Comment outrepasser la protection Safe Link/Attachment Processing de Microsoft Office 365 Advanced Threat Protection (ATP)
Si vous utilisez la fonctionnalité Advanced Threat Protection (ATP) et que vous avez remarqué des clics improbables sur vos simulations de phishing, c'est parce que le système de d'analyse d'ATP a probablement généré de faux événements.
Il est donc nécessaire de configurer votre environnement mail pour outrepasser cette protection lors de vos simulations de phishing avec Arsen.
Cette procédure vient en complément des procédures permettant d'autoriser les simulations de phishing Arsen.
Comme pour ces dernières, il y a deux façons d'identifier et autoriser nos simulations : par IP ou par header.
Choisissez d'autoriser par IP dans le cas où vous n'avez pas de protection anti-phishing en amont de votre serveur mail.
Choisissez d'autoriser par header dans le cas où vous avez une protection anti-phishing : celle-ci risque de remplacer l'adresse IP vue par votre serveur mail et les règles d'exclusion ne s'appliqueront pas si vous utilisez une autorisation par IP.
Créez une nouvelle règle de Mail Flow
Donnez lui un nom : Arsen Safe Link bypass
Cliquez sur More options...
Sélectionnez The senders dans Apply this rule if... puis sélectionnez IP address is in any of these ranges or exactly matches
Dans la nouvelle fenêtre, entrez notre adresse IP : 161.38.204.14 puis appuyez sur +
Dans Do the following... sélectionnez Modify the message properties... puis set a message header
Cliquez le premier lien Enter text... et entrez : X-MS-Exchange-Organization-SkipSafeLinksProcessing
Cliquez le second lien Enter text... et entrez : 1
Cliquez sur Save
Créez une nouvelle règle de Mail Flow
Donnez lui un nom : Arsen Safe Link bypass
Cliquez sur More options...
Sélectionnez A message header... dans Apply this rule if... puis sélectionnez includes any of these words
Cliquez sur le premier *Enter text... et dans la fenêtre specify header name, entrez le header disponible dans votre compte. Pour plus d'informations sur la mise en place de ce header, référez vous à cet article : comment personnaliser l'entête des emails de simulation de phishing ?
Cliquez sur le second *Enter text... et entrez true
Dans Do the following... sélectionnez Modify the message properties... puis set a message header
Cliquez le premier lien Enter text... et entrez : X-MS-Exchange-Organization-SkipSafeLinksProcessing
Cliquez le second lien Enter text... et entrez : 1
Cliquez sur Save
Il est donc nécessaire de configurer votre environnement mail pour outrepasser cette protection lors de vos simulations de phishing avec Arsen.
Cette procédure vient en complément des procédures permettant d'autoriser les simulations de phishing Arsen.
Comme pour ces dernières, il y a deux façons d'identifier et autoriser nos simulations : par IP ou par header.
Choisissez d'autoriser par IP dans le cas où vous n'avez pas de protection anti-phishing en amont de votre serveur mail.
Choisissez d'autoriser par header dans le cas où vous avez une protection anti-phishing : celle-ci risque de remplacer l'adresse IP vue par votre serveur mail et les règles d'exclusion ne s'appliqueront pas si vous utilisez une autorisation par IP.
Outrepasser Safe Link en autorisant l'adresse IP
Créez une nouvelle règle de Mail Flow
Donnez lui un nom : Arsen Safe Link bypass
Cliquez sur More options...
Sélectionnez The senders dans Apply this rule if... puis sélectionnez IP address is in any of these ranges or exactly matches
Dans la nouvelle fenêtre, entrez notre adresse IP : 161.38.204.14 puis appuyez sur +
Dans Do the following... sélectionnez Modify the message properties... puis set a message header
Cliquez le premier lien Enter text... et entrez : X-MS-Exchange-Organization-SkipSafeLinksProcessing
Cliquez le second lien Enter text... et entrez : 1
Cliquez sur Save
Outrepasser Safe Link en autorisant le header
Créez une nouvelle règle de Mail Flow
Donnez lui un nom : Arsen Safe Link bypass
Cliquez sur More options...
Sélectionnez A message header... dans Apply this rule if... puis sélectionnez includes any of these words
Cliquez sur le premier *Enter text... et dans la fenêtre specify header name, entrez le header disponible dans votre compte. Pour plus d'informations sur la mise en place de ce header, référez vous à cet article : comment personnaliser l'entête des emails de simulation de phishing ?
Cliquez sur le second *Enter text... et entrez true
Dans Do the following... sélectionnez Modify the message properties... puis set a message header
Cliquez le premier lien Enter text... et entrez : X-MS-Exchange-Organization-SkipSafeLinksProcessing
Cliquez le second lien Enter text... et entrez : 1
Cliquez sur Save
Mis à jour le : 23/10/2023
Merci !