Une modification prévue en décembre améliorera la façon dont la protection en ligne de Microsoft Defender supprime les messages hameçons à haut niveau de confiance et empêche leur diffusion dans les boîtes aux lettres des utilisateurs.
Les listes d’expéditeurs et de domaines autorisés
Microsoft veut retirer les listes d’expéditeurs autorisés et de domaines autorisés de l’équation utilisée pour déterminer si les messages d’hameçonnage sont autorisés à atteindre les boîtes de réception des utilisateurs. Comme ils le notent : » l’ajout d’expéditeurs et de domaines à une liste autorisée n’est pas une bonne pratique et doit être considéré comme une façon ancienne de filtrer. «
Les listes d’expéditeurs autorisés et les listes de domaines autorisés font partie des politiques anti-spam de Microsoft Defender. Ces listes sont censées identifier les expéditeurs et les domaines dont le locataire sait qu’ils sont sûrs d’accepter des e-mails. C’était certainement une bonne approche dans le monde moins compliqué et plus sûr des débuts du spam. Ce n’est plus le cas aujourd’hui où la menace des logiciels malveillants évolue constamment. Lorsque vous définissez un expéditeur ou un domaine comme sûr, vous courez le risque qu’un attaquant réussisse à délivrer dans les boîtes de réception un message qui devrait être filtré, mais ne l’est pas, parce qu’il semble provenir d’une origine sûre connue.
Suppression de l’hameçonnage à haute confiance
Ce qui change, c’est qu’Exchange Online Protection ne tiendra plus compte des expéditeurs autorisés et des domaines autorisés lorsqu’il filtrera l’hameçon à haute confiance. La détonation à laquelle il est fait référence dans le titre de la notification est le moment où les messages suspects sont testés dans un environnement virtuel pour comprendre s’ils sont sûrs. Dans l’environnement, le message peut être ouvert pour voir ce qui se passe. Si le message s’avère être un logiciel malveillant quelconque, il ne sera pas livré.
Dans le passé, un message hameçon de haute confiance considéré comme malveillant pouvait être livré s’il semblait provenir d’un expéditeur ou d’un domaine autorisé. C’est évidemment dangereux, car le destinataire pourrait supposer que le message est sûr et interagir avec son contenu, notamment en suivant des liens vers des sites où ses données pourraient être compromises.
Utiliser une règle de flux de courrier à la place
Le conseil de Microsoft est de remplacer la liste des expéditeurs autorisés et des domaines autorisés par une règle de flux de courrier afin de sauter le filtrage antispam pour les messages provenant de sources absolument sûres. La règle de flux de courrier peut être rendue beaucoup plus spécifique sur la provenance des messages, elle est donc intrinsèquement plus sûre que l’approche « accepter tout ce qui vient de ce domaine ou de cet expéditeur » dans les listes autorisées.
Soyez prudent lors de la configuration de la règle de flux de courrier pour vous assurer que le courrier électronique est traité comme vous pensez qu’il doit l’être. La règle prototype de Microsoft est certainement efficace, mais vous devez la tester pour vous assurer qu’elle fonctionne comme prévu en conjonction avec d’autres règles que votre organisation a déjà en production.