Durcissement Exchange Online : Bloquer Basic Auth MFA

Ce guide technique de durcissement couvre l'ensemble des mesures essentielles pour securiser Exchange Online : de la desactivation de l'authentification basique (Basic Auth) a la mise en place de politiques anti-phishing avancees avec Microsoft Defender for Office 365, en passant par la configuration complete de SPF, DKIM et DMARC, la protection contre les fraudes BEC, les regles de transport et de prevention des fuites de donnees (DLP), et le monitoring continu des flux de messagerie. Guide de durcissement Exchange Online : désactivation Basic Auth, anti-phishing, Safe Links, Safe Attachments, SPF/DKIM/DMARC et protection contre le.

L'objectif est de fournir aux administrateurs Microsoft 365, aux équipes SOC et aux RSSI un plan d'action concret et progressif, avec des commandes PowerShell pretes a l'emploi, des configurations detaillees et une checklist de validation en 15 points. Chaque section articule la menace, la mesure de protection et la verification de la mise en oeuvre.

Avant de plonger dans les configurations techniques, il est utile de comprendre la chaine d'attaque typique par email. Un attaquant envoie un message contenant soit un lien vers un site de phishing (voir notre article sur le phishing sans piece jointe), soit une piece jointe malveillante, soit une combinaison des deux. Le message peut exploiter des techniques de SMTP smuggling pour contourner les filtres. L'objectif final est souvent le vol d'identifiants, l'installation d'un infostealer, ou l'etablissement d'une persistance dans le tenant Microsoft 365.

# Creation d'une politique Conditional Access bloquant les clients legacy
# Via le portail Entra ID :
# 1. Entra ID > Protection > Conditional Access > New Policy
# 2. Name : "Block Legacy Authentication"
# 3. Users : All users (exclure un break-glass account)
# 4. Cloud apps : All cloud apps
# 5. Conditions > Client apps > Configure: Yes
# - Exchange ActiveSync clients : Checked
# - Other clients : Checked
# - (Decocher Browser et Mobile apps)
# 6. Grant : Block access
# 7. Enable policy : On

# Verification via PowerShell (module Microsoft.Graph)
Connect-MgGraph -Scopes "Policy.Read.All"
Get-MgIdentityConditionalAccessPolicy | 
 Where-Object { $_.DisplayName -like "*Legacy*" -or $_.DisplayName -like "*Basic*" } |
 Select-Object DisplayName, State, CreatedDateTime

2.4 Authentication Policies Exchange Online

En complement du Conditional Access, configurez des Authentication Policies directement dans Exchange Online pour une defense en profondeur :

# Creer une politique bloquant tous les protocoles legacy
New-AuthenticationPolicy -Name "Block-Basic-Auth-All" `
 -AllowBasicAuthActiveSync:$false `
 -AllowBasicAuthAutodiscover:$false `
 -AllowBasicAuthImap:$false `
 -AllowBasicAuthMapi:$false `
 -AllowBasicAuthOfflineAddressBook:$false `
 -AllowBasicAuthOutlookService:$false `
 -AllowBasicAuthPop:$false `
 -AllowBasicAuthPowerShell:$false `
 -AllowBasicAuthReportingWebServices:$false `
 -AllowBasicAuthRpc:$false `
 -AllowBasicAuthSmtp:$false `
 -AllowBasicAuthWebServices:$false

# Appliquer comme politique par defaut du tenant
Set-OrganizationConfig -DefaultAuthenticationPolicy "Block-Basic-Auth-All"

# Verifier l'application
Get-OrganizationConfig | Select-Object DefaultAuthenticationPolicy

2.5 Verification et monitoring continu

Apres la desactivation, surveillez en continu les tentatives de connexion Basic Auth pour détecter des contournements ou des applications non migrees :

# Alerte dans Microsoft Sentinel (KQL)
SigninLogs
| where TimeGenerated > ago(24h)
| where ClientAppUsed in ("Exchange ActiveSync", "IMAP4", 
 "MAPI Over HTTP", "Offline Address Book", 
 "Other clients", "POP3", "SMTP")
| where ResultType == 0 // Connexions reussies uniquement
| summarize Count=count() by UserPrincipalName, ClientAppUsed, 
 IPAddress, Location=tostring(LocationDetails.city)
| where Count > 0
| order by Count desc

Savez-vous quelles applications tierces ont accès aux données de votre tenant ?

