Dans cet article, nous allons voir comment optimiser facilement l'enregistrement SPF pour votre domaine. Pour les entreprises et les petites entreprises qui possèdent un domaine de messagerie pour envoyer et recevoir des messages à leurs clients, partenaires et employés, il est fort probable qu'un enregistrement SPF existe par défaut et qu'il ait été configuré par votre fournisseur de services de messagerie. Que vous disposiez d'un enregistrement SPF préexistant ou que vous deviez en créer un nouveau, vous devez optimiser votre enregistrement SPF correctement pour votre domaine afin de vous assurer qu'il ne pose aucun problème de livraison des e-mails.

Certains destinataires de courriels ont strictement besoin d'un SPF, ce qui indique que si vous n'avez pas d'enregistrement SPF publié pour votre domaine, vos courriels peuvent être marqués comme spam dans la boîte de réception de votre destinataire. De plus, le SPF aide à détecter les sources non autorisées qui envoient des courriels au nom de votre domaine.

Laissez-nous d'abord comprendre ce qu'est le SPF et pourquoi vous en avez besoin.

Cadre politique de l'expéditeur (SPF)

Le SPF est essentiellement un protocole d'authentification de courrier électronique standard qui spécifie les adresses IP autorisées à envoyer des courriers électroniques à partir de votre domaine. Il fonctionne en comparant les adresses des expéditeurs à la liste des hôtes d'envoi autorisés et des adresses IP pour un domaine spécifique qui est publiée dans le DNS pour ce domaine.

SPF, ainsi que DMARC (Domain-based Message Authentication, Reporting and Conformance), est conçu pour détecter les adresses d'expéditeur falsifiées lors de la distribution du courrier électronique et prévenir les attaques par usurpation d'identité, le phishing et les escroqueries par courrier électronique.

Il est important de savoir que, bien que le SPF par défaut intégré à votre domaine par votre fournisseur d'hébergement garantisse que les e-mails envoyés depuis votre domaine sont authentifiés par rapport au SPF, si vous avez plusieurs fournisseurs tiers pour envoyer des e-mails depuis votre domaine, cet enregistrement SPF préexistant doit être adapté et modifié pour répondre à vos besoins. Comment faire ? Examinons deux des méthodes les plus courantes :

  • Créer un tout nouveau record du SPF
  • Optimisation d'un dossier SPF existant

Instructions sur la façon d'optimiser l'enregistrement SPF

Créer un tout nouveau dossier SPF

Créer un enregistrement SPF consiste simplement à publier un enregistrement TXT dans le DNS de votre domaine afin de configurer SPF pour votre domaine. Il s'agit d'une étape obligatoire avant de commencer à savoir comment optimiser l'enregistrement SPF. Si vous débutez avec l'authentification et que vous n'êtes pas sûr de la syntaxe, vous pouvez utiliser notre générateur d'enregistrement SPF en ligne gratuit pour créer un enregistrement SPF pour votre domaine.

Une entrée d'enregistrement SPF avec une syntaxe correcte ressemblera à ceci :

v=spf1 ip4:38.146.237 include:example.com -all

v=spf1Précise la version du SPF utilisée
ip4/ip6Ce mécanisme spécifie les adresses IP valides qui sont autorisées à envoyer des courriels à partir de votre domaine.
inclureCe mécanisme indique aux serveurs récepteurs d'inclure les valeurs de l'enregistrement SPF du domaine spécifié.
-toutCe mécanisme précise que les courriels qui ne sont pas conformes au SPF seront rejetés. C'est la balise recommandée que vous pouvez utiliser lors de la publication de votre enregistrement SPF. Cependant, elle peut être remplacée par ~ pour SPF Soft Fail (les courriels non conformes seraient marqués comme soft fail mais seraient quand même acceptés) ou + qui spécifie que tout serveur serait autorisé à envoyer des courriels au nom de votre domaine, ce qui est fortement déconseillé.

Si vous avez déjà configuré le SPF pour votre domaine, vous pouvez également utiliser notre vérificateur d'enregistrement SP F gratuit pour consulter et valider votre enregistrement SPF et détecter les problèmes.

Défis et erreurs courants lors de la configuration du SPF

1) 10 Limite de recherche DNS 

Le défi le plus courant auquel sont confrontés les propriétaires de domaines lorsqu'ils configurent et adoptent le protocole d'authentification SPF pour leur domaine, est que le SPF est assorti d'une limite du nombre de consultations DNS, qui ne peut dépasser 10. Pour les domaines qui dépendent de plusieurs fournisseurs tiers, la limite de 10 consultations DNS est facilement dépassée, ce qui entraîne la rupture du SPF et le renvoi d'une PermError SPF. Dans ce cas, le serveur récepteur invalide automatiquement votre enregistrement SPF et le bloque.

