Guide de migration et d’authentification des emails professionnels Microsoft 365

Configuration étape par étape de Red Sift pour une migration email sécurisée et fiable vers Microsoft 365 Business. 

La migration vers Microsoft 365 (Exchange Online + Defender for Office 365) concerne l’identité, le flux de messagerie et l’authentification, y compris Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM), et Domain-based Message Authentication, Reporting, and Conformance (DMARC). 

Un basculement fluide protège la délivrabilité, prévient l’usurpation, et évite les interruptions métier. Ce guide propose un chemin éprouvé, orienté sécurité, avec des listes de contrôle répétables.

Ce guide est particulièrement utile pour les organisations qui migrent de Proofpoint vers Microsoft 365, où l’authentification email et la configuration du flux de messages deviennent cruciales pendant la transition. Pour un accompagnement spécifique à Proofpoint, consultez notre section dédiée à la migration de Proofpoint vers Microsoft 365.

L’objectif de ce guide est de vous préparer à la migration des services d’envoi d’emails et de vous garantir l’absence d’interruption de livraison liée à une configuration d’authentification manquante.

Hors de la portée de ce guide : tout autre élément que vous pourriez également migrer vers Microsoft 365 comme les services d’identité, les données (emails, calendrier, fichiers), l’anti-spam entrant/anti-phishing, la protection contre la fuite de données sortante, etc.

Nous vous recommandons de solliciter l’assistance de Microsoft et de ses partenaires.

1. Découverte et conception : Recensez domaines, expéditeurs, passerelles, SaaS tiers et besoins de conformité.
2. Préparation : Vérifiez les domaines, configurez Azure AD, DNS de base et utilisateurs pilotes.
3. Configuration : Flux de messagerie, connecteurs, domaines acceptés, anti-spam/anti-phishing, règles de transport.
4. Authentification : Publiez SPF ; activez DKIM ; déployez DMARC (p=none) et démarrez la surveillance.
5. Migration : Migration des données (IMAP/GWMMO/GWMT), routage en mode coexistence/étagé, basculement clients.
6. Application et optimisation : Passez DMARC à quarantaine/rejet, finalisez le routage, décommissionnez l’ancien système.

Résultat attendu : Flux d’email sécurisé sur Microsoft 365 avec application DMARC et risque de non-livraison minimisé.

Le passage de Proofpoint Essentials ou Proofpoint Email Protection à Microsoft 365 implique une gestion minutieuse des couches de sécurité email auparavant assurées par Proofpoint :

1. Reconfiguration du flux mail : Mettez à jour les enregistrements MX de l’infrastructure Proofpoint vers les serveurs Microsoft 365 pour assurer une transition fluide du filtrage entrant vers Defender for Office 365

2. Dépendances d’authentification : Proofpoint gère souvent l’authentification SPF via sa propre infrastructure. Remplacez les inclure SPF de Proofpoint par leurs équivalents Microsoft 365 tout en conservant les autorisations expéditeurs tiers

3. Migration de la signature DKIM : Si Proofpoint signait les emails sortants DKIM, configurez Exchange Online pour assurer la nouvelle signature — cela implique généralement de générer de nouvelles clés DKIM dans Microsoft 365 et de publier les enregistrements DNS associés

4. Migration des règles : Les règles de transport, filtres de pièces jointes, politiques de contenu, listes d’autorisations/blocages (allow/block) configurées dans Proofpoint doivent être recréées dans le centre d’administration Exchange et Defender for Office 365

5. Archivage et conformité : Si vous utilisiez Proofpoint Archive, prévoyez l’extraction et la migration des données vers l’archivage natif de Microsoft 365 ou vers une solution tiers

6. Période de coexistence : Pendant la période parallèle, gérez soigneusement le système qui gère le filtrage entrant/sortant pour éviter le double filtrage ou des failles de sécurité

La majorité des migrations de Proofpoint vers Microsoft 365 bénéficient d’une surveillance DMARC durant toute la transition afin de détecter les échecs d’authentification avant qu’ils n’impactent la délivrabilité.

• Environnement (tenant) Microsoft 365 créé et configuré en toute sécurité [https://learn.microsoft.com/en-us/microsoft-365/security/?view=o365-worldwide]
• Domaines vérifiés dans M365 avec preuve de propriété.
• Inventaire de toutes les sources email : envoi de masse/marketing, CRM, ticketing, produit no-reply, applications sur site, scanners/MFP, passerelles (Cisco, Proofpoint, etc.), SaaS tiers.
• DNS actuel exporté ; TTL réduits (exemple : 3600s) pour accélérer le basculement.
• Fenêtre de changement et plan de retour arrière établis ; parties prenantes informées.

Ce que vous faites : Réaliser un inventaire de tous les actifs envoyant des emails et établir la visibilité de la délivrabilité avant, pendant et après la migration.

Dans la liste de vérification pré-migration, vous avez déjà recensé toutes vos sources email. Cependant, il peut subsister des écarts ou inconnues.

Grâce aux rapports DMARC, vous obtiendrez une visibilité sur les emails envoyés pour le compte de vos domaines grâce aux retours des fournisseurs de messagerie. 

Sans Red Sift OnDMARC

Configurez ou mettez à jour la politique DMARC de vos domaines avec une adresse de rapport agrégé pointant vers l’email sur lequel vous souhaitez recevoir les rapports XML lisibles par machine 

Exemple : v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.tld

Examinez régulièrement ces rapports XML pour identifier des expéditeurs légitimes à ajouter à votre inventaire.

