Messagerie et Collaboration¶
Concepts de messagerie¶
La messagerie electronique repose sur une chaine de composants standardises qui acheminent les emails de l'expediteur au destinataire.
Composants de la chaine email¶
| Composant | Signification | Role |
|---|---|---|
| MUA | Mail User Agent | Client de messagerie (Outlook, OWA) |
| MTA | Mail Transfer Agent | Serveur qui route les emails entre domaines (Exchange, Postfix) |
| MDA | Mail Delivery Agent | Depose le mail dans la boite du destinataire |
| SMTP | Simple Mail Transfer Protocol | Protocole d'envoi (port 25/587/465) |
graph LR
MUA1["MUA Outlook"] -->|"SMTP 587"| MTA1["MTA Exchange Online"]
MTA1 -->|"SMTP 25 TLS"| MTA2["MTA Destinataire"]
MTA2 --> MDA["MDA Boite mail"]
MDA -->|"IMAP/HTTPS"| MUA2["MUA Destinataire"]Architecture Exchange Online (M365)¶
Notre messagerie repose sur Exchange Online dans le cadre d'un abonnement Microsoft 365. Ce choix elimine la complexite de gerer des serveurs Exchange on-premise tout en beneficiant d'un SLA de 99.9%.
| Caracteristique | Detail |
|---|---|
| Plateforme | Exchange Online - Microsoft 365 |
| SLA | 99.9% de disponibilite garantie (8h45 de downtime max/an) |
| Stockage boite | 50 Go par utilisateur (E3) ou 100 Go (E5) |
| Taille piece jointe | 150 Mo maximum |
| Retention | Configurable, jusqu'a illimitee avec archivage |
| Region des donnees | Union Europeenne (Data Residency) |
L'acces se fait via Outlook Desktop (Windows/macOS), Outlook Mobile (iOS/Android) et OWA (Outlook on the Web) dans le navigateur.
Authentification et acces¶
L'acces a la messagerie est protege par Microsoft Entra ID avec SSO et MFA conditionnel. Aucun acces direct par mot de passe simple n'est autorise.
sequenceDiagram
participant User as Utilisateur
participant Client as Outlook / OWA
participant Entra as Microsoft Entra ID
participant EXO as Exchange Online
User->>Client: 1. Ouvre Outlook
Client->>Entra: 2. Requete d'authentification (OIDC)
Entra->>User: 3. Challenge MFA conditionnel
Note over Entra: MFA declenche si :<br/>- Nouvel appareil<br/>- Localisation inhabituelle<br/>- Risque detecte
User->>Entra: 4. Validation MFA
Entra->>Client: 5. Token d'acces JWT
Client->>EXO: 6. Acces boite mail (token)
EXO->>Client: 7. Emails synchronisesMFA conditionnel
Le MFA n'est pas demande systematiquement. Les politiques d'acces conditionnel d'Entra ID evaluent le risque en temps reel : appareil connu, localisation, comportement. Le MFA est force uniquement quand le risque le justifie, equilibrant securite et UX.
Securite de la messagerie¶
Exchange Online integre plusieurs couches de protection contre les menaces email, qui sont le vecteur d'attaque numero 1 en entreprise (91% des cyberattaques commencent par un email).
Couches de protection¶
| Protection | Fonctionnement | Menace bloquee |
|---|---|---|
| Anti-spam | Filtrage par reputation IP, contenu, heuristiques | Spam, newsletters non sollicitees |
| Anti-malware | Analyse des pieces jointes par moteurs antivirus multiples | Virus, trojans, ransomware |
| Anti-phishing | Detection IA des tentatives d'usurpation (spoofing, typosquatting) | Phishing, spear-phishing, BEC |
| Safe Attachments | Ouverture des pieces jointes dans une sandbox (detonation) avant livraison | Malware zero-day, macros malveillantes |
| Safe Links | Reecriture des URLs et verification en temps reel au moment du clic | Liens malveillants, phishing differe |
graph TB
EMAIL["Email entrant"]
subgraph EOP["Exchange Online Protection"]
SPAM["Anti-spam<br/>Reputation + Heuristiques"]
MAL["Anti-malware<br/>Multi-moteurs"]
PHISH["Anti-phishing<br/>Detection IA"]
end
subgraph ATP["Microsoft Defender for Office 365"]
SA["Safe Attachments<br/>Sandbox detonation"]
SL["Safe Links<br/>URL rewriting"]
end
INBOX["Boite de reception<br/>utilisateur"]
EMAIL --> SPAM
SPAM -->|"Legitime"| MAL
MAL -->|"Propre"| PHISH
PHISH -->|"Non-phishing"| SA
SA -->|"PJ sure"| SL
SL -->|"URLs verifiees"| INBOX
SPAM -->|"Spam"| JUNK["Courrier indesirable"]
MAL -->|"Malware"| QUAR["Quarantaine"]
PHISH -->|"Phishing"| QUAR
SA -->|"PJ malveillante"| QUARSafe Attachments - Detonation en sandbox
Safe Attachments ouvre chaque piece jointe suspecte dans une machine virtuelle isolee et observe son comportement pendant quelques secondes (execution de macros, connexions reseau, modifications du systeme de fichiers). Si un comportement malveillant est detecte, la piece jointe est bloquee avant d'atteindre l'utilisateur.
SPF, DKIM et DMARC¶
Ces trois mecanismes DNS complementaires authentifient les emails et empechent l'usurpation d'identite (spoofing) du domaine de l'expediteur.
