Supposons, hypothétiquement, que quelqu'un tente d'utiliser votre marque pour commettre une fraude. Eh bien, le meilleur moyen pour lui de le faire serait d'envoyer des e-mails en votre nom, en agissant comme propriétaire du domaine : vous !

Bien que nous espérons que cette situation ne se produira pas réellement, il suffit qu'un pirate usurpe un domaine pour qu'il soit libre d'abuser de vos clients, de vos prospects et de toute personne possédant une adresse e-mail.

L'usurpation de votre identité en tant que propriétaire du domaine pourrait compromettre la réputation de votre marque, faire que vos e-mails légitimes soient marqués comme spam, et peut même exposer votre organisation à des poursuites judiciaires. Pour s'assurer que vos destinataires d'e-mails puissent distinguer votre e-mail des e-mails frauduleux, vous devez utiliser une authentification adéquate.

Dans les articles précédents, nous avons couvert les bases de l'authentification des messages e-mails fonctionnant comme un ensemble de systèmes de sécurité pour valider l'authenticité d'un e-mail.

Les systèmes de sécurité visés sont les trois protocoles d'authentification d'e-mail bien connus : DKIM (DomainKeys Identified Mail), SPF (Sender Policy Framework), et le protocole d'authentification d'e-mail DMARC qui est le point central de cet article.

Qu'est-ce que DMARC ?

DMARC (Domain-based Message Authentication, Reporting, and Conformance) est une norme d'authentification d'e-mail conçue pour protéger à la fois les expéditeurs et les destinataires d'e-mails contre les attaquants qui envoient du spam et des e-mails d'hameçonnage en usurpant un domaine et en se faisant passer pour le propriétaire d'un domaine.

C'est un protocole d'authentification d'e-mail qui vérifie les adresses IP des expéditeurs par rapport au prétendu propriétaire du domaine d'expédition pour déterminer si l'expéditeur est vraiment qui il dit être.

L'usurpation signifie modifier le champ « De » d'un e-mail pour le faire apparaître comme s'il provenait d'une organisation ou d'un domaine usurpé. Il fonctionne aux côtés et s'appuie sur les deux autres méthodes d'authentification d'e-mail : SPF et DKIM.

DMARC complète les autres méthodes d'authentification avec un protocole qui permet aux expéditeurs de publier des politiques qui suppriment les conjectures du traitement du côté récepteur et fournit également au récepteur un moyen d'envoyer des rapports à l'expéditeur concernant les messages qui réussissent ou échouent l'évaluation DMARC.

Comment fonctionne DMARC ?

DMARC est une norme d'authentification d'e-mail conçue pour protéger à la fois les expéditeurs et les destinataires d'e-mails contre les attaquants qui envoient du spam et des e-mails d'hameçonnage en se faisant passer pour un domaine.

Il fonctionne en conjonction avec deux autres méthodes d'authentification : DKIM et SPF. Pour savoir ce que sont DKIM et SPF, et comment les implémenter, consultez nos articles sur Qu'est-ce que DKIM ? et Qu'est-ce qu'un enregistrement SPF ?

Pour comprendre la fonctionnalité de DMARC et répondre aux questions « Qu'est-ce que DMARC ? » et « Comment fonctionne DMARC ? », il est essentiel de comprendre son intégration avec DKIM et SPF.

DMARC nécessite la mise en œuvre préalable de DKIM ou SPF.

Comme DKIM et SPF, DMARC utilise un enregistrement DNS pour spécifier les actions en cas d'échec de l'authentification des e-mails et comment signaler correctement ces incidents. DMARC introduit le concept « d'alignement de domaine » pour améliorer l'authentification des e-mails.

Bien que SPF vérifie le champ envelope-from, DMARC exige l'alignement entre le domaine dans le champ From (visible pour les destinataires d'e-mails) et le champ envelope-from pour SPF.

Pour DKIM, l'alignement est requis entre le domaine dans le champ From et le domaine spécifié dans les balises d= et s= du champ DKIM-signature. Cet alignement garantit un processus de vérification complet, réduisant les risques d'e-mails usurpés.

Pour un guide rapide de DMARC « pour les nuls », regardez la vidéo PowerDMARC ci-dessous.

Qu'est-ce qu'un enregistrement DMARC ?

