Les usurpations d’identité internes ou externes font partie des tactiques d’ingénierie sociale les plus rentables ; savoir bloquer rapidement un expéditeur malveillant dans Microsoft 365 est donc crucial pour préserver la réputation et la productivité de votre organisation.
Vue d’ensemble : où intervenir pour stopper l’expéditeur
Depuis la consolidation de la sécurité dans le portail Microsoft Defender, trois niveaux d’action coexistent :
- Les stratégies Anti‑spam inbound – filtrage prioritaire des messages entrants.
- La Tenant Allow/Block List (TABL) – blocage bidirectionnel (entrants et sortants) géré par l’équipe centrale de Microsoft.
- Les règles de flux de messagerie (mail flow) – logique conditionnelle fine appliquée directement par Exchange Online.
Le choix du mécanisme dépend du périmètre à contrôler (adresse, domaine, signature SPF, display name, etc.) et de la réversibilité souhaitée. La méthode la plus rapide reste la création d’une stratégie Anti‑spam dédiée, détaillée ci‑après.
Étapes détaillées dans Microsoft Defender pour Office 365
| Étape | Action dans le portail | Détails pratiques |
|---|---|---|
| 1 | Se connecter à https://security.microsoft.com | Utilisez un compte disposant du rôle Security Administrator ou Security Reader pour la consultation. |
| 2 | Accéder à Email & Collaboration → Policies & Rules → Threat policies → Anti‑spam | La page recense toutes les stratégies existantes et leur priorité d’évaluation. |
| 3 | Cliquez sur Create → Inbound | L’assistant se lance ; il prévoit sept volets successifs (scopage, actions, exceptions, etc.). |
| 4 | Nommer et décrire la stratégie | Indiquez un nom explicite : « Blocage usurpation CFO – août 2025 » par exemple. Ajoutez une description pour l’audit. |
| 5 | Positionner la stratégie en tête de liste | Une fois créée, sélectionnez‑la, puis choisissez « Move to top » afin d’attribuer la priorité 0. |
| 6 | Ajouter les expéditeurs ou domaines à bloquer | Dans Create block entries for domains and email addresses, saisissez l’adresse exacte ou le domaine @fraude‑cfo.com. Chaque entrée est indépendante. |
| 7 | Définir l’action | Par défaut, les messages seront mis en quarantaine avec l’action Reject – NDR. Vous pouvez choisir Delete message si la conservation n’est pas indispensable. |
| 8 | Enregistrer et vérifier l’activation | La bascule en production est immédiate ; les statistiques s’affichent dans Reports → Quarantine view après quelques minutes. |
Éléments à retenir pour une stratégie efficace
- Priorité : les stratégies sont évaluées séquentiellement ; une règle permissive placée au‑dessus annulerait le blocage.
- Délai de propagation : comptez jusqu’à 15 minutes pour la première réplication dans tous les centres de données.
- Protection multi‑couches : combinez Anti‑spam, Safe Links et Anti‑phishing pour réduire encore le risque.
Tenant Allow/Block List : quand l’utiliser ?
La TABL est hébergée directement par Microsoft et s’applique à votre tenant complet. Elle est idéale lorsque :
- Une campagne de phishing massive utilise plusieurs variantes du domaine.
- Vous souhaitez bloquer également vos propres utilisateurs s’ils répondent à l’expéditeur.
- Vous acceptez une veille manuelle : chaque entrée expire automatiquement après 30 jours (renouvelable).
Gardez toutefois à l’esprit que la TABL surpasse toutes les stratégies personnalisées. Son utilisation doit donc être réservée aux cas critiques où un blocage intégral est requis.
Cas où la règle de flux de messagerie est préférable
Certaines attaques imitent uniquement le display name tout en conservant une adresse légitime (ex. "Jean Martin" <john@example.com>). Une stratégie Anti‑spam ne repérera pas ce subterfuge ; créez alors une règle avec la condition :
If the message header 'From' contains 'Jean Martin'
AND the message header 'From' does not contain '@votre‑domaine.com'
→ Reject the messageCette logique, couplée à l’opérateur match sur displayName, limite les faux positifs tout en bloquant l’attaque ciblée.