Le paramètre AllowClickThrough $false est critique : il empeche les utilisateurs de contourner l'avertissement et d'acceder quand meme a une URL détectée comme malveillante. Le paramètre DeliverMessageAfterScan $true retient le message jusqu'a ce que l'analyse des URL soit terminee, eliminant la fenetre de vulnérabilité entre la livraison et l'analyse.

3.5 Safe Attachments : sandbox dynamique

Safe Attachments ouvre chaque piece jointe dans un environnement sandbox isole pour détecter les comportements malveillants, meme pour des malwares zero-day inconnus des signatures antivirus :

# Configurer Safe Attachments
New-SafeAttachmentPolicy -Name "Strict-SafeAttach" `
 -Enable $true `
 -Action DynamicDelivery `
 -QuarantineTag DefaultFullAccessPolicy `
 -ActionOnError $true `
 -Redirect $false

New-SafeAttachmentRule -Name "Strict-SafeAttach-Rule" `
 -SafeAttachmentPolicy "Strict-SafeAttach" `
 -RecipientDomainIs "contoso.com" `
 -Priority 0

# Activer Safe Attachments pour SharePoint, OneDrive et Teams
Set-AtpPolicyForO365 -EnableATPForSPOTeamsODB $true `
 -EnableSafeDocs $true `
 -AllowSafeDocsOpen $false

Le mode DynamicDelivery est recommande : il livre immédiatement le corps du message a l'utilisateur avec un placeholder pour la piece jointe, puis remplace le placeholder par la piece jointe reelle une fois l'analyse sandbox terminee. Cela minimise l'impact sur la productivite tout en maintenant la protection.

3.6 Zero-hour Auto Purge (ZAP)

ZAP est un mécanisme retroactif qui supprime automatiquement les messages deja livres dans les boites de reception lorsqu'un verdique ulterieur les identifie comme malveillants. Cela couvre le scenario ou un email passe les filtres initiaux mais est ensuite detecte comme phishing grace a de nouvelles signatures ou a l'intelligence collective du réseau Microsoft :

# Verifier que ZAP est active (il l'est par defaut)
Get-MalwareFilterPolicy | Select-Object Name, ZapEnabled
Get-HostedContentFilterPolicy | Select-Object Name, 
 ZapEnabled, PhishZapEnabled, SpamZapEnabled

# S'assurer que ZAP n'est pas desactive
Set-HostedContentFilterPolicy -Identity Default `
 -ZapEnabled $true `
 -PhishZapEnabled $true `
 -SpamZapEnabled $true

# Étape 1 : Recuperer les enregistrements CNAME a creer
Get-DkimSigningConfig -Identity contoso.com | 
 Select-Object Domain, Selector1CNAME, Selector2CNAME

# Étape 2 : Creer les enregistrements CNAME dans votre DNS
# selector1._domainkey.contoso.com CNAME 
# selector1-contoso-com._domainkey.contoso.onmicrosoft.com
# selector2._domainkey.contoso.com CNAME 
# selector2-contoso-com._domainkey.contoso.onmicrosoft.com

# Étape 3 : Activer DKIM apres propagation DNS (24-48h)
Set-DkimSigningConfig -Identity contoso.com -Enabled $true

# Étape 4 : Verification
Get-DkimSigningConfig -Identity contoso.com | 
 Select-Object Domain, Enabled, Status, 
 Selector1CNAME, Selector2CNAME, LastChecked

