De: "David Ponzone" <david.ponzone@gmail.com>
À: "Kevin Labécot" <kevin@labecot.fr>
Cc: "French SysAdmin Group" <frsag@frsag.org>
Envoyé: Mercredi 28 Septembre 2022 14:56:29
Objet: [FRsAG] Re: Email / Protection de l'arnaque au président

Le bloquer chez O365 ou en général ?

En général, ça semble assez simple de bloquer un mail qui a 2 @ dans le From.

Avec O365, je suppose qu’on fait pas tout ce qu’on veut.

Le 28 sept. 2022 à 14:52, Kevin Labécot <kevin@labecot.fr> a écrit :

Bonjour,

J’ai un client qui a évité une arnaque au président grâce à l’oeil de lynx de la comptable ^^

Le mail a passé toutes les protections dkim/spf car expédié d’un domaine tiers mais le from était déguisé en mettant dans la partie « Nom » une adresse email, ce qui aurait pu tromper bon nombre d’utilisateur.

Voici à quoi ressemblait le champ « From » du mail reçu : 

From: "Nom du président <sonvrai@email.com>," <faux@domaine.fr>

Comme vous le voyez, ce format fait que ça a passé le dkim/spf de domaine.fr (le faux domaine). Quant au vrai email il donnait une belle illusion étant placé dans la partie du nom de l’expéditeur.

Bref, mon client est chez O365. Ma question est : comment bloquer ce genre d’attaque ? Existe-t-il des moyens de les détecter automatiquement ? 

Merci d’avance

— 

Kevin LABECOT 

_______________________________________________
Liste de diffusion du %(real_name)s
http://www.frsag.org/

_______________________________________________
Liste de diffusion du %(real_name)s
http://www.frsag.org/