Cet article décrit la configuration du Connecteur Cyber Guru dans Exchange Online, basée sur l’authentification via certificat TLS et limitée aux domaines expéditeurs de simulation.
Cette configuration est la solution recommandée par la documentation officielle de Microsoft pour éviter le throttling appliqué par Exchange Online Protection aux emails de simulation de phishing.
Pourquoi le connecteur est-il nécessaire
Les campagnes de simulation de phishing impliquent, par nature, l’envoi de volumes importants d’emails depuis une infrastructure externe au tenant du client. Le moteur anti-abus de Microsoft Exchange Online Protection (EOP) réévalue en continu et automatiquement la réputation des IP expéditeurs et peut appliquer un throttling réputationnel (ralentissement de la livraison) aux expéditeurs non authentifiés.
Lorsque cela se produit, les emails de simulation ne sont ni refusés ni bloqués sur le tenant du client, mais différés en amont par Microsoft avec le code de réponse suivant :
451 4.7.500 Server busy. Please try again later from [85.235.135.191].
Points importants concernant ce phénomène :
- Il s’agit d’un ralentissement temporaire (soft-defer), pas d’un blocage définitif ni d’une mise en liste noire : les messages restent en file d’attente et sont réessayés.
- C’est cross-tenant : il affecte l’IP d’envoi vers tous les destinataires Microsoft 365, donc il n’y a rien à débloquer sur le tenant du client (les emails n’apparaissent ni en quarantaine ni dans les journaux du tenant).
- Les éventuelles demandes de mitigation auprès de Microsoft (delisting) sont temporaires : la réputation est réévaluée automatiquement et le throttling peut réapparaître.
Pour cette erreur spécifique, la documentation officielle de Microsoft (Corriger l’erreur NDR 451 4.7.500-699 (ASxxx) dans Exchange Online) recommande, pour l’administrateur du tenant destinataire, la configuration d’un connecteur.
Avec le connecteur, le serveur d’envoi Cyber Guru s’authentifie auprès du tenant en présentant son propre certificat TLS : le trafic n’est plus considéré comme « anonyme » et le throttling — réservé aux expéditeurs non authentifiés — n’est pas appliqué. L’efficacité est immédiate et ne dépend pas d’interventions ou de délais de la part de Microsoft.
Pourquoi cette configuration est aussi plus sécurisée
L’authentification via certificat TLS constitue un renforcement des contrôles :
- Le périmètre est limité : le connecteur est restreint aux seuls domaines utilisés pour les simulations de phishing.
- L’identification se fait via un certificat TLS émis par une CA publique, avec TLS obligatoire : un critère plus fort et plus vérifiable que la confiance basée sur l’adresse IP.
- Anti-usurpation : avec la restriction active, tout message déclarant l’un des domaines de simulation sans présenter le certificat Cyber Guru est rejeté par le tenant.
- Un seul certificat couvre tous les domaines de simulation et reste valable même en cas de changement d’IP d’envoi : la configuration ne doit être faite qu’une seule fois.
- Il s’agit d’une configuration unique, documentée, désactivable à tout moment et entièrement traçable dans les outils d’administration du tenant.
Prérequis
- Accès à la Console Admin Exchange avec droits d’administration
- Liste des domaines expéditeurs Cyber Guru
- Nom de domaine du certificat TLS du serveur d’envoi Cyber Guru :
pmail.cyberguru.report
|
OÙ TROUVER LA LISTE COMPLÈTE DES DOMAINES EXPÉDITEURS
|
Procédure détaillée
1. Accéder à la Console Admin Microsoft
2. Aller dans "Flux de messagerie > Connecteurs" et sélectionner "+ Ajouter un connecteur"
3. Sélectionner l’option "Organisation partenaire" et connexion à "Office 365", puis cliquer sur "Suivant"
4. Ajouter le nom du connecteur "Cyber Guru Connector", laisser la case "Activer" cochée et cliquer sur "Suivant"
5. Sélectionner "En vérifiant que le domaine de l’expéditeur correspond à l’un des domaines suivants" et saisir les domaines expéditeurs Cyber Guru
Renseignez tous les domaines expéditeurs (disponibles sur la plateforme dans la section "Aide > Support - Knowledge"), en cliquant sur le symbole "+" après chaque domaine, puis cliquez sur "Suivant".
Remarque : les domaines doivent être saisis exactement comme communiqués, sans wildcard ni préfixe.
6. Activer la vérification du certificat TLS
Dans l’écran des restrictions de sécurité :
- Laissez cochée l’option "Rejeter les messages électroniques s’ils ne sont pas envoyés via TLS" (par défaut)
- Sélectionnez l’option "Et exiger que le nom du sujet dans le certificat utilisé par le partenaire pour s’authentifier auprès d’Office 365 corresponde à ce nom de domaine" et saisissez :
pmail.cyberguru.report
7. Vérifier le récapitulatif et cliquer sur "Créer le connecteur"
8. Vérification finale
À la fin de la configuration, demandez l’envoi d’un email de test depuis la plateforme pour vérifier la bonne livraison. Si besoin, contactez le support Cyber Guru pour une session conjointe de configuration et de test.
Notes importantes
- Le connecteur ne remplace pas la Livraison Avancée dans Microsoft Defender, qui reste la configuration la plus importante de tout le processus de whitelisting : 1. Livraison Avancée (Microsoft Defender).
- Si le connecteur Cyber Guru identifié par adresse IP existe déjà, il doit être mis à jour avec la vérification du certificat décrite dans cet article : l’identification par IP n’exempte pas du throttling.