Microsoft has recently announced that Basic Authentication in Exchange Online SMTP AUTH will be disabled in September 2025. In this post, I will discuss the implications of this announcement and provide guidance on what steps you can take to ensure your email applications and devices remain functional.

I.  Présentation

Maester est un projet communautaire créé en avril 2024 par Merill Fernando, chef de produit chez Microsoft et deux MVP Security Fabian Bader et Thomas Naunheim. C’est un outil PowerShell conçu pour vous aider à comprendre la configuration de votre tenant Microsoft 365.

Il vous permet d’avoir une vision de votre configuration par rapport aux bonnes pratiques de sécurité, et ainsi, surveiller la posture de sécurité de votre tenant Microsoft 365. Cet outil fournit un rapport, mais ne réalise aucune action de correction.

À l’heure actuelle, l’outil contient 92 vérifications de sécurité, toutes concentrées sur la partie Microsoft Entra. Ces vérifications proviennent de plusieurs sources :

• de l’équipe Maester
• du guide de sécurité SCubA par le CISA
• du guide Entra ID Security Config Analyzer (EIDSCA) de Cloud-Architekt

Maester réalise plusieurs vérifications de sécurité, incluant :

• Droits administrateurs (limiter le nombre d’utilisateur avec le rôle administrateurs global, utilisation de PIM)
• Les méthodes d'authentification, comme la configuration multi-facteur et FIDO2.
• La gestion des applications, incluant les permissions de création et le consentement OAuth.
• Les paramètres de mots de passe et les politiques de verrouillage des comptes.
• Les accès conditionnels, vérifiant l'exclusion de comptes de secours et la présence de stratégies répondant aux bonnes pratiques.

Avant de rentrer dans le vif du sujet, voici le lien vers le site officiel du projet :

• Site officiel de Maester

II. Installation et utilisation de Maester

A. Fonctionnement

Maester utilise l'API Microsoft Graph pour accéder aux informations de votre tenant Microsoft 365. Cet outil vérifie la conformité de votre configuration par rapport aux bonnes pratiques de sécurité. L’originalité de cet outil réside dans l’utilisation de Pester pour vérifier cette conformité.

Pester est un module PowerShell conçu pour les tests unitaires. Bien qu’il soit souvent utilisé pour valider des scripts ou des fonctions, son mode de fonctionnement permet à chacun d’écrire ses propres tests unitaires.

Dans le cas de Maester, Pester est employé pour s'assurer que la configuration de votre tenant Microsoft 365 correspond aux critères définis dans des fichiers. Ces fichiers, appelés fichiers de tests dans la suite de l’article, permettent de réaliser des vérifications sur la conformité de votre configuration. L’appellation tests provient du fait que Pester suit une nomenclature stricte concernant les fichiers qu’ils utilisent : xxxx.Tests.ps1.

Cela permet ainsi une vérification rigoureuse et continue de la sécurité d’un tenant.

Il est important de comprendre que Maester, utilisant Pester, ne fournit pas de valeurs directes de votre tenant, mais indique plutôt si vos configurations respectent les normes établies dans les fichiers Tests.

Par exemple, au lieu de spécifier le nombre d'administrateurs globaux, Maester vous informera si la configuration est conforme aux bonnes pratiques définies dans les tests. Cette méthode peut représenter une nouvelle approche pour certains qu’il est essentiel de comprendre.

B. Installation

Maester est publié dans la PowerShell Gallery, son installation peut être réalisée en seulement deux Cmdlets :

Install-Module Pester -SkipPublisherCheck -Force -Scope CurrentUser
Install-Module Maester -Scope CurrentUser

Sur votre PC, il faut ensuite créer un dossier et installer les fichiers de tests. Dans notre cas, nous installerons les fichiers Tests dans "C:\temp", mais tout autre chemin fonctionnera.

cd c:\temp
mkdir maester-tests
cd maester-tests
Install-MaesterTests .\tests

Les fichiers de tests sont installés dans C:\Temp\maester-tests\tests.

C. Utilisation

Dans un premier temps, il faut se connecter :

Connect-Maester

Comme indiqué plus haut, Maester s’appuie sur Microsoft Graph. Si vous n’avez pas les autorisations requises, il faudra autoriser les autorisations OAuth pour l’application Microsoft Graph Command Line Tools.