Avec Red Sift OnDMARC

• Configurez ou mettez à jour la politique DMARC de votre domaine avec une adresse de rapport agrégé pointant vers OnDMARC, ou utilisez le service DMARC Dynamique pour héberger vos enregistrements DMARC et éviter de les modifier manuellement plus tard
• Exploitez l’interface intuitive et puissante pour examiner les rapports traités et enrichis
• Identifiez et marquez les expéditeurs légitimes comme actifs pour bâtir un inventaire dynamique fondé sur des données réelles

Le succès, c’est : Un inventaire amélioré et à jour des sources email légitimes basé sur au moins 4 semaines de données, une base de conformité DMARC & de délivrabilité, et une visibilité continue tout au long de la migration 

Ce que vous faites : Optimiser la configuration email pour l’agilité et la fiabilité.

Pour faciliter les modifications futures et réduire les erreurs lors des modifications DNS, vous pouvez consolider vos configurations SPF et DKIM avec les services SPF/DKIM Dynamiques d’OnDMARC.

En rapprochant votre configuration de l’inventaire dynamique des sources email et des rapports DMARC, vous assurez sa mise à jour continue.

Le succès, c’est : Configuration SPF et DKIM centralisée, reliée à l’inventaire vivant des sources d’email réelles et à des données DMARC réelles. 

Ce que vous faites : Autoriser Exchange Online à émettre des messages pendant la coexistence.

Points clés :

1. Connecteurs :
2. Sortant : Exchange Online → internet et/ou → passerelle historique durant la coexistence.
3. Domaines acceptés et adressage : Autoritaire vs relais interne ; réécriture des adresses si nécessaire.

• Prolongez avec précaution l’enregistrement SPF dans le DNS avec include : spf.protection.outlook.com en veillant à ne pas dépasser 10 recherches DNS 
• Ajoutez soigneusement les CNAMEs DKIM fournis dans le DNS
• Envoyez des emails de test à un prestataire neutre et vérifiez les en-têtes pour débogage manuel

• Ajoutez include : spf.protection.outlook.com au SPF dynamique sans vous soucier du dépassement de recherche DNS ou des erreurs
• Ajoutez les CNAMEs DKIM fournis dans DKIM Dynamique
• Envoyez des emails de test à l’outil Investigate pour valider et déboguer facilement

Le succès, c’est : Les boucles de test email passent correctement

Ce que vous faites : Configurer et valider les actifs jusque-là envoyés via l’ancienne infrastructure pour qu’ils émettent via Microsoft 365

Séquence type : Pour chaque actif envoyant via l’ancienne infrastructure

1. Préparez les identifiants pour émettre via Microsoft 365
2. Envoyez des emails de test, validez, déboguez
3. Quand c’est prêt, appliquez la configuration définitive
4. Surveillez les rapports DMARC pour tout écart

À ce stade vous avez

• Mis en place la visibilité sur votre délivrabilité email grâce aux rapports DMARC
• Constitué un inventaire de sources email fondé sur des données DMARC réelles
• (facultatif) Consolidé vos configurations SPF & DKIM
• Configuré et testé l’envoi sortant Microsoft 365
• Configuré, testé et migré les actifs de l’ancienne infrastructure vers Microsoft 365

Vous pouvez poursuivre la migration du reste de vos services vers Microsoft 365.

Ce que vous faites : Surveiller en continu conformité & délivrabilité

Vérifications :

• Surveillez volume de mails & taux de conformité pour détecter des régressions
• Alignement SPF/DKIM pour domaines majeurs et gros expéditeurs

Nettoyage :

• Fermez les anciens routages ; décommissionnez les connecteurs/passerelles inutilisés.

• Expéditeurs cachés (marketing, CRM, scanners) repérés tardivement → Utilisez la découverte OnDMARC en amont ; contactez les prestataires pour SPF/DKIM avant bascule.
• Limite de requêtes SPF (>10) → Utilisez les inclure avec parcimonie ; envisagez l’aplatissement/gestion SPF via Dynamic DNS, disponible avec OnDMARC.
• DKIM non aligné (d= mal renseigné) → Faites correspondre d= avec le domaine From: ou activez l’alignement quand possible.
• Le transfert casse SPF → Appuyez-vous sur DKIM ; adoptez ARC/SRS pour de lourds scénarios de transfert.
• Trou politique après retrait de l’ancienne passerelle → Recréez les règles critiques, listes d’autorisation/blocage, exigences TLS dans Exchange/Defender.

• Guidage d’authentification en un clic : étapes claires pour activer SPF/DKIM sur Microsoft 365 et plateformes tierces.
• Découverte automatisée : détecte les expéditeurs cachés pour éviter les surprises lors du basculement.
• Optimisation SPF : gérez la limite de requêtes ; évitez des enregistrements fragiles en cas de changement fournisseur.
• Progression sécurisée des politiques : passage de « none » à « quarantine » puis « reject » basé sur les données, en quelques semaines.
• Rapport exécutif : démontrez les progrès et la réduction des risques auprès des parties prenantes à chaque phase de la migration.
• Soutien par l’IA : Red Sift Radar détecte et corrige les failles de sécurité 10x plus vite, sans augmenter les effectifs. Une fois configuré, Radar surveille en continu.
• Succès client primé : Notre équipe d’ingénieurs et Customer Success vous accompagne à chaque étape. Noté 4,9/5 sur G2, Red Sift OnDMARC est n°1 en Europe.

Pour un accompagnement complet sur les protocoles d’authentification email, voir :

• Guide complet de mise en œuvre DMARC
• Bonnes pratiques de configuration SPF et DKIM
• Authentification email pour les environnements Microsoft 365