Vous utilisez Google Workspace ? C'est super le produit est très bien (tout comme Microsoft 365) mais il y a quelques réglages qu'il faut surveiller.
La base de la base
Les bases d'un système email à peu près bien configuré c'est de régler :
- SPF, si vous ne savez pas ce que c'est, un peu de lecture
- DKIM, si vous ne savez pas ce que c'est, un peu de lecture
- DMARC
La documentation de Google Workspace est excellente sur les SPF, n'hésitez pas à la lire. Même chose avec DKIM et DMARC.
Vérifiez donc d'avoir au moins SPF/DKIM de bien configuré sur votre domaine puis passons à la suite.
Les réglages de sécurité de Workspace

La section Safety de votre console Admin ( admin.google.com ) inclut beaucoup de réglages à ne pas négliger.
En voici la liste et un réglage que nous suggérons d'appliquer avec - le cas échéant - les paramètres à utiliser. Adaptez les à vos besoins:
- Pièces jointes
- Protéger votre messagerie contre les pièces jointes chiffrées envoyées par des expéditeurs non approuvés
- Protéger votre messagerie contre les pièces jointes contenant des scripts et envoyées par des expéditeurs non approuvés
- Protéger contre les types de pièces jointes anormaux dans les e-mails
- Appliquer automatiquement les paramètres recommandés ultérieurement
- Activer la protection contre les liens malveillants dans IMAP
- Identifier les liens derrière les URL raccourcies
- Analyser les images liées
- Appliquer automatiquement les paramètres recommandés ultérieurement
- Protéger contre le spoofing de domaine à partir de noms de domaine similaires: au moins afficher un avertissement
- Protéger contre le spoofing de noms d'employés: au moins afficher un avertissement
- Protéger contre le spoofing de domaine par le biais d'e-mails entrants: au moins afficher un avertissement
- Protéger contre les e-mails non authentifiés: au moins afficher un avertissement
- Protéger les groupes contre le spoofing de domaine par le biais d'e-mails entrants: au moins afficher un avertissement
- Appliquer automatiquement les paramètres recommandés ultérieurement
⚠️ Attention avec le réglage "au moins afficher un avertissement" est un début mais le mieux est d'utiliser les zones de quarantaine. Les avertissements ne s'affichent pas dans les clients IMAP notamment donc ce n'est pas parfaitement sécurisant.
Réglages Spam, hameçonnage et logiciels malveillants

Dans ces réglages, on est dans du plus spécifique, mais vous pouvez au moins activer "Analyse améliorée".
Si vous voulez aller plus loin encore, intéressez vous aux fonctions Zero Trust comme BeyondCorp Enterprise de Google, ou encore du côté d'Okta.
Questions fréquentes
Quels reglages DNS sont indispensables pour securiser Google Workspace ?
Il faut au minimum configurer SPF, DKIM et DMARC. Ces trois briques aident a authentifier les messages et a reduire l usurpation de domaine.
Pourquoi SPF, DKIM et DMARC ne suffisent-ils pas toujours ?
Ils protegent l authentification du domaine, mais il faut aussi traiter les pieces jointes, liens, spoofing, quarantaine, clients IMAP, MFA et sensibilisation des utilisateurs.
Pourquoi une quarantaine est-elle preferable a un simple avertissement ?
Un avertissement peut etre ignore ou ne pas apparaitre dans certains clients. Une quarantaine permet de bloquer le message avant exposition a l utilisateur.
Faut-il activer tous les reglages de securite Google Workspace d un coup ?
Non. Il vaut mieux evaluer les impacts, tester, informer les utilisateurs et adapter les exceptions pour eviter de bloquer des flux metier legitimes.
BoucheCousue peut-il auditer la securite mail Google Workspace ?
Oui. Nous pouvons verifier DNS, SPF, DKIM, DMARC, regles Gmail, quarantaine, MFA, routage, relais SMTP et procedures de support.
