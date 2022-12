I. Présentation

Dans ce tutoriel, nous allons apprendre à bloquer certaines adresses e-mails ou certains domaines de messagerie sur un tenant Office 365 / Microsoft 365. Autrement dit, on va créer une liste noire (blacklist) des adresses e-mails que l'on souhaite bloquer.

Cette méthode est intéressante dans différents cas de figure, notamment :

Pour bloquer une adresse e-mail malveillante, à l'origine de spams, par exemple

Pour bloquer des noms de domaine similaires à celui de notre entreprise pour se protéger contre certaines attaques de type typosquatting : si le domaine de mon entreprise est "it-connect.fr", je n'ai pas de raison de recevoir d'e-mails de la part d'une adresse "itconnect.fr" ou "it-conncet.fr".

à celui de notre entreprise pour : si le domaine de mon entreprise est "it-connect.fr", je n'ai pas de raison de recevoir d'e-mails de la part d'une adresse "itconnect.fr" ou "it-conncet.fr". Etc...

Pour gérer cette liste, il y a plusieurs méthodes, notamment à partir de Microsoft 365 Defender, d'une politique anti-spam d'Exchange Online ou encore à partir d'Outlook mais cette dernière méthode est moins intéressante car propre à chaque boite aux lettres. Dans cet article, j'évoque la méthode Microsoft 365 Defender (sans frais particuliers au sein d'un tenant).

II. Blacklist d'e-mails dans Office 365

Connectez-vous au portail d'administration de votre tenant Office 365 et accédez à la section sécurité dans le but d'ouvrir le portail Microsoft 365 Defender.

Ensuite, sous "E-mail et collaboration" (1), cliquez sur "Stratégies et règles" (2) puis sur "Stratégies de menace" et enfin "Listes verte/rouge du client" à droite (3).

A partir de l'onglet "Domaines et adresses", cliquez sur le bouton "Bloquer".

Un panneau latéral va s'ouvrir sur la droite, il va permettre de définir les adresses e-mails et/ou les domaines de messagerie à bloquer. Les entrées doivent être séparées par des virgules ou par des sauts de ligne. Pour cet exemple, j'utilise le domaine "it-connect.tech" sur mon Lab, donc je vais bloquer le domaine "it-connect.fr".

Il est à noter que les entrées peuvent être bloquées temporairement, par exemple pendant 30 jours, ou jusqu'à une date spécifique. Il est possible de les bloquer définitivement en choisissant "N'expire jamais".

Validez. Les différentes entrées sont visibles au sein de la liste noire :

Afin de tester, j'envoie un e-mail à partir d'une adresse "@it-connect.fr" à destination d'une adresse "@it-connect.tech". L'e-mail est bien envoyé, mais il est directement déclaré comme courrier indésirable sans passer par la boite de réception.

A l'inverse, si j'envoie un e-mail vers une adresse blacklistée ou un domaine blacklisté, l'e-mail est rejeté par Exchange Online. Un e-mail, semblable à celui ci-dessous est reçu :

Dans le corps de cet e-mail, on constate que le message a été bloqué grâce à la politique déployée sur le tenant.

Remote Server returned '550 5.7.703 Your message can't be delivered because one or more recipients are blocked by your organization's tenant recipient block policy . AS(8910)'

III. Configuration avec PowerShell

La configuration que nous venons d'effectuer avec le portail Microsoft 365 peut également être effectuée à partir de la ligne de commande PowerShell. Pour cela, il faut installer le module Exchange Online Management de PowerShell.

Quand c'est fait, il faut se connecter à l'environnement via cette commande en modifiant le nom d'utilisateur :

Puis, si vous avez déjà fait une configuration en mode graphique, vous pouvez lister vos règles de blacklist avec cette commande. Quoi qu'il en soit, elle sera utile par la suite pour vérifier la configuration effectuée.

Get-TenantAllowBlockListItems -ListType Sender -Block

Pour bloquer un domaine complet, on va utiliser la syntaxe suivante :

New-TenantAllowBlockListItems -ListType Sender -Block -Entries "it-connect.fr"

Au sein de la commande ci-dessus, il serait possible d'indiquer plusieurs valeurs séparées par une virgule pour ajouter plusieurs domaines ou adresses e-mails en même temps. Il est à noter que cette règle expirera dans 30 jours car nous n'avons pas précisé de date d'expiration. Pour qu'elle n'expire pas, il faut ajouter le paramètre "-NoExpiration", comme ceci :

New-TenantAllowBlockListItems -ListType Sender -Block -Entries "it-connect.fr" -NoExpiration

Tandis que pour ajouter une date d'expiration précise, on utilisera le paramètre "-ExpirationDate" avec une date précise. A tout moment, une règle est modifiable avec la commande "Set-TenantAllowBlockListItems".

Une fois que c'est fait, souvenez-vous qu'il est possible de lister les règles avec la commande "Get-TenantAllowBlockListItems" évoquée précédemment. Pour que la sortie soit plus épurée, on peut sélectionner uniquement quelques propriétés :

Get-TenantAllowBlockListItems -ListType Sender -Block | Format-Table Value,ExpirationDate,Identity

Ce qui permettra de visualiser le nom de la valeur, sa date d'expiration et son ID :

Cet identifiant (Identity) peut s'avérer utile pour supprimer une entrée de la liste. Voici une exemple :

Remove-TenantAllowBlockListItems -ListType Sender -Ids "RgAAAADWqSfCFn2ORJQMDHMpwk.....ntYAAAA0"

Voilà ! N'oubliez pas de vous déconnecter de la session Exchange Online à la fin des opérations. Pour aller plus loin, vous pouvez consulter l'aide de ces différents cmdlets PowerShell :

IV. Conclusion

Ce tutoriel touche à sa fin, n'hésitez pas à mettre en place des restrictions de ce type sur votre tenant Microsoft 365. Si vous connaissez d'autres méthodes ou astuces similaires, n'hésitez pas à les partager en commentaires.