activer les simulations d'hameçonnage

Se rendre sur Remise avancée.

Modifier les simulations d'hameçonnage de tiers


Cliquez sur Modifier

Ajoutez les domaines Kamaé.

Ajoutez les adresses IP Kamaé.

Ne rien mettre dans le champ URL de simulation à autoriser.

Cliquez sur Enregistrer.

Bravo deuxième étape franchie ! 👏

Etape 3 - Microsoft Exchange - Skip Safe Links Processing

Se rendre sur Règles de transport.

Ajouter une nouvelle règle de transport

Cliquez sur Ajouter une règle.

Puis sur Modifier des messages.

Nommez la règle, ex. "Kamaé".

Appliquez la règle quand l'expéditeur a une adresse IP se situant dans la plage d'IP de Kamaé.

Définissez un en-tête de message :

  • Clé : X-MS-Exchange-Organization-SkipSafeLinksProcessing

  • Valeur : 1

Cliquez sur Suivant.

Choisissez une gravité Elevé.

Cliquez sur Suivant et vérifiez les informations.

⚠️ Cliquer sur la règle puis activer la règle.

C'est fini pour Microsoft 365 🙌

Whitelisting par en-tête

⚠️ Utilisez cette méthode uniquement lorsque le whitelisting par IP ne peut pas fonctionner car un anti-spam est placé en amont de votre M365 : l'IP perçue par M365 n'est pas celle de Kamaé mais celle de votre anti-spam.

En préambule, vous aurez besoin d’un identifiant unique pour activer le whitelisting.

Pour l’obtenir, veuillez contacter notre support via le Launcher Intercom, accessible en bas à droite de notre application.

Cet identifiant sera ensuite transmis dans l’en-tête de nos e-mails de phishing sous la forme : 

X-KAMAE-ID: <id>

Étape 1 : Outrepasser la protection anti-spam et anti-clutter

Se rendre sur Règles de transport.

Ajouter une nouvelle règle de transport

Cliquez sur Ajouter une règle.

Puis sur Créer une règle.

Dans la fenêtre nouvelle règle, choisissez un Nom comme Kamae quarantine bypass

Définir la condition

Appliquer cette règle si: En-têtes de message...

Puis: inclut l'un de ces mots.

Enter text: X-KAMAE-ID

Enter words: <ID Kamae transmis par nos équipes>

Définir l'action

Effectuer les opérations suivantes: Modifier les propriétés du message

Puis: définir un en-tête de message

Enter text: X-Forefront-Antispam-Report
Second Enter text: SFV:SKI;CAT:NONE;

Cliquez sur suivant, jusqu'à validation de la règle.

Étape 2 : Éviter la mise en quarantaine

Rester sur Règles de transport.

Ajouter une nouvelle règle de transport

Cliquez sur Ajouter une règle.

Puis sur Créer une règle.

Dans la fenêtre nouvelle règle, choisissez un Nom comme Kamae quarantine bypass

Définir la condition

Appliquer cette règle si: En-têtes de message...

Puis: inclut l'un de ces mots.

Enter text: X-KAMAE-ID

Enter words: <ID Kamae transmis par nos équipes>

Définir l'action

Effectuer les opérations suivantes: Modifier les propriétés du message

Puis: définir un en-tête de message

Enter text: X-Forefront-Antispam-Report
Second Enter text: SFV:SKI;CAT:NONE;

Cliquez sur suivant, jusqu'à validation de la règle.

Optionnel - Étape 3 : outrepasser la protection Safe Link/Attachment

À effectuer si vous utilisez Advanced Threat Protection (ATP)

Rester sur Règles de transport.

Ajouter une nouvelle règle de transport

Cliquez sur Ajouter une règle.

Puis sur Créer une règle.

Dans la fenêtre nouvelle règle, choisissez un Nom comme Kamae Safe Link bypass

Définir la condition

Appliquer cette règle si: En-têtes de message...

Puis inclut l'un de ces mots.

Enter text: X-KAMAE-ID

Enter words: <ID Kamae transmis par nos équipes>

Définir l'action

Effectuer les opérations suivantes: Modifier les propriétés du message

Puis définir un en-tête de message

Enter text: X-MS-Exchange-Organization-SkipSafeLinksProcessing
Second Enter text: 1

Cliquez sur suivant, jusqu'à validation de la règle.