Un enregistrement DMARC est un élément vital dans la mise en œuvre de l'authentification DMARC pour les e-mails. Cet enregistrement TXT, appelé enregistrement DMARC, est publié dans le DNS (Domain Name System) d'un domaine sous le label de sous-domaine « dmarc » (par exemple, dmarc.yourdomain.com).

Composé d'un ensemble d'instructions et de spécifications cruciales, l'enregistrement DMARC guide la gestion des échecs d'authentification des e-mails et facilite les procédures de signalement appropriées.

L'enregistrement DMARC, avec ses balises name=value, joue un rôle central dans la définition des politiques et des actions associées à l'authentification DMARC. Ces balises, similaires aux enregistrements SPF et DKIM, fournissent des instructions explicites aux serveurs de messagerie sur la façon de traiter les messages qui ne réussissent pas les contrôles d'authentification.

Lors de la configuration d'un enregistrement DMARC, il est essentiel de considérer les éléments suivants, encapsulés dans l'enregistrement DMARC lui-même :

• Version (v) La balise v désigne la version de DMARC utilisée, telle que « v=DMARC1. »

• Politique (p) La balise p délimite la politique DMARC régissant le traitement de l'authentification échouée. Elle peut prendre l'une des trois valeurs : « none » (indiquant aucune action mais signalement des échecs), « quarantine » (signifiant la mise en quarantaine des messages échoués), ou « reject » (dénotant le rejet des messages échoués).

• Politique de sous-domaine (sp) La balise sp établit la politique pour les sous-domaines appartenant au domaine spécifié dans l'enregistrement DMARC. Elle partage les mêmes valeurs potentielles que la balise de politique.

• Pourcentage (pct) La balise pct détermine le pourcentage d'e-mails non authentifiés soumis à la politique définie. Par exemple, « pct=100 » implique que la politique s'applique à tous les e-mails non authentifiés.

• URI de rapport agrégé (rua) La balise rua spécifie l'URI (adresse e-mail) auquel les rapports DMARC agrégés doivent être envoyés. Ces rapports fournissent des données statistiques sur les messages reçus.

• URI de rapport légiste (ruf) La balise ruf permet l'inclusion d'un URI où les rapports légistes ou les rapports en temps réel concernant les échecs d'authentification d'e-mails peuvent être transmis.

S'assurer du formatage correct et de la représentation exacte des politiques et mécanismes de signalement souhaités au sein de l'enregistrement DMARC est d'une importance capitale.

La surveillance régulière des rapports DMARC est fortement recommandée, car elle permet d'évaluer les performances d'authentification des e-mails et de faciliter les ajustements nécessaires pour améliorer la sécurité globale.

En résumé, un enregistrement DMARC constitue un élément vital dans la mise en œuvre de l'authentification DMARC. Grâce à une configuration et une maintenance précises, les propriétaires de domaines peuvent améliorer considérablement la sécurité et la fiabilité de leur communication par e-mail à l'aide de l'enregistrement DMARC.

L'enregistrement DMARC sert de cadre directeur, indiquant au serveur de messagerie ou aux serveurs de messagerie les actions appropriées et les protocoles de signalement.

Implémentation de DMARC pour l'authentification des e-mails

Pour implémenter DMARC, le propriétaire du domaine doit publier un enregistrement TXT dans le DNS avec le label de sous-domaine « dmarc » (par exemple, dmarc.yourdomain.com). Cet enregistrement TXT se compose de balises name=value délimitées par des points-virgules, similaires aux enregistrements SPF et DKIM.

Par exemple :

Dans cet exemple, la balise v représente la version, p désigne la politique, sp définit la politique de sous-domaine, pct spécifie le pourcentage d'e-mails non authentifiés soumis à la politique, et rua indique l'URI auquel envoyer les rapports DMARC agrégés.

Les rapports agrégés contenant des données statistiques sur les messages reçus seront envoyés à dmarcreports@yourdomain.com. Les rapports légistes ou les rapports en temps réel sur les échecs d'authentification d'e-mails peuvent également être inclus à l'aide de la balise ruf.

Amélioration progressive des politiques DMARC

Il est recommandé d'adopter une approche progressive lors de la mise en œuvre et de l'amélioration des politiques DMARC. En commençant par une politique DMARC relâchée et en surveillant les rapports DMARC, on peut améliorer systématiquement l'authentification des e-mails.

DMARC offre trois valeurs de politique :

• none Cette politique DMARC d'entrée de gamme ne prend aucune action spécifique si les messages échouent à l'authentification. Cependant, elle spécifie dans le rapport de rétroaction que les messages n'ont pas réussi l'authentification.

