Qu'est-ce que DMARC ?

DMARC signifie "Authentification, notification et conformité des messages par domaine".. Il s'agit d'un protocole ouvert d'authentification, de politique et de signalement des courriels qui permet aux propriétaires de domaines de lutter contre les attaques par hameçonnage.

Pourquoi devrions-nous mettre en œuvre DMARC ?

L'objectif de DMARC est de protéger les domaines contre une utilisation non autorisée, communément appelée usurpation d'adresse électronique, et de contribuer à réduire le risque d'attaques de type Business Email Compromise (BEC), de courriels d'hameçonnage, de logiciels malveillants et d'autres activités liées aux cybermenaces.

Utilisez notre DMARC Checker gratuit pour effectuer une analyse rapide qui vous informera de l'état de votre domaine, en examinant DMARC, SPF et DKIM. Vous serez ensuite informé des prochaines étapes à suivre pour vous mettre en conformité.

Quelle est la gravité de la situation ?

L'usurpation d'identité par courriel contourne toutes les mesures de sécurité en place, la formation des employés, le SOC, le 2FA, le HTTPS, les mots de passe forts et tout ce qui est déjà en place.

Les attaquants peuvent facilement vérifier si le nom de domaine d'une organisation peut être usurpé en interrogeant le DNS pour les enregistrements publics. Si aucune DMARC enforcement n'est en place, un nom de domaine peut être usurpé.

Les attaquants s'appuient sur la bonne réputation du domaine d'une entreprise pour envoyer du courrier indésirable et parfois pour lancer des attaques d'usurpation d'identité, et ce jusqu'à ce que le domaine figure sur une liste noire.

Résultat ?

Spam et courrier indésirable.

Le spam et le courrier indésirable sont devenus un mystère pour de nombreuses entreprises, à tel point qu'elles prennent des mesures en informant leurs clients de vérifier leurs dossiers de courrier indésirable/spam. Si un courriel est valable, il devrait toujours atterrir dans le dossier de la boîte de réception et jamais ailleurs.

Pourquoi tout le monde n'a-t-il pas déjà adopté DMARC ?

Lorsque le courrier électronique a été conçu il y a longtemps, personne ne s'attendait à ce qu'à l'avenir, des expéditeurs de courrier tiers envoient un courrier électronique en votre nom. Le protocole SMTP n'a jamais eu d'authentification, ce qui a rendu possible l'usurpation d'identité et l'usurpation d'identité, permettant ainsi aux pirates d'envoyer des courriels à partir de n'importe quel nom de domaine.

Les normes de sécurité SPF, DKIM et DMARC ont été introduites pour combler cette lacune. Mais la correction devait être effectuée sur le DNS, uniquement par les propriétaires de domaines, et nécessitait de nombreuses actions de surveillance - ce qui rendait la tâche difficile et prenait beaucoup de temps - laissant 90 % des entreprises aujourd'hui non configurées.

Pourquoi cela se produit-il ?

1. Utilisation excessive de votre nom de domaine de manière non autorisée, c'est-à-dire que des usurpateurs envoient en masse des courriels à partir de votre domaine.
2. Vos courriels sont envoyés par des expéditeurs de courrier électronique mal configurés.

Skysnag vous aide à découvrir le prochain niveau d'authentification autonome des courriels tout en s'occupant de la réputation de votre domaine, des paramètres DMARC enforcement et de l'alignement SPF/DKIM, le tout de manière automatisée.

Redorez votre blason et assurez-vous que tous les courriels envoyés à partir de votre nom de domaine sont authentifiés.

• Dites non à la camelote.
• Dites non au spam.

Politiques DMARC

Le protocole DMARC comporte plusieurs options et niveaux d'application de la politique :

1. Contrôler la politique : p=none

Les p=none est une politique de surveillance qui ne prend aucune mesure en cas d'échec de DMARC, mais qui permet au propriétaire d'un domaine de se faire une idée de ce qui se passe sur son domaine. C'est la politique avec laquelle tous les propriétaires de domaine commencent et elle ouvre la voie vers le statut idéal DMARC enforcement .

