DMARC est un protocole permettant aux entreprises de sécuriser leurs communications électroniques. D’ici 2025, l’augmentation du piratage, comme le phishing et le vol d’informations personnelles, rendra plus difficile la protection des données et la réputation d’une entreprise. En utilisant SPF et DKIM ensemble, Domain-based Message Authentication, Reporting & Conformance permet de vérifier si les e-mails proviennent réellement de celui qu’ils prétendent être, stoppant ainsi les faux e-mails. Les administrateurs sont habilités à établir des protocoles de gestion des e-mails non sécurisés et à générer des rapports sur les activités de transmission d’e-mails. Grâce à cette visibilité et contrôle, les entreprises peuvent prédire et contrecarrer plus efficacement les cybercriminels, tout en améliorant l’efficacité de leur distribution de courrier électronique.

Quelle est la relation entre SPF, DKIM et DMARC ? 

DMARC, DKIM et SPF sont des normes liées à l’authentification des emails. SPF permet aux expéditeurs de spécifier les adresses IP autorisées à envoyer des emails depuis leur domaine. DKIM utilise une signature numérique et une clé de cryptage pour vérifier les emails, garantissant qu’ils n’ont pas été altérés.  

Domain-based Message Authentication, Reporting & Conformance combine ces deux normes en fournissant un cadre unifié. Il offre aux propriétaires de domaines la possibilité de définir des directives sur la manière dont les emails non conformes doivent être traités. 

Comment DMARC fonctionne-t-il ?  

Pour qu’un message soit validé par l’authentification DMARC, il doit réussir l’authentification SPF et l’alignement SPF, et/ou l’authentification DKIM et l’alignement DKIM.  

Si un message échoue à l’authentification DMARC, les expéditeurs peuvent indiquer aux destinataires comment traiter ce message grâce à sa politique. Le propriétaire du domaine peut choisir parmi trois options : « none » (le message est remis au destinataire et un rapport est envoyé au propriétaire du domaine), « quarantine » (le message est placé dans un dossier de quarantaine) et « reject » (le message est bloqué).  

La politique DMARC « none » est une bonne étape initiale. Cela permet au propriétaire du domaine de vérifier que tous les emails légitimes passent correctement l’authentification. Le propriétaire reçoit des rapports pour l’aider à identifier et à valider les emails légitimes.  

Une fois sûr d’avoir identifié tous les expéditeurs autorisés et d’avoir résolu les problèmes d’authentification, le propriétaire peut passer à une politique de « reject » pour bloquer les tentatives de phishing, les compromissions de compte email professionnel et autres fraudes par email.  

En tant que destinataire d’emails, une organisation peut s’assurer que sa passerelle de messagerie applique la politique définie par le propriétaire du domaine. Cela contribue à protéger les employés contre les menaces provenant des courriels entrants.  

L’authentification SPF implique l’identification de toutes les adresses IP autorisées à envoyer des emails depuis un domaine donné, puis la publication de cette liste dans le DNS.  

Avant de délivrer un message, les fournisseurs de messagerie vérifient l’enregistrement SPF en cherchant le domaine figurant dans l’adresse “envelope from” dans l’en-tête technique de l’email. Si l’adresse IP qui envoie l’email n’apparaît pas dans l’enregistrement SPF du domaine, le message échoue à l’authentification SPF.  

Pour l’authentification DKIM, l’expéditeur sélectionne d’abord les champs à inclure dans sa signature (comme l’adresse « from », le corps du message, l’objet, etc.). Ces champs doivent rester inchangés pendant la transmission, sinon l’authentification DKIM échouera.  

La plateforme de messagerie de l’expéditeur génère un hachage des champs inclus dans la signature, puis le chiffre à l’aide d’une clé privée accessible uniquement à l’expéditeur.  

Après l’envoi du message, la passerelle de messagerie du destinataire ou le fournisseur de la boîte mail valide la signature en trouvant la clé publique correspondante. La signature est ensuite déchiffrée pour récupérer la chaîne de hachage initiale. 

Quels sont les avantages à l’utilisation de DMARC ?  

DMARC apporte de nombreux bénéfices en renforçant la sécurité des emails pour les organisations qui l’adoptent.  