Ensuite, vous pouvez exécuter les tests :

Invoke-Maester

À la fin de l'exécution des tests par Maester, un bref résumé est affiché dans la console.

Ce résumé indique les résultats des tests avec le nombre de tests réussis, échoués ou ignorés, fournissant ainsi un aperçu rapide de l'état de la configuration de sécurité de votre tenant Microsoft 365.

Un fichier de rapport HTML est aussi créé, il est stocké dans le dossier "tests-results" et s’ouvre automatiquement dans votre navigateur :

Un élément en "Passed" indique que la configuration de votre tenant respecte le test en question.

Un élément en "Failed" indique que la configuration de votre tenant ne respecte le test. Cependant, selon les contraintes de votre entreprise, il convient de statuer si c’est un réel problème, ou bien un risque accepté.

Pour chaque élément du rapport, vous retrouverez :

• L’identifiant
• L’URL vers la documentation Maester concernant ce test
• Le résultat du test
• Les détails du test qui contiennent les actions à réaliser pour passer ce test
• Les catégories
• Les tags
• La source du fichier de test Pester

Pour la majorité des tests, il est évident de comprendre pourquoi un test échoue, comme une fonctionnalité non activée ou un nombre excessif d'utilisateurs non conformes.

Cependant, il peut être plus complexe de déterminer la cause d'un échec dans certains cas, où le problème pourrait ne pas résider dans la non-conformité, mais plutôt dans un bug au sein du code PowerShell du test lui-même. Dans ces situations, il sera nécessaire d'examiner en détail les fichiers "*.Tests.ps1" pour identifier et résoudre l'erreur.

D. Création de ses propres tests

Le gros intérêt de Maester est que ce n’est qu’un framework, c’est-à-dire qu’il peut être étendu pour correspondre à vos besoins avec des tests personnalisé.

Pour créer un test personnalisé dans Maester, vous devez suivre une certaine structure. Par exemple, nous allons créer un test pour vérifier qu'un groupe contient exactement deux membres.

Pour cela, créez un fichier nommé "Test-CustomITConnect.Tests.ps1" dans le répertoire "<chemin>\maester-tests\Custom". Pester recherche les fichiers se terminant par ".Tests.ps1" pour les exécuter comme des tests.

Dans notre cas, nous créons un fichier" Test-CustomITConnect.Tests.ps1" dans "C:\temp\maester-tests".

Pour le contenu du fichier "Test-CustomITConnect.Tests.ps1", nous devons suivre la syntaxe Pester, ce qui donne :

Describe "Test-MyGroupMembership" -Tag "Group" {
    It "Check 'MyGroup1' Members" {

        $groupID = "cc831d2a-6e92-4988-903c-1799de3a9aa1"
        $members = Get-MgGroupMember -GroupId $groupID

        # Test if the group has exactly 2 members
        $members.Count | Should -BeExactly 2
    }
}

Il est alors possible d’exécuter Maester avec uniquement notre test :

cd c:\temp\maester-test
Invoke-Maester .\tests\Custom\

Le rapport contient uniquement notre test personnalisé.

À noter qu’il est aussi possible de simplement exécuter "Invoke-Maester", pour exécuter tous les tests, y compris les tests personnalisés.

E. Exécution régulière

Maester peut être configuré pour surveiller en permanence la configuration de votre tenant à l'aide de service DevOps comme Azure DevOps Pipeline, GitHub Actions et Azure Automation.

Avec ces solutions, il est possible de recevoir un e-mail régulier avec les informations concernant la sécurité du tenant.

La configuration de cette automatisation n’est pas détaillée dans cet article, mais vous pouvez retrouver toutes les informations dans la documentation de Maester.

III. Mise à jour des tests Maester

L'équipe Maester ajoute de nouveaux tests au fil du temps, il faut donc penser à mettre à jour le module et les tests de temps en temps.

cd <chemin>maester-tests\tests

Mettre à jour le module Maester :

Update-Module Maester -Force
Import-Module Maester

Mettre à jour les tests Maester :

Update-MaesterTests

Tous les tests personnalisés dans le dossier "/Custom" seront conservés.