2. Politique de quarantaine : p=quarantaine

Il s'agit d'une politique plus stricte que la politique de contrôle, qui permet au propriétaire d'un domaine de fixer un pourcentage pour le nombre de courriels qui échouent aux contrôles DMARC et qui peuvent entrer dans la boîte de réception et pour le nombre d'autres courriels qui peuvent atterrir dans le dossier "spam". Vous avez probablement vu des domaines avec un pourcentage de 30 %. p=quarantainece qui signifie que 30 % des courriels qui échouent au test DMARC arriveront dans la boîte de réception des destinataires. Les propriétaires de domaines commencent généralement par un faible pourcentage, mais au fur et à mesure qu'ils acquièrent la certitude qu'ils ne perdront pas un bon courriel, le pourcentage augmente.

3. Politique de rejet : p=rejeter

Cette politique est la politique ultime que chaque domaine devrait atteindre. Elle permet de rejeter tous les courriels qui échouent aux contrôles DMARC et de garantir que tous les autres courriels sont correctement authentifiés par DMARC et qu'ils seront livrés dans le dossier de la boîte de réception du destinataire.

Pourquoi DMARC échoue-t-il ?

DMARC peut échouer pour deux raisons principales :

Soit l'enregistrement DMARC est mal configuré, soit le nom de domaine est utilisé par des pirates. Approfondissons la question.

1 : Défauts d'alignement DMARC

DMARC utilise [alignement de l'identifiant] pour s'assurer que le message provient bien du domaine que vous avez spécifié dans le fichier "De" de l'en-tête de l'e-mail. Ce processus est possible si vos enregistrements DKIM et SPF sont correctement configurés.

Créez un compte Skysnag pour générer votre enregistrement DMARC.

Si vos enregistrements sont mal configurés, DMARC échouera même pour des courriels authentiques. Assurez-vous donc que votre enregistrement SPF contient l'adresse IP de votre domaine d'envoi et que si un tiers envoie en votre nom, il est inclus dans votre SPF. En ce qui concerne DKIM, assurez-vous que la clé de votre domaine correspond à la clé de l'en-tête From.

Pour que DMARC passe, SPF ou DKIM doit être aligné et vous pouvez définir des modes d'alignement stricts et détendus. Si vous choisissez le mode d'alignement strict et que vous envoyez des courriels à partir d'un sous-domaine, veillez à autoriser explicitement l'authentification à partir de ce sous-domaine.

2 : Redirection d'e-mails

Les courriers électroniques passent par un serveur intermédiaire lorsqu'ils sont transférés. Au cours de ce processus, le SPF doit échouer puisque l'adresse IP du serveur de transfert ne correspond pas au SPF du domaine d'origine.

Le rôle de DKIM est ici de faire correspondre la signature numérique du courrier électronique à la signature de la clé publique que le serveur de réception vérifie.

Oui, DKIM ne se préoccupe pas de l'IPS car il vérifie le DNS du destinataire, qui est constant et n'échoue donc pas. Il est essentiel de s'assurer que les enregistrements SPF et DKIM sont correctement configurés et d'analyser les rapports DMARC pour éviter les problèmes de délivrabilité avec les courriels transférés.

3 : Sources d'envoi manquantes dans le DNS

Lorsque vous appliquez DMARC, il est nécessaire d'ajouter à votre DNS les enregistrements de tout service d'envoi tiers qui envoie des e-mails en votre nom, car l'authentification échouera en raison d'un échec de l'alignement SPF, car le MTA ne trouvera pas les IP d'envoi dans vos enregistrements, ce qui entraînera l'échec de l'authentification des messages légitimes. Pour résoudre ce problème, Skysnag automatise l'ajout de vos adresses IP valides afin d'éviter l'échec de l'alignement SPF.

Conclusion

Le logiciel automatisé de Skysnag protège la réputation de votre domaine et tient votre entreprise à l'écart des e-mails professionnels compromis, des vols de mots de passe et des pertes financières potentiellement importantes. Débloquez des informations, contournez les problèmes de configuration de l'authentification des e-mails, y compris SPF et DKIM, et protégez votre domaine contre l'usurpation d'identité avec DMARC enforcement, le tout de manière autonome avec Skysnag. Commencez avec Skysnag et inscrivez-vous en utilisant ce lien pour un essai gratuit dès aujourd'hui.