Ajouter « envoyer en tant que » à toutes les boites aux lettres 

Dans Exchange Online, vous pouvez attribuer à un utilisateur des droits permettant d’envoyer des e-mails en se faisant passer pour une autre boîte aux lettres. Cela peut être particulièrement utile dans des cas où un robot ou un relais doit envoyer des e-mails en utilisant une adresse d’expéditeur spécifique, sans avoir à accéder directement à la boîte aux lettres elle-même.

Attribuer les droits d’envoi en tant que boîte aux lettres via PowerShell

Voici un exemple de commande PowerShell qui permet d’ajouter ces droits :

1. Se connecter à Exchange Online : Si vous n’êtes pas déjà connecté à votre session Exchange Online via PowerShell, commencez par vous connecter en exécutant les commandes suivantes :

   powershell

   Copier

   $UserCredential = Get-Credential $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Authentication Basic -AllowRedirection -Credential $UserCredential Import-PSSession $Session -DisableNameChecking

2. Donner l’autorisation « Envoyer en tant » :

   Vous pouvez utiliser la commande Add-ADPermission pour donner les droits à un utilisateur d’envoyer des e-mails en tant qu’une autre boîte aux lettres.

   La syntaxe générale pour cela est la suivante :

   powershell

   Copier

   Add-ADPermission -Identity "BoîteAuxLettres" -User "NomUtilisateur" -ExtendedRights "Send As"
   • « BoîteAuxLettres » : Le nom de la boîte aux lettres sur laquelle vous souhaitez accorder l’autorisation d’envoi.
   • « NomUtilisateur » : Le nom de l’utilisateur qui recevra l’autorisation d’envoyer des mails en tant que cette boîte aux lettres.

   Par exemple, si vous souhaitez que l’utilisateur JohnDoe ait l’autorisation d’envoyer en tant que Mailbox1, la commande serait :

   powershell

   Copier

   Add-ADPermission -Identity "Mailbox1" -User "JohnDoe" -ExtendedRights "Send As"

3. Vérification des autorisations :

   Pour vérifier que les autorisations ont bien été attribuées, vous pouvez exécuter la commande suivante :

   powershell

   Copier

   Get-ADPermission -Identity "Mailbox1" | Where-Object { $_.ExtendedRights -like "Send As" }

4. Se déconnecter de la session PowerShell :

   Une fois votre travail terminé, vous pouvez vous déconnecter de la session PowerShell avec la commande :

   powershell

   Copier

   Remove-PSSession $Session

Cas d’usage

• Robots : Par exemple, un robot qui envoie des notifications ou des alertes en utilisant l’adresse e-mail d’un service, d’une boîte générique ou même d’un utilisateur spécifique.
• Relais d’e-mail : Pour des services comme l’envoi d’e-mails automatisés ou des notifications système, sans que le service ait besoin d’un accès complet à la boîte aux lettres.

1 – La commande à exécuter

Remplacer « user@domain.com » par l’adresse du compte devant obtenir les droits.

Get-Mailbox -ResultSize unlimited -Filter {(RecipientTypeDetails -eq 'UserMailbox')} | Add-RecipientPermission -Trustee "user@domain.com" -AccessRights "SendAs"

2 – Le détail de la commande

La première partie de la commande permet d’obtenir l’ensemble des utilisateurs de type « UserMailbox ».

Get-Mailbox -ResultSize unlimited -Filter {(RecipientTypeDetails -eq 'UserMailbox')}

La seconde partie de la commande permet d’ajouter le droit « Envoyer en tant que » à l’utilisateur « user@domain.com » sur l’ensemble des boites à lettres obtenu avec la première commande.

Add-RecipientPermission -Trustee "user@domain.com" -AccessRights "SendAs"

3 – La vérification

La commande suivante permet d’afficher tous les droits destinataire sur toutes les boites à lettres :

Get-Mailbox -ResultSize unlimited -Filter {(RecipientTypeDetails -eq 'UserMailbox')} | Get-RecipientPermission | where {$_.trustee -ne "NT AUTHORITY\SELF"}

4 – Le retour arrière

La commande suivante permet de supprimer le droit attribué à tous les utilisateurs lors de la première étape.

Get-Mailbox -ResultSize unlimited -Filter {(RecipientTypeDetails -eq 'UserMailbox')} | Remove-RecipientPermission -Trustee "user@domain.com" -AccessRights "SendAs"

Sources Microsoft :
– Add-RecipientPermission
– Get-RecipientPermission
– Remove-RecipientPermission

À retenir

Les droits « Envoyer en tant » permettent à un utilisateur d’envoyer des e-mails en se faisant passer pour une autre boîte aux lettres. Ce processus est particulièrement utile dans des situations où une communication impersonnelle ou automatisée est requise. Cela inclut des scénarios où des notifications système, des alertes ou des e-mails marketing sont envoyés en utilisant une adresse partagée, un compte générique ou une adresse spécifique au service, plutôt qu’une adresse utilisateur individuelle.

Par exemple, un robot ou un système automatisé pourrait avoir besoin de l’autorisation « Envoyer en tant » pour envoyer des e-mails en tant que l’adresse d’un service ou d’un département. Cela permet au processus de sembler plus authentique et d’éviter d’exposer l’adresse personnelle d’un employé.

Ces autorisations doivent être gérées avec une grande attention pour garantir la sécurité et la confidentialité des données et prévenir toute utilisation abusif ou non autorisée des comptes utilisateurs. Une gestion rigoureuse des accès est cruciale pour éviter que des personnes non autorisées utilisent cette capacité pour envoyer des e-mails à partir de comptes sensibles. En effet, cela pourrait entraîner des problèmes de sécurité (ex. : phishing interne, usurpation d’identité, etc.) ou même des violations de politique de confidentialité si des informations sensibles sont envoyées sans autorisation.