Table des matières
Qu’est-ce que le protocole DMARC ?
DMARC (pour « Domain-based Message Authentication, Reporting and Conformance ») est un protocole d'authentification de l'email qui renforce la sécurité de communications par email en empêchant l'usurpation d'identité et les attaques par hameçonnage. DMARC fonctionne en collaboration avec deux autres technologies d'authentification des emails : SPF (pour « Sender Policy Framework » et DKIM (pour « DomainKeys Identified Mail »).
Pourquoi mettre en place DMARC ?
-
Authentification : DMARC ajoute une couche supplémentaire d'authentification pour vérifier que l'expéditeur d'un email est bien légitime.
-
Protection contre le hameçonnage : DMARC aide contre les attaques par hameçonnage en garantissant que les emails envoyés depuis un domaine sont bien autorisés et n'ont pas été altérés.
-
Protection de la marque : DMARC aide aussi à protéger la réputation de votre marque en limitant les risques que des acteurs malveillants se fassent passer pour vous en utilisant votre domaine.
- Les initiatives de sécurité des emails de Gmail et Yahoo pour 2024 : dans le cadre de leur engagement continu pour le renforcement des boîtes de réception, Gmail et Yahoo on annoncé la mise en place de nouveaux standards de protection à l'attention des expéditeurs d'emails groupés. Pour en savoir plus, nous vous invitons à consulter le présent guide.
Balises DMARC
Les balises DMARC sont des éléments clés de l'enregistrement DMARC. Elles aident à définir la politique DMARC pour un domaine, en spécifiant comment les destinataires doivent gérer les emails prétendant provenir de ce domaine. Voici les principales balises DMARC :
Politiques DMARC pour les messages non-authentifiés
Ces politiques sont définies dans la balise "p" de l'enregistrement DMARC et définissent les mesures qui doivent être prises lorsque l'authentification DMARC échoue. Choisissez la politique qui correspond aux exigences de sécurité et à la tolérance au risque de votre entreprise.
Une fois que vous avez confiance dans l'authentification de votre trafic, vous pouvez passer à des options plus restrictives comme "p=quarantine" ou la plus stricte, "p=reject". Faites toutefois attention à la politique "p=reject" : elle peut avoir un impact significatif sur l'ensemble du trafic expédié depuis votre domaine, et ne doit être utilisée que si vous avez la certitude de sa pertinence.
Comprendre l'alignement DMARC et son rôle essentiel
DMARC fonctionne sur le principe d'alignement, en déterminant la validité d'un message sur la base de la correspondance la plus proche de l'en-tête « De : » avec le domaine d'envoi spécifié par SPF ou DKIM.
Alors que SPF et DKIM sont des technologies bien connues, il est vital de reconnaître qu'à l'échelle individuelle, elles n'ont pas d'influence directe sur l'adresse d'expédition (« De : »), c'est-à-dire la partie de l'email visible par les utilisateurs. Cette lacune offre des possibilités au hameçonnage, à l'usurpation d'identité et à tout autre activité malveillante. DMARC agit comme un contrôle crucial, en remédiant à ces vulnérabilités et en améliorant la sécurité de l'email.
L'alignement des identifiants est au cœur de DMARC, en connectant les mécanismes d'authentification de SPF et DKIM avec la politique d'application décrite dans l'enregistrement DMARC. L'alignement se réfère spécifiquement aux relations entre le domaine dans l'adresse de l'en-tête « De : », et les domaines vérifiés par les authentifications SPF et DKIM. Un alignement réussi garantit que ces domaines correspondent bien entre eux, permettant aux emails de passer la validation DMARC. Dans le cas contraire, une incompatibilité de domaines entraîne l'échec de DMARC.
Découvrons davantage l'alignement avec les exemples suivants :
L'alignement correct de vos emails signale au monde extérieur qu'un fournisseur (ici : Mailjet) ou serveur spécifique est explicitement autorisé à envoyer des emails au nom de votre organisation. L'alignement garantit que seuls les emails approuvés sont délivrés, vous permettant de demander aux destinataires de l'email de rejeter les messages non-autorisés. Sans alignement, lorsque les destinataires de l'email essayent de vérifier l'origine et la fiabilité d'un message, des incertitudes subsistent.
