Nombreux sont ceux qui ne comprennent pas immédiatement ce que DMARC accomplit ou comment il protège contre la fraude, l'usurpation d'identité et l'usurpation de domaine. Il y a beaucoup de malentendus sur DMARC, sur le fonctionnement de l'authentification du courrier électronique et sur les avantages qu'il présente pour vous. Mais comme les mêmes mythes reviennent sans cesse, certains éléments récurrents méritent d'être explorés.
Mais comment distinguer le vrai du faux ? Et comment être certain que vous l'utilisez correctement ? Skysnag vous aide à y voir clair. Dans cet article, nous allons examiner les différents mythes DMARC et comprendre pourquoi il est si important pour votre organisation.
Mythe n° 1 : Comme j'ai déjà rempli SPF et DKIM, je n'ai pas besoin de DMARC.
La norme DMARC (Domain-based Message Authentication, Reporting, and Conformance) est une norme moderne d'authentification des courriels que de nombreux grands serveurs de messagerie utilisent pour vérifier les courriels sortants et entrants (Office 365, Google Workspace et les passerelles de messagerie sécurisées commerciales).
Étant donné que SPF et/ou DKIM ne fournissent pas d'informations suffisantes, aucune des passerelles décrites ci-dessus ne les prendra en compte pour prendre des décisions en matière de livraison. Elles prendront plutôt en compte une série de paramètres tels que DMARC, le taux d'engagement, etc.
Mythe n°2 : Je ne peux pas utiliser DMARC puisque je n'utilise pas SPF/DKIM.
Rapports DMARC vous fournira les informations nécessaires pour résoudre les problèmes d'authentification avec SPF et DKIM. L'étape initiale de tout projet DMARC consiste à mettre en place un mode de surveillance (p=none) l'enregistrement DMARC, qui permettra de connaître les problèmes d'authentification des flux de courrier autorisés ainsi que les activités de shadow IT et/ou de spoofing.
Mythe n° 3 : Je dispose déjà de DMARC puisque j'utilise Office 365 ou Google Workspace, qui prétendent tous deux le prendre en charge.
O365 et Google Workspace examineront le courrier entrant pour vérifier l'authentification DMARC, mais ils ne fourniront pas de visibilité DMARC et ne vous aideront pas à configurer DMARC enforcement pour vos propres domaines. Ils ne seront pas non plus en mesure de vérifier les services en nuage ou sur site qui envoient du courrier en votre nom.
Mythe n°4 : Je ne peux pas utiliser DMARC à cause de ma configuration de messagerie.
DMARC fonctionne avec n'importe quelle passerelle de messagerie, qu'elle soit sur site ou dans le nuage. DMARC est indépendant du flux de courrier et constitue une entrée DNS distincte des enregistrements MX. Pour les clients utilisant Exchange, Office 365, Google Workspace et toutes les passerelles de messagerie commerciales, Red Sift a mis en œuvre DMARC avec succès.
Encore une fois, c'est une erreur ; en réalité, une fois correctement validé, DMARC donnera à votre lettre de marketing les meilleures chances d'être distribuée. Le problème est que si vous utilisez DMARC sans identifier et authentifier au préalable tous les courriers publicitaires, ceux-ci risquent d'être mis en quarantaine ou rejetés par erreur si vous passez à une politique de DMARC enforcement .
Mythe n° 6 : Seuls les grands expéditeurs de courrier utilisent DMARC.
Ce n'est pas le cas ; DMARC s'applique à tous les types d'entreprises, quelle que soit leur taille ! Chaque entreprise doit authentifier son courrier électronique légitime et empêcher l'usurpation d'identité et l'usurpation de domaine, ce qui peut être fait en déployant DMARC au niveau de l'application.
Mythe n° 7 : DMARC n'est qu'une initiative de sécurité.
DMARC est un projet interfonctionnel dont la réalisation est la plus rapide et la plus productive lorsque l'informatique, la sécurité, la conformité et le marketing travaillent ensemble. Grâce à BIMI, DMARC éliminera non seulement les usurpations d'identité et le phishing malveillants qui utilisent des domaines de confiance, mais il permettra également d'identifier l'informatique parallèle, d'améliorer la distribution des courriers électroniques légitimes et d'augmenter les impressions de la marque !