• quarantine Avec cette politique, les messages qui échouent à l'authentification sont mis en quarantaine, généralement en les dirigeant vers le dossier spam du destinataire. Cela offre un niveau de protection plus élevé contre les e-mails frauduleux ou suspects.

• reject La politique DMARC de rejet rejette directement les messages qui échouent à l'authentification, empêchant leur livraison à la boîte de réception du destinataire. Cette politique offre le niveau de protection le plus strict.

De plus, la balise pct permet la spécification du pourcentage d'e-mails auxquels la politique s'applique. Les messages restants seront soumis à une politique moins stricte (none si p=quarantine est spécifié ou quarantine si p=reject est spécifié).

Considérations de déploiement de DMARC

Lors du déploiement de DMARC, il y a quelques considérations importantes à garder à l'esprit :

• Application progressive de la politique Il est recommandé de commencer par une politique « none » et de surveiller attentivement les rapports DMARC avant de passer à des politiques plus strictes comme « quarantine » ou « reject ». Cette approche progressive permet aux organisations d'identifier et de résoudre tout problème d'authentification sans risquer que les e-mails légitimes soient bloqués ou mal livrés.

• Alignement des sous-domaines DMARC introduit le concept d'alignement de domaine, exigeant l'alignement entre le champ From et le champ envelope-from pour l'authentification SPF, ainsi que le domaine dans le champ DKIM-signature pour DKIM. Il est important de s'assurer d'un alignement correct pour maximiser l'efficacité de DMARC dans la prévention de l'usurpation d'e-mail.

• Pourcentages de politique La balise « pct » dans l'enregistrement DMARC permet aux organisations de spécifier le pourcentage d'e-mails qui doivent respecter la politique définie. Il est crucial de considérer attentivement ce paramètre pour équilibrer l'application stricte et la mise en œuvre progressive.

• Surveillance régulière et ajustements Les organisations doivent examiner régulièrement les rapports DMARC, analyser les données et apporter les ajustements nécessaires à leur configuration d'authentification d'e-mail. La surveillance des rapports DMARC aide à identifier les anomalies, les menaces de sécurité potentielles ou les problèmes de configuration nécessitant une attention.

Pourquoi DMARC est-il important ?

DMARC ajoute deux éléments apparemment petits mais cruciaux au processus d'authentification des e-mails :

1. Alignement de domaine

2. Rapports clairs

Notez que même DMARC ne protège pas les destinataires contre les e-mails frauduleux envoyés à partir d'autres domaines qui ressemblent à votre domaine (par exemple d0ma1n.com vs domain.com), mais si vous ajoutez DMARC à votre domaine, cela devrait au moins aider vos e-mails légitimes à atteindre la boîte de réception de vos destinataires.

La mise en œuvre de DMARC apporte plusieurs avantages aux expéditeurs d'e-mails. En utilisant DMARC, les organisations peuvent :

• Protéger la réputation de leur marque DMARC aide à prévenir l'usurpation d'e-mail et les attaques par hameçonnage, qui peuvent endommager la réputation d'une entreprise. En authentifiant les e-mails, DMARC garantit que les destinataires peuvent faire confiance à l'identité de l'expéditeur et distinguer les e-mails légitimes des frauduleux.

• Améliorer la délivrabilité des e-mails DMARC aide à améliorer les taux de délivrabilité des e-mails en réduisant les risques que les e-mails légitimes soient marqués comme spam ou tentatives d'hameçonnage. Lorsque les destinataires d'e-mails voient qu'un domaine a implémenté DMARC et que l'e-mail réussit l'authentification, ils sont plus susceptibles de livrer l'e-mail à la boîte de réception du destinataire.

• Recevoir des rapports exploitables DMARC fournit une rétroaction sous la forme de rapports agrégés, qui offrent des perspectives précieuses sur les échecs d'authentification des e-mails. Ces rapports peuvent aider les organisations à identifier les problèmes avec leur configuration d'authentification d'e-mail et à prendre des mesures correctives pour améliorer leurs mesures de sécurité.

DMARC joue un rôle vital dans l'authentification des e-mails en introduisant l'alignement de domaine et en fournissant des mécanismes de signalement clairs. Il améliore la sécurité globale de votre domaine et aide à protéger la réputation de votre marque.