Comme DMARC fonctionne par domaine, il est essentiel de configurer l'envoi de vos emails en votre nom. Rendez-vous dans le DNS de votre organisation, et coordonnez-vous avec Mailjet pour aligner vos configurations d'envoi d'emails. Compte tenu des variations uniques des différentes méthodes de configuration, comprendre comme identifier, organiser et gérer ces sources au sein de votre écosystème d'emailing est crucial.
Votre objectif final est de parvenir à un alignement approchant les 100 %. Pour ce faire, mettez en place des politiques DMARC de plus en plus restrictives, allant de "p=none" à "p=quarantine", pour finir avec "p=reject".
Options d'alignement DMARC
Modes d'alignement
Vous avez la possibilité de choisir entre deux méthodes d'alignement : strict et souple. Le mode d'alignement est spécifié dans l'enregistrement DMARC en utilisant les balises "aspf" et "adkim" pour SPF et DKIM respectivement.
Ce choix a pour but d'offrir plus de flexibilité et s'adapte aux scénarios d'emailing les plus courants. L'alignement "strict" quant à lui offre une meilleure protection contre certains scénarios d'usurpation d'identité, mais peut aussi entraîner le rejet ou la mise en spam de messages envoyés depuis des sous-domaines associés.
Alignement strict :
- SPF (Sender Policy Framework) : nécessite une correspondance exacte entre le domaine de l'en-tête « De : » et le domaine de « chemin de retour ».
- DKIM (DomainKeys Identified Mail) : nécessite une correspondance exacte entre le domaine de l'en-tête « De : » et le domaine de signature DKIM.
Alignement souple :
-
SPF (Sender Policy Framework) : nécessite une correspondance exacte OU partielle entre le domaine de l'en-tête « De : » et le domaine de « chemin de retour ».
Dans l'alignement SPF, une correspondance partielle a lieu lorsque le domaine de l'en-tête « De : » est aligné avec le domaine de « chemin de retour » si les domaines parent/racine correspondent.
Exemple :
- Domaine de l'en-tête « De : » = votredomaine.com
- Domaine de « chemin de retour » = bnc3.votredomaine.com
Bien qu'il ne s'agisse pas d'une correspondance exacte, la correspondance reste partielle parce que « votredomaine.com » est le domaine parent/racine de l'en-tête « De : » et du « chemin de retour ». Dans ce scénario, l'alignement SPF sera validé en mode souple.
-
DKIM (DomainKeys Identified Mail) : nécessite une correspondance exacte OU partielle entre le domaine de l'en-tête « De : » et le domaine de signature DKIM.
Dans l'alignement DKIM, une correspondance partielle a lieu lorsque le domaine de l'en-tête « De : » est aligné avec le domaine de signature DKIM si les domaines parent/racine correspondent.
Exemple :
- Domaine de l'en-tête « De : » = votredomaine.com
- Domaine de signature DKIM = test.votredomaine.com
Bien qu'il ne s'agisse pas d'une correspondance exacte, la correspondance reste partielle parce que « votredomaine.com » est le domaine parent/racine de la signature DKIM et de l'en-tête « De : ». Dans ce scénario, l'alignement DKIM sera validé en mode souple.
Par exemple, « bnc3.votredomaine.com » diffère de votre en-tête « De : », qui est généralement « votredomaine.com ». Cette approche équilibrée permet une authentification des emails optimisée tout en tenant en compte les distinctions de domaines spécifiques.
L'alignement souple offre des protections suffisantes contre l'usurpation d'identité et est généralement utilisé pour éviter les rejets ou classements en spam inutiles.
En revanche, avec DKIM, atteindre un alignement « strict » est faisable, surtout lorsqu'il est paramétré correctement avec Mailjet.
Pour plus d'informations sur la configuration correcte de SPF et DKIM avec Mailjet pour atteindre un alignement optimal des contrôles DKIM, veuillez consulter notre guide.
Contrôles DMARC
Pour qu'un message soit accepté par DMARC, il doit passer au moins un de ces contrôles :
- Authentification SPF et alignement SPF.