Les fichiers de test des autres dossiers, notamment "/EIDSCA", "/Maester" et "/CISA", seront remplacés par les tests les plus récents :

IV. Contribuer à l’amélioration du produit

Maester est une solution récente et se focalise pour le moment uniquement sur les tests Microsoft Entra ID. Cependant, compte tenu de son fonctionnement et de sa flexibilité, il est tout à faire possible de créer ses propres tests et de participer à ce projet communautaire.

Pour approfondir le sujet de l'audit Microsoft 365, vous pouvez consulter cet article :

• Comment réaliser un audit de Microsoft 365 ?

The post Maester, l’outil pour automatiser vos tests de sécurité Microsoft 365 first appeared on IT-Connect.

I. Présentation

Depuis janvier 2023, l'authentification basique a été supprimée pour les protocoles POP, IMAP et Active Sync dans Exchange Online. Pour l'envoi des e-mails, le protocole SMTP utilisant l'authentification basique est toujours en vigueur.

Cependant, Microsoft a annoncé la fin de l'authentification basique pour SMTP, prévue pour septembre 2025. Cette modification impactera smtp.office365.com et smtp-legacy.office365.com.

II. Authentification basique vs authentification moderne

A. Fonctionnement authentification basique

L’authentification basique (Basic Authentication en anglais) est une méthode permettant de s’authentifier à un service en envoyant son nom d’utilisateur et son mot de passe. Pour garantir la sécurité des données échangées, le chiffrement TLS est couramment utilisé pour assurer la confidentialité des communications.

L'authentification basique est parfois appelée "proxy authentication" car le client de messagerie envoie le nom d’utilisateur et le mot de passe à Exchange Online, qui les transmet (ou "proxy") ensuite au fournisseur d'identités faisant autorité.

Dans un fonctionnement classique, l’authentification basique avec Exchange Online fonctionne comme suit :

1. Le client de messagerie/application envoie le nom d'utilisateur et le mot de passe à Exchange Online.
2. Exchange Online envoie le nom d'utilisateur et le mot de passe au fournisseur d’identités Microsoft Entra ID.
3. Microsoft Entra ID renvoie un ticket utilisateur à Exchange Online et l'utilisateur est authentifié.

Lorsque l'authentification basique est bloquée, elle est bloquée à l‘étape 1.

B. Risques de sécurité de l’authentification basique

L'utilisation de l'authentification basique implique l'envoi des identifiants à chaque requête, ce qui la rend vulnérable aux attaques de type man-in-the-middle. Afin de pouvoir être utilisés à chaque requête, ces identifiants sont donc souvent stockés sur le périphérique.

De plus, l’authentification basique complique, voire rend impossible l'application de l'authentification multifacteur (MFA) selon les cas.

L'authentification basique est donc fréquemment utilisée par les attaquants comme vecteur d'attaque pour contourner certaines politiques de sécurité, notamment pour réaliser des attaques de type brute force sans être bloqués par le MFA.

SMTP est aujourd’hui le dernier protocole Exchange Online qui utilise l’authentification basique. C'est pourquoi Microsoft prévoit de désactiver l’authentification basique pour SMTP en faveur de l’authentification moderne.

C. Authentification moderne

L'authentification moderne est un terme générique défini à l'origine par Microsoft, mais de nombreuses autres entreprises l'utilisent désormais pour décrire les éléments suivants :

- Méthodes d'authentification : vérifier que quelqu'un ou quelque chose est bien ce qu'il prétend être. Notamment via l’authentification multifacteur (MFA), l’authentification par carte à puce, authentification par certificat. OpenIDConnect est la norme la plus largement utilisée pour l’authentification.

- Méthodes d'autorisation : processus de sécurité qui détermine le niveau d'accès d'un utilisateur ou d'un service. OAuth2 est la norme utilisée pour l’autorisation.

- Stratégies d'accès conditionnel : stratégies qui définissent les conditions dans lesquelles certaines mesures supplémentaires doivent être prises pour accéder à une ressource.

À noter qu’il existe d’autres normes qui permettent l’authentification et/ou l’autorisation comme SAML, WS-FED.

III. Agenda étapes avant la désactivation

Microsoft a prévu un planning avant la désactivation afin de laisser le temps aux entreprises de réaliser les changements.