Voici ses principaux avantages : 

  • Amélioration de la délivrabilité des emails : en configurant un enregistrement DMARC dans le DNS, la délivrabilité des emails s’améliore, tout en empêchant les acteurs malveillants d’envoyer des messages frauduleux utilisant votre domaine. 
  • Réduction des risques de phishing : il aide à prévenir et à atténuer les attaques de phishing, limitant ainsi les risques financiers et réputationnels pour les organisations. 
  • Mise en œuvre de politiques d’expéditeur : il permet aux organisations de définir des règles pour l’authentification des emails via un enregistrement DNS, en indiquant aux serveurs de messagerie comment traiter les messages non conformes. 
  • Protection de la réputation de la marque : en empêchant les cybercriminels d’usurper l’identité de leur domaine, il aide les organisations à préserver la confiance de leurs clients et à protéger leur réputation. 
  • Rapports d’authentification détaillés : il fournit des rapports complets sur l’authentification des emails, offrant aux organisations une meilleure visibilité sur la sécurité de leur système de messagerie. 
  • Adapté à une grande échelle : conçu pour fonctionner à l’échelle de l’internet, il est une solution efficace pour les grandes organisations, institutions et entreprises. 

Bien que ces avantages soient interconnectés, l’objectif principal de DMARC est de renforcer la protection des emails grâce à une authentification robuste et à la réduction des menaces. 

Comment DMARC assure la réputation, la sécurité et la visibilité ?  

DMARC contribue à la réputation, la sécurité et la visibilité : 

  1. Réputation :
  • Protection contre le phishing : il empêche les cybercriminels de se faire passer pour le domaine de l’entreprise (usurpation d’identité), ce qui réduit les risques de phishing. Cela contribue à préserver la réputation de l’entreprise. 
  • Authenticité des emails : les emails envoyés depuis le domaine de l’entreprise sont plus susceptibles d’être acceptés par les serveurs de messagerie des destinataires (comme Gmail, Outlook, etc.), ce qui réduit les chances que les emails légitimes soient marqués comme spam
  • Amélioration de la délivrabilité : en assurant une meilleure conformité et en filtrant les emails frauduleux, il améliore la délivrabilité des emails légitimes, augmentant ainsi la confiance des destinataires envers le domaine. 
  1. Sécurité :
  • Prévention des attaques de spoofing : en définissant des règles strictes de vérification (alignement des signatures SPF et DKIM avec l’expéditeur), il protège contre les attaques de spoofing où un attaquant envoie des emails avec une fausse adresse d’expéditeur. 
  • Réduction des risques de compromission : il réduit la probabilité que des cybercriminels utilisent le domaine pour envoyer des emails malveillants, comme des ransomwares ou des malwares, ce qui limite les risques pour les utilisateurs et les clients. 
  • Protection proactive : avec une politique stricte (comme « reject »), les emails non conformes sont directement bloqués avant d’atteindre les destinataires, assurant une défense en première ligne ainsi que les fuites de données.  
  1. Visibilité :
  • Rapports DMARC : l’un de ses atouts est la possibilité de recevoir des rapports détaillés sur les emails envoyés à partir du domaine. Cela inclut des informations sur les tentatives d’usurpation, les sources d’envoi, et le taux de conformité.
  • Suivi des incidents : grâce aux rapports, les administrateurs peuvent identifier les sources d’email suspectes ou non autorisées, analyser les incidents potentiels et ajuster les politiques de sécurité en conséquence. 
  • Optimisation continue : la visibilité fournie par ses rapports permet d’optimiser progressivement la configuration SPF, DKIM et DMARC pour atteindre un taux de conformité plus élevé, renforçant ainsi la sécurité globale. 
À lire aussi :  Qu’est-ce que la Data Loss Prevention (DLP) ?

Comment configurer et utiliser DMARC en 7 étapes ?  