Mythe n°8 : DMARC avec p=none est préférable à l'absence de DMARC.
Il est vrai que tous les projets DMARC devraient commencer par p=none. Il s'agit d'obtenir la visibilité nécessaire pour procéder à des ajustements d'authentification afin de respecter la conformité DMARC. Cependant, certains utilisateurs pensent à tort que le fait de n'avoir aucune politique DMARC améliore leur position en matière de sécurité. Ce n'est tout simplement pas le cas : si votre politique DMARC est définie sur aucun, vous pouvez être usurpé tout aussi facilement que si vous n'aviez pas de Enregistrement DMARC du tout.
Mythe n°9 DMARC est un processus manuel qui prend du temps et qui nécessite des mois.
Les entreprises interrompent généralement leurs projets DMARC pour deux raisons :
La modification manuelle des enregistrements d'authentification dans le DNS peut prendre beaucoup de temps, surtout s'il faut à chaque fois passer par le contrôle des modifications. L'aplatissement et la maintenance SPF à la main peuvent s'avérer difficiles et chronophages, sans garantie de succès.
Ne pas savoir si tous les courriers légitimes ont été reconnus et authentifiés et s'ils ne seront pas mis en quarantaine ou rejetés par une politique DMARC.
Mythe n°10 : Il est simple de mettre en œuvre DMARC par soi-même.
DMARC est en fait une norme publique gratuite que tout le monde peut utiliser. Chaque jour, Red Sift examine des millions d'enregistrements DMARC et constate que la majorité des projets DMARC de bricolage restent à l'état de projet. p=none et ne parviennent jamais à DMARC enforcement. Par conséquent, ces entreprises sont vulnérables à l'usurpation d'identité, à la mystification et aux attaques par hameçonnage.
Mythe n°11 : Je ne pourrai jamais comprendre les rapports DMARC XML qui me laissent perplexe.
Il n'est pas surprenant que les rapports DMARC ne soient pas destinés à être lus par des humains ! Pour donner un sens aux rapports DMARC, vous devrez les analyser d'une manière ou d'une autre, puis ajouter des rapports, des alertes et des interprétations.
Mythe n°12 : Les données DMARC contiennent des informations personnelles.
Les rapports forensiques DMARC peuvent aider à résoudre les problèmes d'authentification avec des flux de courrier authentiques et à identifier l'origine des courriers électroniques malveillants.
Mythe n°13 : Il n'y a pas de grande différence entre les fournisseurs de DMARC.
De nombreuses entreprises peuvent traiter les rapports DMARC au nom d'un domaine dans une interface GUI, ce qui fait de la surveillance et de la visibilité DMARC un produit de base de nos jours. Une procédure reproductible, sûre, facile et efficace pour amener un domaine à DMARC enforcement en utilisant les technologies les plus récentes en matière d'authentification du courrier électronique hébergé et de canaux de données privés n'est pas un produit de base.
Mythe n° 14 : le FPS est impossible à gérer et à mettre à jour
Dans le monde actuel des services de messagerie électronique en nuage, la gestion manuelle et la mise à jour d'un enregistrement SPF constituent sans aucun doute une tâche. Toutefois, le fait de disposer de l'équipement adéquat facilite grandement les choses. Le processus peut être grandement facilité par :
Toutes les sources de courrier électronique sont correctement identifiées et reconnaissables, de sorte que les utilisateurs n'ont jamais à s'inquiéter de manquer un service de courrier électronique valide, et toutes les sources sont clairement étiquetées et reconnaissables grâce à notre intelligence unique de l'expéditeur. Les sources autorisées peuvent être validées en un seul clic à l'aide de l'aplatissement SPF une fois que les expéditeurs ont été découverts. Les services qui ne sont plus utilisés peuvent être désinstallés et l'enregistrement peut être facilement contrôlé à l'avenir.
Avec le SPF dynamique, l'enregistrement SPF est aplati dynamiquement et toujours syntaxiquement exact, ce qui permet d'éviter la restriction de la recherche SPF 10.