SPF (Sender Policy Framework)¶
SPF declare dans le DNS quels serveurs sont autorises a envoyer des emails pour un domaine.
| Element | Description |
|---|---|
| Principe | Un enregistrement TXT DNS liste les IPs/domaines autorises a envoyer pour @indio.fr |
| Verification | Le serveur destinataire compare l'IP de l'expediteur avec l'enregistrement SPF |
| Resultat | Pass (autorise), Fail (rejete), SoftFail (marque suspect) |
| Enregistrement DNS | v=spf1 include:spf.protection.outlook.com -all |
DKIM (DomainKeys Identified Mail)¶
DKIM signe cryptographiquement chaque email avec une cle privee. Le destinataire verifie la signature via la cle publique publiee dans le DNS.
| Element | Description |
|---|---|
| Principe | Le MTA expediteur ajoute une signature cryptographique dans l'en-tete de l'email |
| Cle privee | Conservee sur le serveur d'envoi (Exchange Online) |
| Cle publique | Publiee comme enregistrement CNAME/TXT dans le DNS |
| Verification | Le destinataire recalcule le hash et compare avec la signature |
DMARC (Domain-based Message Authentication, Reporting and Conformance)¶
DMARC definit la politique a appliquer quand SPF ou DKIM echouent, et envoie des rapports au proprietaire du domaine.
| Politique | Action | Recommandation |
|---|---|---|
p=none |
Aucune action, rapports uniquement | Phase de demarrage (observation) |
p=quarantine |
Mettre en spam les emails non conformes | Phase intermediaire |
p=reject |
Rejeter les emails non conformes | Phase finale (objectif cible) |
graph LR
SENDER["Expediteur"] --> RECEIVER["Destinataire"]
RECEIVER --> SPF_C["SPF : IP autorisee ?"]
RECEIVER --> DKIM_C["DKIM : Signature valide ?"]
SPF_C --> DMARC_C["DMARC : Politique"]
DKIM_C --> DMARC_C
DMARC_C -->|"OK"| INBOX["Boite de reception"]
DMARC_C -->|"Echec + reject"| REJECT["Email rejete"]Deploiement progressif DMARC
Deployer DMARC en 3 phases : none (observer 2-4 semaines), puis quarantine,
puis reject. Un deploiement direct en reject risque de bloquer des emails legitimes.
Architecture de relais SMTP¶
Les applications internes, scanners et outils de supervision doivent pouvoir envoyer des emails sans etre directement connectes a Internet. Un relais SMTP local centralise et securise ces envois.
graph LR
subgraph SOURCES["Sources internes"]
APPS["Applications metier"]
SCAN["Scanners / Imprimantes"]
ZBX["Zabbix alertes"]
GITLAB["GitLab CI/CD"]
end
subgraph RELAY_G["Relais SMTP"]
RELAY["Postfix Relay<br/>Port 25/587<br/>Authentification IP"]
end
subgraph M365["Microsoft 365"]
EXO["Exchange Online<br/>Connecteur entrant"]
end
subgraph DEST["Destinataires"]
INT["Boites internes<br/>@indio.fr"]
EXT["Destinataires externes<br/>@client.com"]
end
SOURCES -->|"SMTP 25<br/>reseau interne"| RELAY
RELAY -->|"SMTP 587<br/>TLS + auth"| EXO
EXO --> INT
EXO --> EXTSecurite du relais¶
| Mesure | Description |
|---|---|
| Restriction par IP | Seules les IPs des serveurs autorises peuvent utiliser le relais |
| Chiffrement TLS | Connexion obligatoirement chiffree vers Exchange Online (STARTTLS) |
| Compte de service | Authentification par compte de service dedie avec permissions minimales |
| Rate limiting | Limitation du nombre d'emails par minute pour prevenir les abus |
| Logs | Tous les envois sont journalises et envoyes au SIEM |
Flux email complet¶
Email entrant (externe vers interne)¶
- Expediteur externe envoie un email a
user@indio.fr - Le MX DNS pointe vers Exchange Online Protection (EOP)
- EOP verifie SPF, DKIM, DMARC de l'expediteur
- Anti-spam, anti-phishing et Safe Attachments analysent le contenu
- Safe Links reecrit les URLs pour verification au clic
- Email livre dans la boite de reception
Email sortant (interne vers externe)¶
- Utilisateur envoie depuis Outlook (authentifie via Entra ID)
- Exchange Online verifie les politiques DLP
- Email signe avec DKIM, pieces jointes scannees
- Email transmis au MTA du destinataire via SMTP TLS
- Le destinataire verifie SPF + DKIM + DMARC
Conformite et gouvernance¶
Exchange Online offre des fonctionnalites de conformite essentielles pour repondre aux exigences reglementaires (RGPD, politiques internes).
| Fonctionnalite | Description | Usage |
|---|---|---|
| DLP (Data Loss Prevention) | Detection et blocage des emails contenant des donnees sensibles (CB, IBAN, donnees de sante) | Prevention de fuite |
| Retention Policies | Conservation automatique des emails pendant une duree definie (ex: 7 ans) | Conformite legale |
| Legal Hold | Gel des donnees d'un utilisateur pour une procedure judiciaire | Investigations |
| Journaling | Copie automatique de tous les emails vers une boite d'archivage | Audit complet |
| eDiscovery | Recherche et export d'emails selon des criteres | Demandes legales |
RGPD et localisation des donnees
Avec l'option Data Residency de Microsoft 365, les donnees de messagerie sont stockees exclusivement dans des datacenters de l'Union Europeenne. Cela repond aux exigences de souverainete des donnees du RGPD.