Configurer et utiliser DMARC implique plusieurs étapes pour garantir une meilleure protection contre l’usurpation d’identité et le phishing par email. Voici des indications pour le mettre en place et en tirer le meilleur parti : 

  1. Pré-requis : connaître SPF et DKIM

Avant de le configurer, il est essentiel de comprendre et de configurer correctement les protocoles SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail), car DMARC s’appuie sur ces deux mécanismes pour authentifier les emails :  

  • SPF vérifie si un email est envoyé par un serveur autorisé à utiliser le domaine. 
  • DKIM ajoute une signature numérique à chaque email envoyé, garantissant son intégrité. 
  1. Créer un enregistrement DMARC

Sa configuration commence par la création d’un enregistrement DNS pour votre domaine : 

  • Connectez-vous à votre fournisseur de DNS ou à votre registrar (bureau d’enregistrement de votre domaine). 
  • Ajoutez un enregistrement TXT pour votre domaine avec les informations suivantes : 
  • Nom de l’enregistrement : _dmarc.votredomaine.com 
  • Valeur de l’enregistrement :v=DMARC1; p=none; rua=mailto:votreadresse@votredomaine.com (exemple de configuration de base) 

Explication des paramètres : 

  • v=DMARC1 : Version du protocole
  • p= : Politique à appliquer (none, quarantine, reject)
  • rua= : Adresse email pour recevoir les rapports agrégés
  • ruf= : Adresse email pour recevoir les rapports détaillés
  • pct= : Pourcentage d’emails à soumettre à la politique
  • adkim= et aspf= : Mode d’alignement pour DKIM et SPF
  1. Définir une politique

La politique DMARC (p) détermine le comportement pour les emails qui échouent aux vérifications : 

  • p=none : aucune action n’est prise, les emails sont livrés normalement, mais les rapports sont envoyés pour analyse. 
  • p=quarantine : les emails non conformes sont envoyés dans le dossier spam. 
  • p=reject : les emails non conformes sont entièrement bloqués, garantissant que seuls les emails légitimes sont délivrés. 

Conseil d’expert Mailinblack: commencez avec p=none pour surveiller l’activité et ajuster progressivement la configuration. Une fois que vous êtes sûr que les emails légitimes passent correctement, passez à p=quarantine puis à p=reject pour une sécurité maximale. 

  1. Ajouter les adresses pour les rapports 

Les rapports DMARC sont essentiels pour surveiller la performance et l’impact de votre configuration : 

  • Rapports agrégés (rua) : contiennent des données statistiques sur les emails envoyés depuis votre domaine et sont utiles pour identifier les problèmes potentiels. 

 Ex. : rua=mailto:votreadresse@votredomaine.com 

  • Rapports d’analyse (ruf) : fournissent des copies des messages qui ont échoué à l’authentification, permettant une analyse plus détaillée. 

  Ex. : ruf=mailto:votreadresse@votredomaine.com 

Ajouter les adresses email pour recevoir ces rapports dans votre enregistrement vous permet de rester informé sur les activités suspectes et les performances de votre configuration. 

  1. Tester et analyser les rapports DMARC
  • Surveiller les rapports pour comprendre les sources d’envoi et les éventuels problèmes d’authentification. 
  • Utiliser des outils de visualisation DMARC (tels que DMARC Analyzer, dmarcian, etc.) pour faciliter la lecture des rapports agrégés, qui sont souvent en format XML. 
  • Identifier les expéditeurs légitimes qui n’ont pas été correctement configurés pour SPF ou DKIM et ajuster les paramètres en conséquence. 
  1. Ajuster la politique DMARC en fonction des résultats

Après quelques semaines de surveillance avec la politique p=none, passez à une politique plus stricte (quarantine ou reject) pour mieux protéger votre domaine. 

  1. Quarantine est une bonne étape intermédiaire pour évaluer l’impact avant de bloquer les emails. 
  2. Reject est recommandé lorsque vous êtes sûr que tous les expéditeurs légitimes ont été configurés et que vous souhaitez éviter toute tentative d’usurpation. 
  1. Surveiller et maintenir votre configuration DMARC
  • Mise à jour continue : ajustez les enregistrements SPF, DKIM et DMARC en cas de nouveaux services ou outils qui envoient des emails pour votre domaine. 
  • Rotation des clés DKIM : changez périodiquement vos clés DKIM pour renforcer la sécurité. 
  • Revoir les rapports régulièrement pour détecter de nouvelles tentatives d’usurpation et affiner les règles de votre enregistrement.  