Mythe n°15 : Si j'ai plus de 10 consultations SPF, cela n'affectera pas mon flux de courrier.
Si la plupart des passerelles de messagerie actuelles utilisent DMARC pour l'authentification du courrier électronique, il existe encore quelques systèmes anciens qui utilisent SPF comme principal facteur de filtrage du courrier. Lorsqu'une boîte aux lettres réceptrice effectue une vérification SPF, le dépassement de la limite de 10 recherches indique que votre enregistrement est techniquement non conforme. En outre, si votre enregistrement DMARC est en application (quarantaine ou refus), vous risquez d'interdire le courrier provenant d'expéditeurs qui n'utilisent pas DKIM. Si votre courrier électronique réel est authentifié avec succès à la fois par SPF et DKIM, et si l'enregistrement SPF n'a pas plus de 10 consultations, il aura les meilleures chances d'être délivré.
Mythe n°16 : La protection DMARC a déjà été "activée".
Une politique DMARC de 'aucun' et un enregistrement DMARC au niveau de l'application sont très différents. Le simple fait d'"activer" DMARC avec une politique "none" est une première étape nécessaire, mais cela n'améliore en rien votre posture de sécurité et n'empêche pas l'usurpation d'identité de votre domaine (il n'y a pas de prix pour le simple fait de se présenter de cette manière !)
Vous devez mettre en place une politique de quarantaine ou de rejet au niveau d'un pays. pct=100 pour terminer votre parcours DMARC. Sinon, vous laisserez votre domaine vulnérable aux attaques par usurpation d'identité et par hameçonnage.
Mythe n°17 : Mon installation DMARC sera trop compliquée parce que j'ai beaucoup de domaines à sécuriser.
Vous ne devriez pas hésiter à lancer un projet DMARC parce que vous avez un grand portefeuille de domaines. En réalité, le fait d'avoir plus de domaines non protégés fait de vous une cible facile si vous n'utilisez pas DMARC pour l'application de la loi, et ignorer le problème parce que vous avez beaucoup de domaines n'est donc pas la solution. Trouver un domaine
Mythe n° 18 : DMARC est extrêmement coûteux
Chez Skysnag, nous nous efforçons d'automatiser autant que possible, ce qui permet à nos clients de bénéficier de notre efficacité et de nos économies d'échelle.
Mythe n°19 : Parce que je n'envoie pas d'e-mails depuis mon propre domaine, je n'ai pas besoin de protection DMARC.
Les domaines non expéditeurs peuvent être falsifiés tout comme les domaines expéditeurs, et ils sont plus attrayants en tant que cibles d'hameçonnage et d'usurpation d'identité s'ils utilisent des marques, des sites web, des individus et des entreprises bien connus. Les destinataires d'un courriel malveillant provenant d'un domaine non émetteur peuvent ne pas découvrir ou comprendre que le domaine n'est pas configuré pour envoyer des courriels ; si le courriel est suffisamment convaincant et semble légitime, ils peuvent croire à tort qu'il provient de vous, mettant ainsi en péril l'ensemble de votre marque et de votre réputation.
Dernières réflexions
Voilà qui conclut la liste de tous les mythes DMARC qui ont été complètement réfutés. Le DMARC automatisé de Skysnag renforce la protection contre le phishing et l'usurpation d'identité en confirmant qu'un message électronique provient bien du domaine dont il est censé être issu. Skysnag génère pour vous des rapports DMARC qui vous aident à enquêter sur d'éventuels problèmes de sécurité et à identifier les risques potentiels liés aux attaques par usurpation d'identité. Commencez avec Skysnag et inscrivez-vous en utilisant ce lien.
Vous pourriez être intéressé par la lecture de ce document :
Vérifiez la conformité de votre domaine à la norme DMARC
Appliquer DMARC, SPF et DKIM en quelques jours - et non en quelques mois
Skysnag aide les ingénieurs occupés à appliquer DMARC, répond à toute mauvaise configuration pour SPF ou DKIM, ce qui augmente la délivrabilité des e-mails, et élimine l'usurpation d'identité et l'usurpation d'identité.
