Passer au contenu principal

Autorisation des opérations de phishing

Opérations de whitelisting sur vos serveurs de messagerie

Mis à jour il y a plus d'un mois

Avant de tester vos collaborateurs, vous devez configurer vos serveurs de messagerie pour garantir que nos simulations arrivent en boîte de réception plutôt qu’en spam.

Cette étape, appelée whitelisting ou allow-listing, est indispensable : sans elle, les messages risquent d’être placés en quarantaine ou en courrier indésirable, empêchant ainsi une sensibilisation efficace.

1 - Objectifs

  • Identifier la méthode d’autorisation adaptée à votre infrastructure (API, adresse IP ou headers email).

  • Assurer la bonne délivrabilité des simulations de phishing envoyées depuis Arsen.

  • Prévenir les blocages dus aux solutions anti-spam ou anti-phishing.

2 - Prérequis

  • Disposer des droits d’administration sur votre service de messagerie.

  • Connaître la présence ou non d’un filtre anti-phishing ou anti-spam en amont de vos serveurs mail.

  • Avoir accès aux paramètres DNS ou aux règles de flux de messagerie si nécessaire.

3 - Comprendre les différentes méthodes d’autorisation

3.1 - Utiliser l’autorisation par API (recommandé)

L’autorisation via API (Microsoft Email Delivery ou Google Email Delivery) présente trois avantages majeurs :

  • Très simple à mettre en place.

  • Très rapide : activation en deux clics.

  • Très efficace : contournement des protections techniques (EDR, anti-spam) et délivrabilité garantie à 100 %.

3.2 - Utiliser l’autorisation par adresse IP

  • Méthode conventionnelle, compatible avec des infrastructures n'ayant pas accès à la GraphAPI d'Exchange sur Office 365

3.3 - Utiliser l’autorisation par en-tête email (headers)

  • Méthode additionnelle, réservée à certains environnements ayant un filtre anti-phishing ou anti-spam qui nécessite ce type d'autorisation car ils modifient l'IP d'origine.

  • Cette procédure nécessite :

    • de whitelister l’adresse IP d’Arsen dans la solution de filtrage dans un premier temps

    • d’utiliser les headers email comme règle d’autorisation côté serveurs mail.

4 - Autoriser les opérations de phishing par adresse IP

4.1 - Adresses IP à autoriser

  • 161.38.204.14

  • 185.211.123.249

4.2 - Accéder aux procédures détaillées

5 - Autoriser les opérations de phishing par en-tête email

  • Chaque compte Arsen possède un header unique.

  • Ce header est disponible dans votre documentation lorsque vous partagez les instructions de whitelisting.

En savoir plus

6 - Suivre la procédure d’autorisation selon votre environnement

6.1 - Si vous utilisez Microsoft Office 365

Deux choix possibles.

6.1.1 - Activer l’API Microsoft Email Delivery (recommandé)

  • Mise en place très rapide.

  • Autorisation en quelques clics.

En savoir plus

6.1.2 - Utiliser un whitelisting manuel

  • Sans filtre anti-phishing complémentaire : autoriser Arsen via son adresse IP.

  • Avec filtre anti-phishing ou anti-spam en amont :

    • autoriser via les headers email,

    • autoriser les adresses IPs d’Arsen dans la solution de filtrage.

6.2 - Si vous utilisez Google Workspace

Deux choix possibles.

6.2.1 - Activer l’API Google Email Delivery (recommandé)

  • Mise en place très rapide.

  • Autorisation en quelques clics.

En savoir plus

6.2.2 - Utiliser un whitelisting manuel

  • Sans filtrage supplémentaire : autoriser via les adresses IPs d’Arsen.

  • Avec filtrage anti-phishing ou anti-spam en amont :

    • utiliser les headers email,

    • ajouter les adresses IPs d’Arsen dans la allow list du filtre.

Articles connexes
Autorisation des opérations - Microsoft
Configurer Microsoft 365 pour autoriser les adresses IP utilisées dans les simulations Arsen
Autorisation des opérations - Google
Configurer Google Workspace pour autoriser les adresses IP utilisées dans les simulations Arsen
Autoriser les simulations de phishing via les en-têtes d’e-mail dans Google Workspace
Avez-vous trouvé la réponse à votre question ?