Qu’est-ce qu’un enregistrement DMARC ?  

Il permet aux propriétaires de domaines de protéger leurs domaines contre les accès et les utilisations non autorisées. C’est essentiel, car les emails sont de plus en plus exposés aux cyberattaques telles que le phishing, l’usurpation d’identité, le whaling, la fraude au PDG et la compromission des emails professionnels (BEC). 

À lire aussi :  Qu’est-ce que le protocole HTTPS ?

Comment créer un enregistrement DMARC en 3 étapes ?  

La mise en place de DMARC est une solution efficace pour protéger vos emails contre les usurpations d’identité et les activités frauduleuses. La création d’un enregistrement est la première étape pour sécuriser votre organisation, vos clients et la réputation de votre marque contre la fraude par email. 

Les enregistrements sont hébergés sur vos serveurs DNS en tant qu’entrées TXT. Chaque hébergeur fournit un accès DNS à ses clients, vous permettant ainsi d’ajouter cette entrée TXT via le bureau d’enregistrement où le domaine a été enregistré, ou à partir d’un tableau de bord fourni par votre hébergeur. Bien que les étapes varient selon le registrar ou l’hébergeur, la création de l’enregistrement est identique pour chaque domaine. Après, vous êtes connecté à votre hébergeur ou registrar, procédez comme suit : 

  1. Créez un enregistrement TXT : lancez la création et saisissez un nom et une valeur pour l’enregistrement. 
  2. Nommez votre enregistrement _dmarc : selon la configuration de votre hébergeur, le nom de domaine peut être automatiquement ajouté au nom. Si ce n’est pas le cas, nommez l’enregistrement `_dmarc.votredomaine.com`. 
  3. Saisissez la valeur de votre enregistrement : v=DMARC1; p=none; rua=mailto:youraddress@yourdomain.com (exemple de valeur)

Les trois éléments de cette valeur sont importants pour déterminer le comportement des emails envoyés à votre domaine. La première valeur « v » est obligatoire et définit la version de DMARC, identique pour tous les enregistrements. La deuxième valeur « p » indique la politique à appliquer lorsque les emails réussissent ou échouent aux vérifications. Dans cet exemple, la politique est définie sur « none », ce qui signifie qu’aucune action ne sera prise initialement. 

Il est recommandé de commencer avec la politique « none » pour s’assurer que DMARC fonctionne correctement avant de passer à des actions plus strictes. Une fois le bon fonctionnement vérifié, vous pouvez ajuster la valeur « p » pour mettre les messages en quarantaine ou les rejeter. Il est conseillé de commencer par la mise en quarantaine pour éviter les faux positifs, permettant de revoir les messages avant leur traitement définitif. L’option « reject » bloque immédiatement les emails qui ne respectent pas les règles DMARC. 

N’utilisez la politique « reject » que si vous êtes certain que tous les messages légitimes passeront les vérifications, afin de ne pas risquer de bloquer des emails importants. 

Alignement du domaine DMARC 

L’alignement de domaine est un concept de DMARC qui compare le domaine d’un email avec ceux utilisés pour SPF et DKIM. Un enregistrement peut définir différents niveaux de rigueur pour l’alignement DKIM, influençant la validation des messages via DKIM. L’alignement peut-être soit assoupli, ce qui permet de correspondre aux domaines de base tout en acceptant différents sous-domaines, soit strict, ce qui exige une correspondance exacte avec le domaine complet. 

Politiques DMARC (none, quarantine, reject) 

La règle définie par un propriétaire de domaine dans son enregistrement DMARC indique au serveur de messagerie destinataire comment traiter les emails qui échouent aux vérifications DKIM et SPF tout en prétendant provenir de ce domaine. Trois politiques peuvent être spécifiées avec le paramètre « p » :  

-None (« p=none ») : cette politique indique au serveur destinataire de ne prendre aucune mesure particulière lorsque l’email ne répond pas aux critères. Cependant, le serveur enverra des rapports par email à l’adresse spécifiée dans l’enregistrement DMARC. 

-Quarantine (« p=quarantine ») : cette politique demande au serveur destinataire de placer en quarantaine les emails non conformes. En conséquence, ces emails sont généralement redirigés vers le dossier spam des destinataires. 

