Les alertes de sécurité concernant Microsoft 365 et Exchange Online se multiplient. Plus largement, la sécurité des e-mails devient toujours plus complexe. Fort de plus de 30 ans d’expertise dans la protection des e-mails et des infrastructures de communication critiques, Retarus a rassemblé et analysé les principaux éléments concernant la récente problématique des « Ghost Senders » afin de vous aider à en comprendre les enjeux.
Depuis quelques jours, le sujet des « Ghost Senders » fait l’objet de nombreuses discussions au sein de la communauté des administrateurs de messagerie. Dès les premiers signalements, nos équipes ont échangé avec nos clients afin d’évaluer l’impact potentiel de cette problématique et de les accompagner dans l’analyse de leur environnement.
Ce que vous devriez faire dès maintenant
Dans ce contexte, nous souhaitons partager quelques recommandations pour vous aider, ainsi que vos administrateurs, à vérifier de manière ciblée votre flux de messagerie et la configuration de vos Security Gateways en amont.
L’affaire des « Ghost Senders » rappelle une nouvelle fois que la sécurité d’une infrastructure de messagerie ne repose pas uniquement sur des mécanismes de protection ou un modèle de déploiement donné, mais avant tout sur une configuration rigoureuse et une mise en œuvre technique adaptée.
1. Vérifier la vulnérabilité aux connexions SMTP directes
Nous vous recommandons de vérifier rapidement si votre environnement est exposé à des connexions SMTP directes vers votre tenant, en dehors du chemin prévu via votre Security Gateway. Un test ciblé, réalisé par exemple à l’aide d’un outil comme ghost-sender.com, permet d’obtenir une première évaluation. Si le test révèle que vos boîtes aux lettres Exchange Online sont accessibles directement depuis Internet via la technique « Ghost Sender », nous vous recommandons de mettre en œuvre les mesures suivantes.
2. Définir clairement le chemin d’acheminement des e-mails
La première étape consiste à s’assurer que tous les e-mails entrants transitent exclusivement par le Secure Email Gateway en amont. Concrètement, l’enregistrement MX (Mail Exchange) doit être configuré pour acheminer les e-mails vers cette passerelle, et non directement vers Exchange Online. En parallèle, un Inbound Partner Connector doit être configuré dans Exchange Online afin de garantir que ce chemin d’acheminement soit bien respecté.
3. Configurer l’Inbound Connector de manière restrictive
Le connecteur doit être configuré de la manière la plus restrictive possible. Il est notamment essentiel de n’autoriser que les adresses IP du Security Gateway. Cette configuration empêche que des connexions entrantes ne passant pas par le chemin prévu soient malgré tout considérées comme légitimes.
En complément, il est recommandé de renforcer la sécurité du flux de messagerie en utilisant Transport Layer Security (TLS) et, lorsque cela est possible, une validation du domaine ou du certificat TLS.
4. Empêcher les connexions SMTP directes vers Exchange Online
Les connexions SMTP directes vers Exchange Online, en dehors du chemin autorisé via le Security Gateway, doivent être systématiquement bloquées. La méthode retenue, qu’il s’agisse de règles de transport ou d’autres mécanismes de restriction dépend de votre environnement.
Une fois les modifications appliquées, il est indispensable de vérifier que la configuration fonctionne comme prévu et qu’aucun scénario Direct-to-Tenant ou de spoofing ne permette de contourner les protections en place.
5. Vérifier régulièrement l’authentification des expéditeurs
Cette recommandation va au-delà de la problématique actuelle. Vérifiez régulièrement les principaux mécanismes d’authentification des e-mails : Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) et Domain-based Message Authentication, Reporting and Conformance (DMARC).
Une politique DMARC correctement déployée et progressivement renforcée contribue à réduire les e-mails frauduleux et les risques de spoofing. Chez Retarus, nous considérons ces mécanismes comme un pilier essentiel d’une stratégie de sécurité des e-mails robuste.
Retarus, votre partenaire pour sécuriser vos communications e-mail
En sécurisant le chemin emprunté par les e-mails entrants et en empêchant tout contournement de vos mécanismes de protection, vous réduisez considérablement les risques de spoofing et de fraude par e-mail.
Fort de plus de 30 ans d’expertise, Retarus accompagne les entreprises dans la sécurisation de leurs flux de messagerie, de leur architecture et de leurs communications critiques.
Vous souhaitez évaluer l’exposition de votre environnement ou vérifier votre configuration ? Nos experts sont à votre disposition pour vous accompagner.
