Blog

Qu’est-ce que DMARC ? Ce qu’il faut savoir en 2024

octobre 11, 2023  |  5 min de lecture

Qu’est-ce que DMARC ?

DMARC signifie « Domain-based Message Authentication, Reporting & Conformance ». Il s’agit d’un protocole ouvert d’authentification, de politique et de signalement des messages électroniques qui permet aux propriétaires de domaines de lutter contre les attaques par hameçonnage.

Pourquoi devrions-nous mettre en œuvre DMARC ?

L’objectif de DMARC est de protéger les domaines contre les utilisations non autorisées, communément appelées « spoofing », et de contribuer à réduire le risque d’attaques de type « Business Email Compromise » (BEC), de courriels d’hameçonnage, de logiciels malveillants et d’autres activités liées aux cybermenaces.

Utilisez notre DMARC Checker gratuit pour effectuer une analyse rapide qui vous informera de l’état de votre domaine, en examinant DMARC, SPF et DKIM. Vous serez ensuite informé des prochaines étapes à suivre pour vous mettre en conformité.

Quelle est la gravité de la situation ?

L’usurpation d’identité par courriel contourne toutes les mesures de sécurité en place, la formation des employés, le SOC, le 2FA, le HTTPS, les mots de passe forts et tout ce qui est déjà en place.

Les attaquants peuvent facilement vérifier si le nom de domaine d’une organisation peut être usurpé en interrogeant les enregistrements publics du DNS. En l’absence de DMARC, un nom de domaine peut être usurpé.

Les attaquants s’appuient sur la bonne réputation du domaine d’une entreprise pour envoyer du courrier indésirable et parfois pour lancer des attaques d’usurpation d’identité, et ce jusqu’à ce que le domaine figure sur une liste noire.

Résultat ?

Spam et courrier indésirable.

Le spam et le courrier indésirable sont devenus un mystère pour de nombreuses entreprises, à tel point qu’elles prennent des mesures en informant leurs clients de vérifier leurs dossiers Junk/Spam. Si un courriel est valable, il devrait toujours atterrir dans le dossier de la boîte de réception et jamais ailleurs.

Pourquoi tout le monde n’a-t-il pas déjà adopté DMARC ?

Lorsque le courrier électronique a été conçu il y a longtemps, personne ne s’attendait à ce qu’à l’avenir, des expéditeurs de courrier tiers envoient un courrier électronique en votre nom. Le protocole SMTP n’a jamais eu d’authentification, ce qui a rendu possible l’usurpation d’identité et l’usurpation d’identité – permettant aux attaquants d’envoyer des courriels à partir de n’importe quel nom de domaine.

Les normes de sécurité SPF, DKIM et DMARC ont été introduites pour combler cette lacune. Mais la correction devait être effectuée sur le DNS, uniquement par les propriétaires de domaines, et nécessitait de nombreuses actions de surveillance – ce qui rendait la tâche difficile et prenait beaucoup de temps – laissant 90 % des entreprises non configurées aujourd’hui.

Pourquoi cela se produit-il ?

  1. Utilisation excessive de votre nom de domaine de manière non autorisée, c’est-à-dire que des usurpateurs envoient en masse des courriels à partir de votre domaine.
  2. Vos courriels sont envoyés par des expéditeurs de courrier électronique mal configurés.

Skysnag vous aide à découvrir le prochain niveau d’authentification des emails autonome tout en prenant soin de la réputation de votre domaine, des paramètres d’application DMARC et de l’alignement SPF/DKIM, le tout de manière automatisée.

Redorez votre blason et assurez-vous que tous les courriels envoyés à partir de votre nom de domaine sont authentifiés.

  • Dites non à la camelote.
  • Dites non au spam.

Politiques DMARC

Le protocole DMARC comporte plusieurs options et niveaux d’application de la politique :

1. Politique de surveillance : p=none

La politique p=none est une politique de surveillance qui ne prend aucune mesure en cas d’échec de DMARC, mais qui permet au propriétaire d’un domaine de se faire une idée de ce qui se passe sur son domaine. C’est la politique avec laquelle tous les propriétaires de domaine commencent et elle ouvre la voie à l’état idéal d’application de DMARC.

2. Politique de quarantaine : p=quarantaine

Il s’agit d’une politique plus stricte que la politique de surveillance, en vertu de laquelle le propriétaire d’un domaine peut fixer un pourcentage de courriels échouant aux contrôles DMARC qui peuvent arriver dans la boîte de réception et d’autres courriels qui peuvent atterrir dans le dossier de courrier indésirable. Vous avez probablement vu des domaines avec un p=quarantine de 30 %, ce qui signifie que 30 % des courriels échouant aux contrôles DMARC atterriront dans la boîte de réception des destinataires. Les propriétaires de domaines commencent généralement par un faible pourcentage, mais au fur et à mesure qu’ils sont convaincus qu’ils ne perdront pas un bon courriel, le pourcentage augmente.