-Reject (« p=reject ») : cette politique demande au serveur destinataire de rejeter les emails non conformes. Ainsi, seuls les emails qui réussissent entièrement les vérifications seront livrés dans les boîtes de réception, tandis que ceux qui échouent seront bloqués. 

Qu’est-ce qu’un rapport DMARC ?  

Le processus de validation DMARC permet aux serveurs de messagerie de générer des rapports. Ces rapports existent sous deux formats et sont indiqués dans les enregistrements, accompagnés de l’adresse email à laquelle ils doivent être envoyés. 

Rapports agrégés 

Les rapports agrégés sont des fichiers XML qui contiennent des données statistiques sur les emails prétendant provenir d’un domaine spécifique. Ils incluent des informations telles que les résultats d’authentification et le traitement des messages, et sont conçus pour être lus par des machines. Ces rapports sont indiqués par le paramètre « rua=mailto » dans l’enregistrement de domaine et peuvent être envoyés à n’importe quelle adresse email. 

Rapports d’analyse 

Les rapports d’analyse sont des copies de messages électroniques ayant échoué à l’authentification. Ils permettent de diagnostiquer les problèmes d’authentification d’un domaine et d’identifier les sites Web et domaines malveillants. Ces rapports sont spécifiés par le paramètre « ruf=mailto » dans l’enregistrement de domaine et ne peuvent être envoyés qu’à une adresse email appartenant au domaine pour lequel l’enregistrement DMARC a été configuré. 

Comment DMARC aide-t-il à empêcher le spoofing et l’hameçonnage ?  

DMARC est une méthode permettant de valider l’authenticité de vos courriers électroniques sortants. En configurant un enregistrement, vous invitez les destinataires à fournir des informations sur l’origine de vos emails. Lorsque les protocoles SPF et DKIM sont correctement configurés pour tous les flux de courriers légitimes et réussissent la vérification DMARC, les destinataires peuvent s’assurer que le message est authentique et non falsifié. 

À lire aussi :  Tout savoir sur les logiciels malveillants

De plus, vous pouvez définir une politique indiquant aux destinataires comment traiter les mails non conformes, qu’il s’agisse de les rejeter ou de les marquer comme suspects. Ainsi, il contribue à prévenir du spoofing et à renforcer la sécurité de vos communications, tant personnelles que professionnelles. 

Comment optimiser les politiques DMARC ?  

Pour optimiser les politiques DMARC, il est important de suivre une approche progressive qui assure une transition en douceur vers une protection complète, tout en minimisant les risques d’interruption des flux de courriers légitimes. Voici les étapes clés pour y parvenir : 

1. Définir une politique initiale de surveillance (p=none) 

  • Commencez avec une politique p=none : cela permet de surveiller le trafic de vos emails sans appliquer de mesures strictes. 
  • Analyser les rapports : recevez et examinez les rapports agrégés DMARC (rua) pour identifier les sources d’envoi légitimes et celles qui pourraient être malveillantes. 
  • Vérifier les résultats SPF et DKIM : assurez-vous que vos emails passent les vérifications SPF et DKIM et identifiez les éventuels problèmes de configuration. 

2. Identifier et corriger les sources d’envoi légitimes 

  • Établissez une liste de toutes les sources d’envoi autorisées (comme vos serveurs de messagerie internes, vos prestataires tiers, etc.). 
  • Ajustez les enregistrements SPF et DKIM pour inclure ces sources d’envoi et vous assurer qu’elles sont correctement authentifiées. 
  • Traitez les anomalies : si vous trouvez des sources qui échouent aux vérifications DMARC mais qui sont légitimes, corrigez les configurations SPF et DKIM ou mettez à jour vos enregistrements DMARC. 

3. Passer à une politique plus restrictive (p=quarantine) 

  • Après quelques semaines de surveillance, une fois que vous êtes certain que la majorité de vos emails légitimes passent la vérification DMARC, vous pouvez passer à une politique p=quarantine
  • Surveillez attentivement les rapports pour vérifier si des emails légitimes sont mis en quarantaine à tort et ajustez les configurations si nécessaire. 
  • La politique p=quarantine indique aux destinataires de placer les emails non conformes dans un dossier de type « Spam » ou « Junk ». 