Bien que DMARC ne puisse pas prévenir les e-mails frauduleux envoyés à partir d'autres domaines qui imitent le vôtre, la mise en œuvre de DMARC augmente les chances que les e-mails légitimes atteignent les boîtes de réception de vos destinataires.

En alignant les champs de domaine et en renforçant progressivement les politiques d'authentification, vous pouvez minimiser le risque de fraude basée sur le courrier électronique, maintenir une image de marque positive et améliorer la délivrabilité de vos messages importants.

En utilisant DMARC en conjonction avec DKIM (DomainKeys Identified Mail) et l'authentification SPF (Sender Policy Framework), vous établissez un cadre d'authentification d'e-mail robuste qui renforce la sécurité et la fiabilité de votre communication par e-mail.

Voilà, mes amis, c'est DMARC expliqué !

Mailer To Go prend-il en charge DMARC ?

Absolument, oui ! Mailer To Go prend en charge DMARC et les enregistrements DMARC.

DMARC n'est pas défini par service de messagerie mais plutôt pour l'ensemble de votre domaine. Nous vous recommandons de commencer par ajouter un enregistrement TXT DMARC à votre domaine, avec une valeur qui indique aux serveurs de messagerie d'envoyer uniquement des rapports agrégés pour que vous puissiez découvrir comment bien vous avez défini les méthodes d'authentification pour tous vos mécanismes d'envoi d'e-mails.

La valeur suivante indique aux serveurs d'envoyer uniquement un rapport agrégé à dmarc@yourdomain.com :

« v=DMARC1; p=none; rua=mailto:dmarc@yourdomain.com; »

Lire plus sur les méthodes d'authentification des e-mails

• Partie #1 : Qu'est-ce que DKIM ?

• Partie #2 : Qu'est-ce qu'un enregistrement SPF ?

Questions fréquemment posées

Qu'est-ce que DMARC ?

DMARC, qui signifie Domain-based Message Authentication, Reporting, and Conformance, est un protocole d'authentification d'e-mail qui vérifie les adresses IP des expéditeurs par rapport au prétendu propriétaire du domaine d'expédition. Il est conçu pour donner aux propriétaires de domaine e-mail la possibilité de protéger leur domaine contre l'utilisation non autorisée, communément appelée usurpation d'e-mail.

Quel est l'objectif de DMARC ?

L'objectif de DMARC est de prévenir les e-mails usurpés. Un message usurpé semble provenir de l'organisation ou du domaine usurpé. DMARC vous permet également de demander des rapports aux serveurs de messagerie qui reçoivent des messages de votre domaine, ce qui vous donne une visibilité sur votre écosystème de messagerie.

Comment fonctionne DMARC ?

DMARC permet aux propriétaires de domaines de spécifier comment les serveurs de messagerie des destinataires doivent traiter les e-mails échouant aux vérifications SPF et DKIM. Il fournit également un mécanisme de rapport à l'intention du propriétaire du domaine concernant ces actions.

Quel est l'avantage d'utiliser DMARC ?

DMARC fournit une protection des e-mails et vous donne un contrôle total sur la livraison des e-mails pour le domaine de votre entreprise. Il aide à prévenir l'usurpation d'e-mail, le hameçonnage et d'autres attaques basées sur le courrier électronique. Il améliore également la délivrabilité des e-mails en assurant que les e-mails légitimes sont correctement authentifiés.

Comment configurer DMARC ?

La configuration de DMARC implique de créer un enregistrement DMARC dans les enregistrements DNS de votre domaine. Cet enregistrement comprend votre politique DMARC, qui spécifie comment les serveurs de messagerie doivent gérer le courrier qui échoue aux vérifications DMARC. Un fournisseur de services de messagerie transactionnelle comme Mailer To Go peut vous aider à configurer et à gérer DMARC pour votre domaine.

Qu'est-ce que le rapport dans DMARC ?

Le rapport dans DMARC est une fonctionnalité qui vous permet de suivre l'état d'authentification de votre e-mail et les échecs de livraison. Il fournit des perspectives précieuses sur qui envoie des e-mails au nom de votre domaine, ce qui peut aider à identifier les expéditeurs légitimes ainsi que les activités frauduleuses potentielles.

N'oubliez pas que la mise en œuvre de DMARC est une étape cruciale pour sécuriser votre domaine de messagerie et améliorer la délivrabilité des e-mails.