3️⃣ Configurer Riot avec Proofpoint et leur Phish Alarm

❶ Introduction :

Riot envoie des emails de simulation de phishing.

Si votre solution Proofpoint n’est pas correctement configurée, ces emails peuvent être bloqués par les filtres anti-spam, faussant ainsi vos statistiques de campagne.

Voici les étapes à suivre pour autoriser les IPs et domaines de Riot, et vous assurer que vos tests (et le bouton Phish Alarm) se déroulent sans encombre.

❷ Définition :

Proofpoint est une solution complète de filtrage et de protection des emails.

Elle peut bloquer les emails de test de Riot si certaines IPs, adresses ou domaines ne sont pas ajoutés à la liste des expéditeurs autorisés (Safe List).

Proofpoint comprend plusieurs modules : Essentials, Enterprise, Targeted Attack Protection (TAP) et le Phish Alarm (bouton de signalement des emails suspects).

❸ Options/Fonctionnalités associées :

3.1) Proofpoint Essentials

Aller dans Security Settings > Email > Sender Lists
Ajouter l’IP de Riot dans la liste des expéditeurs autorisés (Safe Sender list) :
159.135.234.25
Cliquer sur Save

👉 Si des pièces jointes sont bloquées, consulter l’article Proofpoint sur les blocs par défaut.

Cela permet de s’assurer que les simulations Riot arrivent bien dans les boîtes de réception des utilisateurs.

3.2) Proofpoint Enterprise

Ouvrir la console d’administration Proofpoint Enterprise
Cliquer sur Email Protection
Dans le menu Spam Detection, sélectionner Organisational Safe List
Cliquer sur Add
Dans la fenêtre Global Safe List :
- Filter Type : Sender IP Address
- Operator : Equals
- Value : 159.135.234.25
Cliquer sur Save Changes

💡 Cela garantit que les emails de test Riot ne seront pas interprétés comme des spams par le moteur de détection Proofpoint.

❹ Targeted Attack Protection (TAP)

Pour éviter les faux positifs avec TAP, il est nécessaire d’ajouter Riot aux exceptions d’URL Defense :

Aller dans la console d’administration Proofpoint Essentials
Cliquer sur Email Protection
Dans Targeted Attack Protection, sélectionner URL Defense
Cliquer sur URL Rewrite Policies
Dans la section Exceptions, ajouter l’IP : 159.135.234.25
Cliquer sur Save Changes

Cela empêche TAP de réécrire ou bloquer les liens présents dans les emails de simulation.

❺ Configurer le bouton Proofpoint Phish Alarm (TRAP)

Le bouton Phish Alarm permet aux utilisateurs de signaler un email suspect directement depuis leur messagerie.

Pour que ce bouton fonctionne correctement avec les simulations Riot, Proofpoint doit pouvoir reconnaître et traiter les emails Riot comme légitimes.

Étapes recommandées :

Vérifier la compatibilité TRAP :
L’IA de Proofpoint (TRAP) ne peut analyser qu’un email ayant transité par Proofpoint.
Si vos tests Riot contournent Proofpoint, ils ne seront pas analysés ni catégorisés par TRAP.
Ajouter une règle de pare-feu / bypass :
Créez une règle spécifique pour autoriser les emails Riot à passer par le flux de Proofpoint sans être bloqués par d’autres solutions de sécurité ou passerelles externes.
Cela garantit que le message atteigne Proofpoint pour être traité par TRAP et le Phish Alarm.
Ajouter un tag ou une route spécifique :
Certaines configurations Proofpoint nécessitent un tag ou une policy route pour identifier les messages Riot et leur appliquer les bonnes règles de traitement.
Tester le flux :
Envoyez un email de test depuis Riot et utilisez le bouton Phish Alarm pour vérifier que :
- L’email est bien signalé.
- La remontée se fait dans Proofpoint TRAP.
- Le message n’est pas bloqué ni modifié avant analyse.

💡 Conseils :

Si vos emails arrivent toujours en spam malgré cette configuration, vérifiez que l’IP 159.135.234.25 est bien ajoutée à la Organisational Safe List via : Email Protection > Spam Detection > Organisational Safe List
Pour un fonctionnement optimal du Phish Alarm, assurez-vous que les emails Riot passent bien par le pipeline Proofpoint (et non via un autre MTA ou filtre intermédiaire)
En cas d’erreur TRAP, vérifiez que l’IP et le domaine Riot sont présents dans vos listes d’autorisation