La fonctionnalité Direct Send d’Exchange Online est connue depuis longtemps. Toutefois, dans le cadre de nos projets clients, nous constatons actuellement une recrudescence de configurations qui permettent, souvent involontairement, des flux de messagerie non souhaités.
La cause est simple : des configurations héritées, mises en place il y a plusieurs années, restent souvent inchangées et peuvent ainsi représenter un risque en matière de sécurité, de conformité et de contrôle. Les entreprises qui utilisent Exchange Online comme composant de leur infrastructure de messagerie ont donc tout intérêt à vérifier attentivement leur configuration.
Qu’est-ce que Direct Send ?
Direct Send permet aux systèmes d’un environnement Microsoft 365 d’envoyer des e-mails directement via Exchange Online, sans authentification SMTP. Cette fonctionnalité a été conçue à l’origine pour des équipements multifonctions, des applications ou d’autres systèmes internes.
Selon l’architecture et la configuration Microsoft 365 en place, Direct Send peut toutefois permettre à certains messages de contourner le flux de messagerie prévu. À partir de ce moment-là, l’entreprise perd le contrôle sur une partie de son trafic de messagerie.
Comment réduire le risque ?
D’après notre expérience, les mesures suivantes se sont révélées particulièrement efficaces.
1. Vérifier et limiter l’utilisation de Direct Send
Commencez par vérifier si Direct Send est réellement nécessaire dans votre environnement. Dans de nombreuses organisations, cette fonctionnalité a été activée par le passé mais n’est plus utilisée aujourd’hui. Si tel est le cas, il est recommandé de la restreindre, voire de la désactiver complètement.
2. Identifier clairement les messages légitimes
Une méthode efficace consiste à marquer les messages légitimes dans Exchange Online au moyen d’un en-tête (header) personnalisé, puis à vérifier sa présence avant l’envoi.
Pour cela, une règle de transport peut ajouter un en-tête contenant une valeur spécifique et confidentielle. Une règle de sécurité appliquée ensuite vérifie la présence de cet en-tête. Les messages qui n’en disposent pas peuvent d’abord être surveillés, puis, si nécessaire, être bloqués ou redirigés automatiquement selon des règles prédéfinies.
3. Vérifier l’identifiant du tenant Microsoft
Une autre approche consiste à utiliser l’identifiant du tenant Microsoft (Tenant ID), présent dans les en-têtes Exchange, comme mécanisme d’authentification.
Il s’agit de vérifier que les messages sortants contiennent bien l’identifiant du tenant attendu. Les messages qui ne répondent pas à ce critère peuvent, selon les exigences de sécurité, être surveillés, bloqués ou redirigés.
4. Commencer par instaurer de la visibilité
Avant d’appliquer des mesures restrictives, il est conseillé de commencer par surveiller les messages potentiellement concernés.
À cette fin, une règle de sécurité peut, par exemple, transférer les messages suspects en copie cachée (BCC) vers une boîte aux lettres dédiée. Cela permet d’évaluer si des messages envoyés via Direct Send sont effectivement présents, ainsi que leur volume, sans perturber les opérations en cours.
Une fois le comportement observé et les résultats du monitoring analysés, les règles décrites précédemment peuvent être activées.
La sécurité de la messagerie d’entreprise ne s’arrête pas à la passerelle
La problématique de Direct Send montre une nouvelle fois qu’une infrastructure de messagerie sécurisée va bien au-delà des filtres anti-spam et anti-malware traditionnels. Dans les environnements hybrides et cloud, un flux de messagerie maîtrisé et entièrement contrôlé est essentiel.
Outre la vérification régulière de Direct Send, les entreprises devraient donc évaluer en continu leur configuration Exchange Online afin de s’assurer que seuls les messages autorisés empruntent les chemins de communication prévus.
Sujet connexe : Ghost Sender dans Exchange Online
La problématique de Direct Send s’inscrit dans une série de discussions actuelles autour d’Exchange Online. Un autre exemple est celui des Ghost Senders, qui peuvent, dans certaines circonstances, générer eux aussi des flux de messagerie non souhaités.
Un accompagnement pour les scénarios complexes de flux de messagerie
Une analyse professionnelle de l’architecture de messagerie existante, par exemple dans le cadre d’une prestation de Professional Services, permet d’identifier rapidement les éventuelles vulnérabilités et de les corriger au moyen de mesures techniques adaptées.