- Septembre 2024 : Microsoft met à jour les rapports pour indiquer si l'envoi SMTP a été réalisé via OAuth ou via l'authentification basique.

Le rapport qui sera mis à jour par Microsoft est celui présent dans le centre d'administration Exchange Online > "Rapports" > "Flux de courrier" > "Rapport sur les clients utilisant l’authentification SMTP".

- Janvier 2025 : les tenants utilisant encore l'authentification basique pour SMTP recevront une alerte dans le Centre de messages Microsoft 365.

- Août 2025 : 30 jours avant la désactivation de l'authentification basique pour SMTP, nouvelle alerte dans le Centre de messages Microsoft 365.

- Septembre 2025 : désactivation définitive de l'authentification basique pour SMTP.

IV. Impacts de la fin de l’authentification basique pour SMTP

Une fois que l'authentification basique est désactivée de manière permanente, tous les clients ou applications qui se connectent en utilisant l'authentification basique pour SMTP recevront cette réponse :

550 5.7.30 Basic authentication is not supported for Client Submission.

Sauf cas très précis, les client Outlook (bureau, web ou mobile) n’utilisent pas le SMTP, ils utilisent MAPI over HTTP. De ce fait, vos utilisateurs ne sont pas impactés par ce changement.

Cependant, il est possible que vous utilisiez SMTP pour différents usages :

• Utilisation d’un outil de messagerie qui ne supporte pas MAPI over HTTP
• Envoi d’e-mail depuis une application, une imprimante multi-fonction, etc.
• Des scripts (PowerShell, Python, etc.)

Dans ces cas-là, si vous utilisez un compte Exchange Online avec authentification basique, vous êtes probablement à risque et vous devez agir avec l’un des cas suivants.

1. Si votre application prend en charge OAuth, reconfigurez-la en conséquence.

2. Si votre application ne prend pas en charge OAuth, envisagez une des solutions suivantes (liste non exhaustive) :

- Option 2 ou 3 de la documentation Microsoft sur la configuration des applications et multi-fonction.
- High Volume Email for Microsoft 365 (pour les e-mails internes uniquement).
- Azure Communication Services Email SMTP (pour les e-mails internes et externes).
- Serveur de messagerie tiers (Microsoft Exchange, hMailServer ou équivalent sur les autres OS).
- Solutions SaaS d'envoi d'e-mails (Brevo, Mailjet, SMTP2Go, PostMark, etc.).

The post Microsoft 365 – Exchange Online : fin de vie pour l’authentification basique SMTP first appeared on IT-Connect.

Microsoft will retire the Role-Based Access Control (RBAC) application impersonation role in Exchange Online in May 2024. Applications widely use this role in Exchange Online as it enables them to impersonate users in the tenant to perform actions on behalf of the users. You must migrate all your applications from using this role to other options. This article will explore Microsoft's reasoning behind this move and the current alternatives.

Microsoft 365 has deprecated the search-mailbox cmdlet, a decision that has faced considerable resistance from numerous Exchange Online administrators. In this post, I aim to examine the consequences of this cmdlet's removal and discuss viable alternatives and potential solutions.

Microsoft Outlook has long allowed you to process incoming and outgoing emails using rules. You will no doubt be familiar with them. They allow you to move emails to different subfolders, set categories, auto-cc additional people, or automatically delete emails. I have recently stopped using Outlook rules and have started using Power Automate instead. Although working with emails directly is limited in Power Automate, the platform allows for expansion beyond traditional rule sets by integrating with other Office applications and third-party services.

L’authentification des courriers électroniques est très importante pour la sécurité de vos e-mails. Elle permet de vérifier que les courriers électroniques que vous envoyez sont bien légitimes et qu’ils n’ont pas été falsifiés ou altérés. Cela est particulièrement important pour les entreprises qui utilisent des services de courrier électronique tels que Microsoft 365 mais pas …

La messagerie électronique est l’une des applications les plus anciennes d’Internet. Son développement a eu lieu à une époque où Internet n’était pas encore un réseau public. Cependant, à l’heure actuelle, les cas d’usurpation d’identité utilisant le courrier électronique se multiplient en raison de la possibilité de renseigner n’importe quelle adresse dans l’en-tête « De » d’un …