Mécanismes qui déclenchent les consultations du DNS : MX, A, INCLUDE, REDIRECTION du modificateur

2) Recherche de l'absence de SPF 

Les consultations nulles font référence aux consultations DNS qui renvoient soit une réponse NOERROR soit une réponse NXDOMAIN (réponse nulle). Lors de la mise en œuvre du SPF, il est recommandé de s'assurer que les consultations DNS ne renvoient pas de réponse nulle en premier lieu.

3) SPF Boucle récursive

Cette erreur indique que l'enregistrement SPF pour votre domaine spécifié contient des problèmes récursifs avec un ou plusieurs des mécanismes INCLUDE. Cela se produit lorsque l'un des domaines spécifiés dans la balise INCLUDE contient un domaine dont l'enregistrement SPF contient la balise INCLUDE du domaine d'origine. Il en résulte une boucle sans fin qui amène les serveurs de courrier électronique à effectuer en permanence des recherches DNS pour les enregistrements SPF. Cela conduit finalement à dépasser la limite de 10 recherches DNS, ce qui entraîne l'échec des courriels SPF.

4) Erreurs de syntaxe 

Un enregistrement SPF peut exister dans le DNS de votre domaine, mais il n'est d'aucune utilité s'il contient des erreurs de syntaxe. Si votre enregistrement SPF TXT contient des espaces blancs inutiles lors de la saisie du nom de domaine ou du nom du mécanisme, la chaîne précédant l'espace supplémentaire sera complètement ignorée par le serveur récepteur lors de la recherche, ce qui invalidera l'enregistrement SPF.

5) Plusieurs enregistrements SPF pour le même domaine

Un seul domaine ne peut avoir qu'une seule entrée SPF TXT dans le DNS. Si votre domaine contient plus d'un enregistrement SPF, le serveur de réception les invalide tous, ce qui entraîne l'échec du SPF des courriels.

6) Durée de l'enregistrement du SPF 

La longueur maximale d'un enregistrement SPF dans le DNS est limitée à 255 caractères. Toutefois, cette limite peut être dépassée et un enregistrement TXT pour SPF peut contenir plusieurs chaînes concaténées ensemble, mais pas au-delà d'une limite de 512 caractères, pour s'adapter à la réponse à la requête DNS (selon la RFC 4408). Bien que cette disposition ait été révisée par la suite, les destinataires utilisant des versions DNS plus anciennes ne pouvaient pas valider les courriers électroniques envoyés par des domaines contenant un enregistrement SPF trop long.

Optimiser votre dossier SPF

Afin de modifier rapidement votre dossier SPF, vous pouvez utiliser les bonnes pratiques suivantes :

  • Essayez de taper vos sources de courrier électronique par ordre décroissant d'importance de gauche à droite dans votre dossier SPF
  • Supprimer les sources de courrier électronique obsolètes de votre DNS
  • Utiliser les mécanismes IP4/IP6 au lieu de A et MX
  • Maintenez votre nombre de mécanismes INCLUS le plus bas possible et évitez les includes imbriqués
  • Ne publiez pas plus d'un enregistrement SPF pour le même domaine dans votre DNS
  • Assurez-vous que votre dossier SPF ne contient pas d'espaces blancs redondants ou d'erreurs de syntaxe

Remarque : l'aplatissement du SPF n'est pas recommandé, car il ne s'agit pas d'une opération ponctuelle. Si votre fournisseur de services de messagerie électronique modifie son infrastructure, vous devrez modifier vos enregistrements SPF en conséquence, à chaque fois.

Optimiser votre dossier SPF en toute simplicité avec PowerSPF

Vous pouvez essayer de mettre en œuvre toutes les modifications mentionnées ci-dessus pour optimiser votre enregistrement SPF manuellement, ou vous pouvez oublier les tracas et compter sur notre PowerSPF dynamique pour faire tout cela pour vous automatiquement ! PowerSPF vous aide à optimiser votre enregistrement SPF d'un simple clic, ce qui vous est possible :

  • Ajouter ou supprimer facilement des sources d'envoi
  • Mettre à jour les enregistrements facilement sans avoir à modifier manuellement votre DNS
  • Obtenez un enregistrement SPF automatique optimisé d'un simple clic
  • Restez toujours en dessous de la limite de 10 consultations DNS
  • Atténuer avec succès l'erreur de permis
  • Oubliez les erreurs de syntaxe des enregistrements SPF et les problèmes de configuration
  • Nous vous déchargeons de la charge de résoudre les limitations du SPF en votre nom

Inscrivez-vous à PowerDMARC dès aujourd'hui pour mettre fin aux limitations du SPF pour toujours !  