4. Appliquer une politique de rejet (p=reject) 

  • Lorsque vous êtes confiant dans la conformité de vos flux de courriers et que vous avez identifié toutes les sources d’envoi légitimes, passez à une politique p=reject
  • Cette politique demande aux destinataires de rejeter directement les emails non conformes, ce qui empêche leur livraison dans la boîte de réception. 
  • Continuez à surveiller les rapports pour détecter tout problème ou nouvelle source d’envoi qui pourrait apparaître. 

5. Optimiser l’alignement DMARC 

Utilisez l’option aspf et adkim dans votre enregistrement DMARC pour ajuster l’alignement SPF et DKIM. 

 aspf=r (relaxed) et adkim=r permettent une correspondance plus flexible entre les domaines utilisés. 

 aspf=s (strict) et adkim=s exigent une correspondance stricte, ce qui renforce la sécurité, mais peut nécessiter un ajustement plus minutieux des configurations. 

6. Surveiller les rapports de manière continue 

  1. Utilisez un outil d’analyse de rapports DMARC pour faciliter la compréhension des données agrégées. Cela peut être fait avec des services comme DMARC Analyzer, DMARCian, ou des solutions open-source. 
  2. Surveillez les nouvelles tentatives d’usurpation de votre domaine et ajustez votre politique si nécessaire pour maintenir une protection efficace. 

7. Mettre en place une politique pour les sous-domaines (sp dans l’enregistrement DMARC) 

Si votre domaine a des sous-domaines qui envoient des emails, configurez une politique pour ces sous-domaines avec le paramètre sp (ex. sp=quarantine ou sp=reject). 

Cela permet de protéger également les sous-domaines contre l’usurpation, ce qui est important pour éviter les failles potentielles. 

8. Communiquer et former les équipes internes 

Assurez-vous que toutes les équipes responsables de la messagerie et de la sécurité comprennent les implications du DMARC et sont prêtes à ajuster les configurations si nécessaire. 

Expliquez l’importance des rapports DMARC et comment les lire pour réagir rapidement aux éventuels problèmes. 

9. Revoir régulièrement la politique

Les environnements de messagerie évoluent, et de nouvelles sources d’envoi peuvent apparaître. Revisitez régulièrement votre enregistrement DMARC pour ajuster les configurations et maintenir un niveau de sécurité optimal. 

Effectuez des tests périodiques pour garantir que vos enregistrements SPF et DKIM fonctionnent comme prévu et que vos emails passent la vérification DMARC. 

En suivant ces étapes, vous pourrez mettre en place une politique DMARC de plus en plus stricte tout en réduisant les risques de faux positifs. Une politique DMARC bien optimisée aide à protéger vos domaines contre les usurpations d’identité et améliore la réputation de vos emails auprès des destinataires, assurant ainsi la sécurité de vos communications. 

Ce protocole devient une méthode clé pour améliorer la sécurité en ligne des entreprises, notamment en ce qui concerne les messages électroniques. Son adoption permet de le faire.

  • Combattez efficacement le phishing et l’usurpation d’identité.
  • Améliorez considérablement la délivrabilité des e-mails légitimes.
  • Protégez la réputation de la marque et la confiance des clients.
  • Bénéficiez d’une visibilité précieuse sur les tentatives d’usurpation d’identité grâce au reporting.

 

U-Cyber 360° ​​​​ajoute DMARC pour une meilleure protection contre les nouvelles menaces. Cette méthode avant-gardiste de sécurité du courrier électronique permet aux entreprises de stopper les menaces et d’améliorer leurs messages en ligne.

La mise en œuvre de DMARC, avec une gestion stricte des politiques et une analyse détaillée des rapports, aide les entreprises à sécuriser leurs échanges d’informations. Nos outils offrent une sécurité solide et flexible pour aider les clients à rester en sécurité en ligne à mesure que la technologie évolue.

Articles similaires

Cybersécurité
30.12.2020

Les impacts d'une cyberattaque

Cybersécurité
09.02.2024

Comprendre le catfishing et ses risques