3. Politique de rejet : p=rejet

Cette politique est la politique ultime que chaque domaine devrait atteindre. Elle permet de rejeter tous les courriels qui échouent aux contrôles DMARC et de garantir que tous les autres courriels sont correctement authentifiés par DMARC et qu’ils seront livrés dans le dossier de la boîte de réception du destinataire.

Pourquoi DMARC échoue-t-il ?

DMARC peut échouer pour deux raisons principales :

Soit l’enregistrement DMARC est mal configuré, soit le nom de domaine est utilisé par des pirates. Approfondissons la question.

1 : Défauts d’alignement DMARC

DMARC utilise [l’alignement des identifiants] pour garantir que le message provient du domaine que vous avez spécifié dans la section « De » de l’en-tête de l’email. Ce processus est possible si vos enregistrements DKIM et SPF sont correctement configurés.

Créez un compte Skysnag pour générer votre enregistrement DMARC.

Si vos enregistrements sont mal configurés, DMARC échouera même pour des courriels authentiques. Assurez-vous donc que votre enregistrement SPF contient l’adresse IP de votre domaine d’envoi et que si un tiers envoie en votre nom, il est inclus dans votre SPF. En ce qui concerne DKIM, assurez-vous que la clé de votre domaine correspond à la clé de l’en-tête From.

Pour que DMARC passe, SPF ou DKIM doit être aligné et vous pouvez définir des modes d’alignement stricts et détendus. Si vous réglez les modes d’alignement sur strict moderne et que vous envoyez des courriels à partir d’un sous-domaine, veillez à autoriser explicitement l’authentification à partir de votre sous-domaine.

2 : Redirection d’e-mails

Les courriers électroniques passent par un serveur intermédiaire lorsqu’ils sont transférés. Au cours de ce processus, le SPF doit échouer puisque l’adresse IP du serveur de transfert ne correspond pas au SPF du domaine d’origine.

Le rôle de DKIM est ici de faire correspondre la signature numérique du courrier électronique à la signature de la clé publique que le serveur de réception vérifie.

Oui, DKIM ne se préoccupe pas de l’IPS car il vérifie le DNS du destinataire, qui est constant et n’échoue donc pas. Il est essentiel de s’assurer que les enregistrements SPF et DKIM sont correctement configurés et d’analyser les rapports DMARC pour éviter les problèmes de délivrabilité avec les courriels transférés.

3 : Sources d’envoi manquantes dans le DNS

Lorsque vous appliquez DMARC, il est nécessaire d’ajouter à votre DNS les enregistrements de tout service d’envoi tiers qui envoie des e-mails en votre nom, car l’authentification échouera en raison d’un échec de l’alignement SPF, car le MTA ne trouvera pas les IP d’envoi dans vos enregistrements, ce qui entraînera l’échec de l’authentification des messages légitimes. Pour résoudre ce problème, Skysnag automatise l’ajout de vos adresses IP valides afin d’éviter l’échec de l’alignement SPF.

Conclusion.

Le logiciel automatisé de Skysnag protège la réputation de votre domaine et éloigne votre entreprise des courriels professionnels compromis, du vol de mots de passe et de pertes financières potentiellement importantes. Déverrouillez les informations, contournez les problèmes de configuration d’authentification des e-mails, y compris SPF et DKIM ; et protégez votre domaine contre le spoofing avec une application stricte de DMARC, le tout de manière autonome avec Skysnag. Commencez avec Skysnag et inscrivez-vous dès aujourd’hui pour bénéficier d’un essai gratuit en utilisant ce lien.

Cela pourrait vous intéresser :

"Learn about phishing, a cyber scam where attackers impersonate trusted entities to steal personal information. Discover how phishing works and ways to protect against online security threats."
Qu'est-ce que le phishing ? octobre 11, 2023
Explore Skysnag’s comprehensive guide to DMARC, covering everything from policy setup to advanced email security techniques that protect against phishing and email spoofing.
Le guide DMARC octobre 12, 2023

OBTENEZ UNE DÉMO PERSONNALISÉE

Prêt à voir Skysnag en action ?

Skysnag protège votre organisation contre les cybermenaces et offre une vision claire de votre environnement email.

Obtenir une démonstration
Démonstration du tableau de bord

Vérifiez la conformité de la sécurité DMARC de votre domaine

Abonnez-vous à notre newsletter mensuelle