- Authentification DKIM et alignement DKIM.
IMPORTANT
Si un alignement souple offre généralement suffisamment de protection contre l'usurpation d'identité, l'adoption d'un alignement strict peut conduire au rejet ou à la classification comme spam de messages provenant de sous-domaines associés.
Paramétrer DMARC
Étape 1 : paramétrage des enregistrements DNS
-
Rendez-vous dans vos paramètres DNS :
- Connectez-vous à votre registraire de nom de domaine ou à votre hébergeur DNS.
- Connectez-vous à votre registraire de nom de domaine ou à votre hébergeur DNS.
-
Créez un enregistrement DMARC TXT :
- Ajoutez un enregistrement DMARC TXT à vos paramètres DNS. L'enregistrement doit spécifier la politique pour traiter les emails qui échoueraient l'authentification DMARC.
- Le nom de l'hôte/enregistrement TXT doit être "_dmarc.votredomaine.com" avec "votredomaine.com" remplacé par votre nom de domaine ou sous-domaine réel.
- Assurez-vous que le type d'enregistrement est défini sur 'TXT', que le nom de l'hôte/enregistrement est configuré en tant que '_dmarc', et que la valeur TXT correspond à l'enregistrement fourni ci-dessous.
- Important : Certains hébergeurs de domaine ajoutent automatiquement le nom de domaine après _dmarc. Après avoir ajouté l'enregistrement TXT, vérifiez le nom de l'enregistrement TXT DMARC pour vous assurer qu'il est correctement formaté.
- Nous vous recommandons d'utiliser le TTL par défaut.
Exemple d'enregistrement DMARC TXT :
v=DMARC1; p=none; rua=mailto:votre@email.com; ruf=mailto:votre@email.com
-
v=DMARC1
: indique l'utilisation de la version 1 de DMARC. -
p=none
: spécifie la politique appliquée si un email échoue à DMARC. Les options possibles comprennent « none », « quarantine » et « reject ».
-
Spécifiez les adresses de rapport agrégés et d'échecs :
-
rua=mailto:votre@email.com
: cette adresse email recevra les rapports agrégés. -
ruf=mailto:votre@email.com
: cette adresse email recevra les rapports d'échecs.
-
Étape 2 : implémentation graduelle
Après la mise en œuvre initiale, il est essentiel de suivre l'authentification de votre trafic (p=none). Passez en revue quotidiennement les rapports agrégés et/ou détaillés de DMARC. Lorsque vous avez accumulé assez de données prouvant la réussite de l'authentification des emails légitimes, vous pouvez passer graduellement à une politique DMARC plus stricte ("p=quarantine" ou "p=reject"). Cette approche par étapes améliore la sécurité de vos emails avec le temps.
Étape 3 : ajustement de la politique
-
Transition vers « quarantine » ou « reject »
- Une fois que vous avez une bonne idée des résultats, ajustez la politique DMARC sur « quarantine » ou « reject », pour vous protéger des emails non autorisés.
Exemple d'enregistrement DMARC TXT pour « reject » :
v=DMARC1; p=reject; rua=mailto:votre@email.com; ruf=mailto:votre@email.com
Bonnes pratiques
-
Implémenter SPF et DKIM
-
Implémentation graduelle d'une nouvelle politique :
- Commencez par la politique « none », analysez les rapports, puis passez progressivement à « quarantine » ou « reject ».
-
Suivi régulier des rapports :
- Restez informé des résultats de l'authentification des emails grâce aux rapports DMARC.
-
Maintien à jour des enregistrements SPF et DKIM :
- Mettez régulièrement à jour vos enregistrements SPF et DKIM pour inclure toutes les sources légitimes d'emailing.
Conclusion
L'implémentation de DMARC est une étape cruciale pour sécuriser vos communications par email, prévenir les attaques par hameçonnage et protéger votre réputation de marque. Suivez régulièrement les rapports, ajustez les politiques si nécessaire, et maintenez proactivement la sécurité de votre environnement d'emailing.
N'oubliez pas que la réussite d'une implémentation de DMARC réside dans un suivi, une analyse et une adaptation aux menaces liées à l'email continus.