Passer au contenu principal

Mes domaines sont validés mais mes campagnes Microsoft 365 n'arrivent pas (spoofed domains)

Vous avez bien vérifié et validé vos domaines dans Riot, mais vos campagnes n'arrivent pas ? C'est sûrement parce que les spoofed domaines utilisés par Riot ne sont pas encore autorisés dans Microsoft Defender. Voici quoi faire.

❶ Pourquoi mes campagnes n'arrivent pas alors que mes domaines sont validés ?

Il faut distinguer deux choses différentes :

  • Vos domaines (ceux que vous possédez) : vous les vérifiez et les validez dans Riot via Réglages > Domaines. Cette étape prouve que vous êtes propriétaire du domaine et autorise l'envoi.

  • Les spoofed domaines (les domaines d'attaque) : ce sont les domaines que Riot utilise pour simuler l'expéditeur d'une attaque. Ils varient selon votre workspace et selon le scénario. Ce sont eux que votre filtrage Microsoft bloque tant qu'ils ne sont pas explicitement autorisés.

Autrement dit : valider vos domaines ne suffit pas si vous êtes sur Microsoft 365 avec Microsoft Defender for Office 365. Vous devez aussi autoriser les spoofed domaines, l'IP d'envoi et les URLs de simulation de Riot dans la politique Advanced delivery (Remise avancée) de Defender.

💡 Bon à savoir :

Marquer un domaine comme « sûr » dans Riot ne change pas ce que fait votre messagerie. Tant que Microsoft Defender met le message en quarantaine, l'attaque n'arrivera pas, même si Riot l'a classée comme sûre. La configuration Advanced delivery est donc indispensable côté Microsoft 365.

❷ Pré-requis

📋 Pré-requis :

Vous devez disposer d'un accès administrateur au portail Microsoft Defender (rôle permettant de modifier les politiques de menace).

❸ Comment autoriser les spoofed domaines de Riot dans Microsoft 365 ?

👉 Étape 1 : Récupérer les valeurs à autoriser

Avant de toucher à Microsoft, notez les trois éléments à déclarer. Ils sont propres à votre workspace et vous sont communiqués par Riot (ou affichés directement dans la plateforme) :

  • les spoofed domaines (domaines d'attaque) ;

  • l'IP d'envoi (Sending IP) ;

  • les URLs de simulation à autoriser, au format *.exemple.com/*.

Riot vous rappelle les domaines à ajouter, par exemple :

👉 Étape 2 : Ouvrir la page Advanced delivery dans Microsoft Defender

Connectez-vous au portail Microsoft Defender, puis suivez ce chemin :

E-mail et collaboration > Politiques et règles > Politiques de menace > Remise avancée (Advanced delivery), puis ouvrez l'onglet Simulation de phishing (Phishing simulation).

Cliquez sur Modifier (Edit). Si aucune simulation n'est encore configurée, cliquez sur Ajouter (Add).

👉 Étape 3 : Renseigner les trois champs

Dans la fenêtre Edit third party phishing simulations, complétez :

  • Domain : ajoutez tous les spoofed domaines (domaines d'attaque) de votre workspace.

  • Sending IP : ajoutez l'IP d'envoi de Riot.

  • Simulation URLs to allow : ajoutez les URLs de simulation au format *.exemple.com/*.

Les valeurs visibles dans cette capture sont des exemples : utilisez les domaines, l'IP et les URLs propres à votre workspace.

👉 Étape 4 : Enregistrer et tester

Cliquez sur Save (Enregistrer). Envoyez ensuite un email test à un administrateur pour confirmer que les attaques arrivent bien en boîte de réception.

⚠️ Important :

N'utilisez pas les listes d'autorisation IP globales ni la Tenant Allow/Block List pour faire passer les simulations : ces réglages s'appliquent à tout votre flux d'e-mails et créent une vraie faille de sécurité. La page Advanced delivery est la méthode prévue par Microsoft pour ce cas précis.

❹ Et si les liens sont quand même réécrits ou bloqués ?

Si vous utilisez Safe Links, ajoutez également les URLs de simulation dans la section « Do not rewrite URLs in email » de votre politique Safe Links (au format *.exemple.com/*), pour éviter que Microsoft ne réécrive ou n'analyse les liens des campagnes.

Articles connexes
1️⃣ Configurer Microsoft 365
Avez-vous trouvé la réponse à votre question ?