# Rotation des cles DKIM (recommandee tous les 6-12 mois)
Rotate-DkimSigningConfig -KeySize 2048 -Identity contoso.com

4.4 Deploiement progressif de DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance) est la piece maitresse qui articule SPF et DKIM. Il definit la politique que le serveur recepteur doit appliquer lorsqu'un email echoue a l'authentification, et fournit des rapports sur les tentatives d'usurpation. Le déploiement doit etre progressif pour eviter de bloquer des emails legitimes :

# Phase 1 : Mode monitoring (4 a 8 semaines)
# Collecte des rapports sans impact sur la delivrabilite
_dmarc.contoso.com TXT "v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1"

# Phase 2 : Quarantine progressif (4 semaines)
# 25% des emails non authentifies sont mis en quarantaine
_dmarc.contoso.com TXT "v=DMARC1; p=quarantine; pct=25; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1"

# Phase 3 : Quarantine complet (4 semaines)
_dmarc.contoso.com TXT "v=DMARC1; p=quarantine; pct=100; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1"

# Phase 4 : Reject (objectif final)
# Tous les emails non authentifies sont rejetes
_dmarc.contoso.com TXT "v=DMARC1; p=reject; pct=100; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1; adkim=s; aspf=s"

Les paramètres adkim=s et aspf=s imposent un alignement strict (le domaine du From: doit correspondre exactement au domaine SPF/DKIM, pas seulement au domaine parent). C'est la configuration la plus securisee mais elle peut bloquer des sous-domaines legitimes non declares.

4.5 Analyseurs et outils de suivi DMARC

Les rapports DMARC agreges (RUA) sont au format XML et peuvent representer des volumes importants. Utilisez un outil d'analyse pour les interpreter efficacement :

# Via le portail Microsoft Purview Compliance :
# 1. Compliance Portal > Data Loss Prevention > Policies
# 2. Create Policy > Custom policy
# 3. Name : "DLP-RGPD-Email-Protection"
# 4. Locations : Exchange email
# 5. Conditions : Content contains sensitive info types :
# - France National ID Card (CNI)
# - France Social Security Number (NIR)
# - Credit Card Number
# - IBAN (International Bank Account Number)
# - EU Passport Number
# - EU Driver's License Number
# 6. Actions :
# - Low volume (1-9) : Notify user + encrypt email
# - High volume (10+) : Block sending + notify admin
# 7. User notifications : On (policy tip in Outlook)
# 8. Override : Allow with business justification

# Verification des politiques DLP actives
Get-DlpCompliancePolicy | Select-Object Name, Mode, 
 Enabled, ExchangeLocation | Format-Table

# Rapport des incidents DLP
Get-DlpDetailReport -StartDate (Get-Date).AddDays(-30) `
 -EndDate (Get-Date) | 
 Group-Object PolicyName, SensitiveInformationType | 
 Select-Object Name, Count

6.4 Etiquettes de confidentialite (Sensitivity Labels)

Les etiquettes de confidentialite Microsoft Information Protection (MIP) permettent de classifier et protéger les emails selon leur niveau de sensibilite. Combinees aux politiques DLP, elles offrent une protection granulaire et automatisee :

• Public : aucune restriction, l'email peut etre envoye a l'exterieur sans chiffrement.
• Interne : avertissement lors de l'envoi externe, pas de chiffrement force.
• Confidentiel : chiffrement automatique (Azure RMS), restriction des droits (pas de transfert, pas de copie, expiration).
• Hautement confidentiel : chiffrement force, pas de transfert possible, filigrane "CONFIDENTIEL" sur les pieces jointes, revocation possible par l'expediteur.