Troubleshooting

Le mail est dans le dossier des spams

Détails

Allez sur Exchange
Allez sur la centre d'administration Exchange et cliquez sur Exchange.

Se rendre sur le Créateur de règle

  • Allez dans la partie Flux de courrier

  • Cliquez sur Règles

  • Cliquez sur le + pour ajouter une règle

  • Choisissez « Créer une règle »

Création de la règle

Première partie : Condition d’Activation (Trigger) et Ajout des IPs

  • Nommez la règle (Exemple: Accès Kamaé)

  • Choisissez dans la liste "Appliquer cette règle si" « L’expéditeur »

  • Choisissez dans la liste qui s’affiche « l’adresse IP se situe dans l’une de ces plages ou correspond exactement »

  • Ajoutez les adresses IP Kamaé.


    Deuxième partie : Actions après activation des Triggers et configuration SCL

    Configuration en-tête de message

    • Choisissez Procéder comme suit…

    • Choisissez « Modifier les propriétés du message… »

    • Choisissez dans la seconde liste « définir un en-tête de message »

    • Modifiez les « Entrées du texte » :

      • Cliquez sur « Enter text » - Attribuer au premier texte « X-MS-Exchange-Organization-BypassClutter » en faisant attention à respecter la casse.

      • Attribuez au deuxième texte « true »

      Configuration SCL

      • Cliquez sur le « + » près du deuxième champ

      • Cliquez dans le premier champ et sélectionnez « Modifier les propriétés du message… »

      • Cliquez ensuite dans le deuxième champ et sélectionnez « définir le seuil de probabilité de courrier indésirable (SCL) »

      • Dans la fenêtre contextuelle, sélectionnez l'option « Bypass spam filtering » et cliquez sur « Enregistrer »

      • Cliquez ensuite « Suivant »

      • Cliquez sur la checkbox près de « Activer cette règle sur »

      • Cliquez ensuite sur « Suivant »

      • Bien vérifiez les informations avant de cliquer « Terminer »


​Le mail est en quarantaine

La quarantaine est accessible ici : Quarantaine

En quarantaine pour cause de High Confidence Phish / Standard Preset Security Policy


Vérifiez si la Protection standard de Microsoft est "Activé" (N’hésitez pas à cliquer sur le lien présent sur Protection standard pour accéder directement à la section)

Si c’est le cas, continuez avec la suite

Bypass Protection contre l’emprunt d’identité


Se rendre sur M365 Defender

  • Dans le Centre d’administration, cliquez sur Sécurité

Se rendre dans la liste verte/rouge du client

Ajout des IPs

L'ouverture du lien dans l'email est bloqué

Vous voyez cette image lorsque vous cliquez sur le lien ?

Liens fiables dans Microsoft Defender pour Office 365

La solution: Bypass Safelink

Se rendre sur M365 Defender

  • Dans le Centre d’administration, cliquez sur Sécurité

  • Allez dans Stratégies et règles

  • Puis cliquez sur Stratégie de menace

  • Puis cliquez sur Lien fiables

    Creation de la règle

    La fenêtre d'édition des liens fiables s'ouvre.

    • Cliquez sur « Créer » pour ajouter une nouvelle stratégie de liens fiables.

    • Nommez votre stratégie et donnez-lui, si nécessaire, une description

  • Dans l'onglet « Utilisateurs et domaines », sélectionnez le domaine de votre organisation comme domaine destinataire.

  • Cliquez sur la checkbox près de « Liens fiables vérifie une liste de liens malveillants connus lorsque les utilisateurs cliquent sur des liens dans le courrier électronique. Les URL sont réécrites par défaut. »

  • Cliquez ensuite sur « Gérer 0 URL ».

Maintenant, vous pouvez ajouter toutes nos URLs une par une pour vos campagnes en faisant attention à bien respecter le format : _*.<DOMAINE>/*_ (la balise <DOMAINE> devant être remplacée par chacun des domaines de phishing Kamaé).

Autre problème ?

Analyse avancée dans le suivi des messages :

Est-ce que les actions recommandées ont été mises en place ?

Articles connexes
Approche générale sur le phishing
Whitelister les domaines et IPs utilisés par Kamaé pour le phishing
Microsoft 365 - Images bloquées dans Outlook
Google Workspace - Détails whitelisting
Installer le bouton de signalement Kamaé sur Outlook
Avez-vous trouvé la réponse à votre question ?