Renforcement par SPF, DKIM et DMARC
Bloquer un expéditeur individuel est souvent la réponse d’urgence. Mais une posture de sécurité durable passe par trois enregistrements DNS correctement configurés :
| Mécanisme | Rôle | Valeur optimale |
|---|---|---|
| SPF | Déclare les hôtes autorisés à envoyer des mails pour votre domaine | "v=spf1 include:spf.protection.outlook.com -all" |
| DKIM | Ajoute une signature cryptographique aux en‑têtes | Deux CNAME fournis par Microsoft 365 |
| DMARC | Instructeur de politique de vérification aux serveurs receveurs | "v=DMARC1; p=quarantine; pct=100; adkim=s; aspf=s" |
Une fois le trio actif, les messages usurpant votre domaine sont nettement plus simples à repérer, et les alertes Anti‑phishing gagnent en pertinence.
Automatiser le blocage : scripts PowerShell prêts à l’emploi
Pour les grandes organisations, l’automatisation garantit une réactivité maximale. Les deux fragments suivants exploitent ExchangeOnlineManagement :
Ajouter un domaine à la stratégie Anti‑spam existante
# 1. Connexion
Connect-ExchangeOnline -Organisation "contoso.onmicrosoft.com"
# 2. Récupération de la stratégie
$policy = Get-HostedContentFilterPolicy -Identity "Block Suspicious Domains"
# 3. Ajout du domaine
Set-HostedContentFilterPolicy -Identity $policy.Identity -BlockedSenderDomains @{Add="fraude-cfo.com"}
# 4. Vérification
(Get-HostedContentFilterPolicy -Identity $policy.Identity).BlockedSenderDomains
# 5. Déconnexion
Disconnect-ExchangeOnlineCréer une entrée dans la Tenant Allow/Block List
Connect-ExchangeOnline
New-TenantBlockList -BlockListEntryType Sender -Entries "scam@badactors.net" -Notes "Hameçonnage CFO"
Disconnect-ExchangeOnlineIntégrez ces commandes dans votre pipeline CI/CD ou déclenchez‑les via un webhook SIEM pour un blocage quasi instantané.
Surveiller l’efficacité et déceler les faux positifs
Une stratégie de blocage mal calibrée peut nuire à la collaboration. Voici les rapports clés à suivre :
- Threat Explorer : affiche la chronologie des messages détectés, avec filtres par action (Quarantine, Delete).
- Quarantine : permet de relâcher un message légitime et d’ajouter l’expéditeur à une liste d’autorisation temporaire.
- MailFlow dashboard (EAC) : utile pour corréler la latence de remise après modification d’une règle.
Planifiez un contrôle hebdomadaire pour valider la cohérence des chiffres et supprimer les règles obsolètes.
Bonnes pratiques supplémentaires
- Communication interne claire : informez les utilisateurs qu’un nouvel expéditeur a été bloqué afin d’éviter les tickets de support inutiles.
- Journalisation avancée : activez les Unified Audit Logs pour tracer qui a créé ou modifié une stratégie.
- Segmentation : si vous gérez plusieurs filiales, créez des politiques par groupe cible plutôt qu’une stratégie globale unique.
- Revue annuelle : au‑delà de la simple expiration des entrées, vérifiez que les propriétaires d’applications tierces (CRM, ERP) ne sont pas impactés.
FAQ — questions fréquentes
La stratégie bloque‑t‑elle aussi les messages déjà livrés ?
Non. Les règles Anti‑spam s’appliquent uniquement aux messages entrants après leur création. Pour retirer un mail déjà livré, utilisez l’outil de recherche et de purge de Microsoft 365.
Puis‑je recevoir une alerte lorsqu’un message est bloqué ?
Oui. Configurez un Alert Policy dans le centre de conformité en ciblant la catégorie Malware detected and blocked ou Phish delivered selon vos besoins.
Combien d’éléments puis‑je ajouter dans la rubrique Blocked Senders ?
La limite actuelle est de 5 000 adresses ou domaines par stratégie. Au‑delà, répartissez‑les sur plusieurs politiques ou migrez vers la TABL.
Conclusion
Le blocage ciblé d’expéditeurs indésirables est plus qu’une simple mesure défensive : c’est un signal fort envoyé aux cybercriminels que votre organisation surveille activement son périmètre. En appliquant les principes exposés — priorisation correcte, contrôles DNS, automatisation par PowerShell et suivi régulier — vous transformez une réaction d’urgence en un processus standardisé capable d’endiguer les menaces émergentes sans ralentir vos équipes.