# Activer le chiffrement automatique pour l'etiquette "Confidentiel"
# Via PowerShell (module Security & Compliance)
Connect-IPPSSession

# Politique d'auto-labeling pour les emails contenant des IBAN
New-AutoSensitivityLabelPolicy -Name "AutoLabel-IBAN-Confidential" `
 -ExchangeLocation All `
 -ApplySensitivityLabel "Confidentiel" `
 -Mode Enforce

New-AutoSensitivityLabelRule -Name "Rule-IBAN-Detection" `
 -Policy "AutoLabel-IBAN-Confidential" `
 -ContentContainsSensitiveInformation @{
 Name = "International Banking Account Number (IBAN)";
 MinCount = 1
 }

7.3 Integration SIEM et regles de detection

L'integration des logs Exchange Online dans un SIEM (Microsoft Sentinel, Splunk, Elastic) est essentielle pour la détection proactive des menaces et la correlation avec d'autres sources de telemetrie. Les principaux événements a surveiller sont les suivants :

# ===== MICROSOFT SENTINEL - KQL Queries =====

# 1. Detection de creation de regles de transfert suspectes
OfficeActivity
| where TimeGenerated > ago(24h)
| where Operation in ("New-InboxRule", "Set-InboxRule", "Enable-InboxRule")
| where Parameters has_any ("ForwardTo", "ForwardAsAttachmentTo", "RedirectTo")
| project TimeGenerated, UserId, Operation, Parameters, ClientIP
| extend ForwardTarget = extract(@'"ForwardTo":\s*"([^"]+)"', 1, Parameters)

# 2. Vague de phishing (meme expediteur ciblant plusieurs utilisateurs)
EmailEvents
| where TimeGenerated > ago(1h)
| where ThreatTypes has "Phish"
| summarize TargetCount=dcount(RecipientEmailAddress), 
 Targets=make_set(RecipientEmailAddress) by SenderFromAddress
| where TargetCount > 5
| order by TargetCount desc

# 3. Connexion depuis un pays inhabituel apres reception de phishing
let PhishRecipients = EmailEvents
 | where TimeGenerated > ago(24h)
 | where ThreatTypes has "Phish" and DeliveryAction == "Delivered"
 | distinct RecipientEmailAddress;
SigninLogs
| where TimeGenerated > ago(24h)
| where UserPrincipalName in (PhishRecipients)
| where Location !in ("FR", "BE", "CH") // Pays attendus
| project TimeGenerated, UserPrincipalName, Location, 
 IPAddress, AppDisplayName, ResultType

# 4. Volume anormal d'emails sortants (exfiltration potentielle)
EmailEvents
| where TimeGenerated > ago(24h)
| where EmailDirection == "Outbound"
| summarize EmailCount=count(), 
 UniqueRecipients=dcount(RecipientEmailAddress) by SenderFromAddress, bin(TimeGenerated, 1h)
| where EmailCount > 100 or UniqueRecipients > 50

# 5. Modification des permissions de boite mail
OfficeActivity
| where TimeGenerated > ago(24h)
| where Operation in ("Add-MailboxPermission", "Add-RecipientPermission", 
 "Set-Mailbox", "Add-MailboxFolderPermission")
| project TimeGenerated, UserId, Operation, Parameters, ClientIP

7.4 Alertes et rapports automatises

Configurez des alertes automatisees dans Microsoft Defender pour les événements critiques. Les attaquants utilisent souvent des techniques de tunneling DNS pour exfiltrer les donnees collectees via les emails compromis, ce qui rend la correlation multi-sources indispensable :

• Email detected as phishing post-delivery : alerte haute priorite lorsque ZAP detecte un phishing deja livre.
• Email messages containing phish URLs removed after delivery : suivi de l'efficacite de ZAP.
• Suspicious email forwarding activity : creation ou modification de regles de transfert externe.
• Unusual volume of email reported as phishing : pic de signalements utilisateurs indiquant une campagne en cours.
• User impersonation detected : tentative d'usurpation d'identite des utilisateurs proteges.
• Tenant Allow/Block List modification : modification des listes d'autorisation/blocage pouvant indiquer une compromission admin.

