Le blog de Skysnag

P=non DMARC

11 octobre 2023  |  2 min lire

Avoir un enregistrement DMARC réglé sur p=none équivaut essentiellement à ne pas avoir d'enregistrement DMARC du tout. Sans application (p=none), cela revient à avoir un système de gestion des accès qui scanne les pièces d'identité mais permet à n'importe qui d'entrer, même si le scan de la pièce d'identité aboutit à une personne non identifiée. La politique DMARC identifiée par un "p" est la partie la plus cruciale de DMARC enforcement car elle donne aux propriétaires de domaines la possibilité de spécifier comment ils veulent traiter les courriels qui échouent aux contrôles d'authentification. Avec DMARC enforcement (p=reject), les propriétaires de domaines peuvent demander aux clients de messagerie d'envoyer les messages non authentifiés dans le dossier spam ou de les bloquer complètement.

Quelles sont les politiques DMARC ?

Les politiques DMARC permettent aux propriétaires de domaines de spécifier ce qu'ils veulent qu'il advienne des courriers électroniques qui échouent aux contrôles d'authentification SPF et DKIM.

  • p=none - Pas d'application ; le courrier qui échoue à l'authentification est généralement distribué.
  • p=quarantine - Les messages qui échouent à l'authentification sont envoyés dans les spams.
  • p=reject - Les messages qui échouent à l'authentification sont bloqués par les clients de messagerie et ne sont pas distribués. Certains destinataires honorent cette demande, tandis que d'autres marquent les messages qui échouent comme du spam.

La politique p=none est une politique en mode de surveillance qui ne fournit aucune application, laissant un domaine vulnérable à l'usurpation d'identité. Cette politique est couramment utilisée en mode test pour dépanner les mauvaises configurations d'authentification avec des expéditeurs tiers, sans risquer de bloquer des courriels légitimes.

Pour prévenir les attaques de phishing et d'usurpation d'identité, il est nécessaire de régler DMARC sur l'application (p=quarantine ou p=reject), plutôt que sur p=none.

En mode p=none, les propriétaires de domaines peuvent utiliser les rapports envoyés par les clients de messagerie pour identifier les adresses IP qui tentent d'exploiter leur domaine en envoyant des courriels frauduleux. Les informations fournies dans ces rapports doivent être transformées en informations exploitables afin d'atteindre le mode p=reject pour le domaine, ce qui constitue le véritable défi technique.

Malheureusement, la majorité des entreprises qui tentent d'appliquer le DMARC ne parviennent pas à le faire. Environ 80 % des entreprises ayant publié un enregistrement DMARC ne sont pas réglées sur p=reject. Cette situation peut être attribuée à des problèmes de mauvaise configuration, à l'utilisation d'outils de reporting limités qui n'appliquent pas DMARC, ou à des difficultés techniques avec les expéditeurs de courrier électronique.

Risques auxquels une entreprise est confrontée en l'absence de DMARC enforcement:

Usurpation d'identité par courrier électronique: Avec une politique de p=none, les attaquants peuvent se faire passer pour un nom de domaine sans aucune restriction. Cela permet à n'importe qui d'utiliser le nom de domaine pour envoyer des courriels, ce qui représente un risque important pour les clients, les partenaires et les autres parties prenantes. Les risques potentiels sont les suivants :

  • Perte financière
  • Atteinte à la réputation

Les courriers électroniques qui atterrissent dans les spams: sans DMARC enforcement, les fournisseurs de services internet ne sont pas en mesure de déterminer si les messages passent ou non l'authentification, ce qui a pour effet de classer les messages dans les spams.

Créez un compte Skysnag pour générer votre enregistrement DMARC.

Le domaine étant vulnérable à l'usurpation d'identité et les attaquants ayant un accès libre au domaine, les clients de messagerie peuvent commencer à signaler le domaine. Cela peut avoir des conséquences négatives à long terme, comme l'inscription du domaine sur une liste noire. L'inscription sur une liste noire perturbe la distribution du courrier, ce qui se traduit par des courriers non distribués, et la suppression du domaine de la liste noire peut prendre jusqu'à trois ou quatre semaines.

Que se passe-t-il si aucune mesure n'est prise ?

En cas d'utilisation non autorisée grave, les clients de messagerie peuvent aller au-delà de la classification des courriels en tant que spam et choisir de mettre le nom de domaine sur liste noire. Lorsqu'un domaine est mis sur liste noire, les courriels ne peuvent pas atteindre la majorité des clients de messagerie.

Skysnag, en tant que première solution DMARC enforcement sur le marché, élimine le processus DNS laborieux associé aux protocoles d'authentification par courrier électronique. Elle y parvient en transformant les enregistrements en formats dynamiques plutôt qu'en enregistrements DNS statiques. Par conséquent, les entreprises peuvent appliquer de manière autonome cette faille dans le courrier électronique, ce qui permet aux ingénieurs d'économiser de précieuses heures de travail.

Vérifiez la conformité de votre domaine à la norme DMARC

Appliquer DMARC, SPF et DKIM en quelques jours - et non en quelques mois

Skysnag aide les ingénieurs occupés à appliquer DMARC, répond à toute mauvaise configuration pour SPF ou DKIM, ce qui augmente la délivrabilité des e-mails, et élimine l'usurpation d'identité et l'usurpation d'identité.