8. Checklist de durcissement Exchange Online en 15 points

Utilisez cette checklist comme référence pour valider la sécurité de votre tenant Exchange Online. Chaque point correspond a une mesure détaillée dans les sections precedentes. Cochez les éléments au fur et a mesure de leur implementation :

Pour approfondir ce sujet, consultez notre outil open-source m365-security-audit qui facilite l'audit de sécurité de l'environnement Microsoft 365.

Questions frequentes

Sources et références : Microsoft Security Docs · CERT-FR

9. Conclusion

Le durcissement d'Exchange Online n'est pas un projet ponctuel mais un processus continu qui evolue avec les menaces. La desactivation de Basic Auth elimine une surface d'attaque majeure, les politiques anti-phishing avancees de Defender for Office 365 protegent contre les techniques d'usurpation les plus abouties, et la trinite SPF/DKIM/DMARC en mode reject constitue le standard de facto pour l'authentification email.

Cependant, la technologie ne représente qu'une partie de l'equation. Les attaques BEC les plus couteuses exploitent la confiance humaine, pas les failles techniques. La formation reguliere des utilisateurs via Attack Simulation Training, combinee a des processus de verification pour les operations sensibles (virements, modifications bancaires), est tout aussi importante que la configuration technique.

Enfin, le monitoring continu via l'integration SIEM et les alertes automatisees garantit que les mesures de protection restent efficaces dans la duree. Les attaquants adaptent constamment leurs techniques : les configurations statiques deviennent obsoletes. Revoyez votre posture de sécurité email trimestriellement, suivez les recommandations du Microsoft Secure Score, et testez régulièrement vos defenses.

La sécurité email est un maillon essentiel de la chaine de confiance numerique. Un tenant Exchange Online correctement durci protege non seulement votre organisation, mais aussi vos partenaires, vos clients et l'ensemble de votre écosystème contre les attaques par email.

Ayi NEDJIMI

Expert en Cybersécurité & Intelligence Artificielle

Consultant senior avec plus de 15 ans d'experience en sécurité offensive, audit d'infrastructure et developpement de solutions IA. Certifie OSCP, CISSP, ISO 27001 Lead Auditor et ISO 42001 Lead Implementer. Intervient sur des missions de pentest Active Directory, sécurité Cloud et conformité reglementaire pour des grands comptes et ETI.

LinkedIn Profil complet Tous ses articles

Analyse des impacts et recommandations

L'analyse des risques associés à cette problématique révèle des impacts potentiels significatifs sur la confidentialité, l'intégrité et la disponibilité des systèmes d'information. Les recommandations présentées s'appuient sur les référentiels de l'ANSSI et du NIST pour garantir une approche structurée de la remédiation.

Mise en œuvre opérationnelle

La mise en œuvre des mesures de sécurité décrites dans cet article nécessite une approche progressive, en commençant par les actions à gain rapide avant de déployer les contrôles plus complexes. Un plan d'action priorisé permet de maximiser la réduction du risque tout en respectant les contraintes opérationnelles de l'organisation.

Perspectives et évolutions

Le paysage des menaces évolue continuellement, rendant nécessaire une veille permanente et une adaptation régulière des stratégies de défense. Les tendances actuelles indiquent une sophistication croissante des techniques d'attaque et une nécessité d'automatisation accrue des processus de détection et de réponse.

Synthèse et points clés

Les éléments présentés dans cet article mettent en évidence l'importance d'une approche structurée et méthodique. La combinaison de contrôles techniques, de processus organisationnels et de formation continue constitue le socle d'une posture de sécurité mature et résiliente face aux menaces actuelles.

Votre tenant M365 est-il sécurisé ?

Audit Entra ID, Exchange, SharePoint, Teams — Secure Score, conditional access, DLP.

Audit M365 — Devis gratuit [email protected]