La vitesse à laquelle les courriels parviennent dans la boîte de réception des destinataires est appelée taux de délivrabilité des courriels. Ce taux peut être ralenti ou retardé, voire conduire à un échec de la livraison lorsque les courriels se retrouvent dans le dossier de courrier indésirable ou sont bloqués par les serveurs de réception. Il s'agit essentiellement d'un paramètre important pour mesurer le succès avec lequel vos courriels parviennent dans les boîtes de réception des destinataires souhaités sans être marqués comme spam. L' authentification du courrier électronique est certainement l'une des options auxquelles les novices en matière d'authentification peuvent avoir recours, pour constater une amélioration substantielle de la délivrabilité des courriers électroniques au fil du temps.

Dans ce blog, nous sommes là pour vous parler de la manière dont vous pouvez améliorer facilement le taux de délivrabilité de votre courrier électronique et aussi pour discuter des meilleures pratiques du secteur afin d'assurer un flux de messages fluide sur tous vos canaux de courrier électronique !

Qu'est-ce que l'authentification des courriers électroniques ?

L'authentification du courrier électronique est la technique utilisée pour valider l'authenticité de votre courrier électronique par rapport à toutes les sources autorisées qui sont autorisées à envoyer des courriers électroniques à partir de votre domaine. Elle permet en outre de valider la propriété du domaine de tout agent de transfert de courrier (MTA) impliqué dans le transfert ou la modification d'un courrier électronique.

Pourquoi avez-vous besoin d'une authentification des courriers électroniques ?

Le protocole SMTP (Simple Mail Transfer Protocol), qui est la norme Internet pour le transfert de courrier électronique, ne contient aucune fonction d'authentification des courriers électroniques entrants et sortants, ce qui permet aux cybercriminels d'exploiter l'absence de protocoles sécurisés dans le SMTP. Les acteurs de la menace peuvent utiliser ce protocole pour perpétrer des escroqueries par hameçonnage de courrier électronique, des attaques de type BEC et des attaques d'usurpation de domaine dans lesquelles ils peuvent se faire passer pour votre marque et nuire à sa réputation et à sa crédibilité. L'authentification du courrier électronique renforce la sécurité de votre domaine contre l'usurpation d'identité et la fraude, en indiquant aux serveurs de réception que vos courriers électroniques sont conformes à la norme DMARC et proviennent de sources valides et authentiques. Elle sert également de point de contrôle pour les adresses IP non autorisées et malveillantes qui envoient des courriers électroniques depuis votre domaine.

Pour protéger votre image de marque, minimiser les cyber-menaces, le CEB et assurer un meilleur taux de livraison, l'authentification du courrier électronique est un must !

Meilleures pratiques d'authentification des courriers électroniques

Cadre politique de l'expéditeur (SPF)

Le SPF est présent dans votre DNS sous la forme d'un enregistrement TXT, affichant toutes les sources valides autorisées à envoyer des courriels à partir de votre domaine. Chaque courrier électronique qui quitte votre domaine possède une adresse IP qui identifie votre serveur et le fournisseur de services de courrier électronique utilisé par votre domaine qui est inscrit dans votre DNS comme un enregistrement SPF. Le serveur de messagerie du destinataire valide le courrier électronique par rapport à votre enregistrement SPF pour l'authentifier et, en conséquence, marque le courrier électronique comme SPF pass or fail.

Notez que le SPF a une limite de 10 consultations DNS, dont le dépassement peut renvoyer un résultat PermError et conduire à l'échec du SPF. Ceci peut être atténué en utilisant PowerSPF pour rester sous la limite de consultation à tout moment !

Courrier identifié DomainKeys (DKIM)

DKIM est un protocole standard d'authentification des courriels qui attribue une signature cryptographique, créée à l'aide d'une clé privée, pour valider les courriels dans le serveur de réception, où le récepteur peut récupérer la clé publique dans le DNS de l'expéditeur pour authentifier les messages. Tout comme SPF, la clé publique DKIM existe également sous la forme d'un enregistrement TXT dans le DNS du propriétaire du domaine.

Authentification, rapport et conformité des messages par domaine (DMARC)

La simple mise en œuvre de SPF et de DKIM ne suffit pas, car les propriétaires de domaines ne peuvent pas contrôler la façon dont les serveurs de réception répondent aux courriels qui échouent aux contrôles d'authentification.

DMARC est la norme d'authentification du courrier électronique la plus utilisée à l'heure actuelle. Elle est conçue pour permettre aux propriétaires de domaines de spécifier aux serveurs de réception comment ils doivent traiter les messages qui échouent à SPF ou DKIM, ou les deux. Cela permet de protéger leur domaine contre les accès non autorisés et les attaques par usurpation d'adresse électronique.

Comment le DMARC peut-il améliorer la délivrabilité des courriers électroniques ?

  • Lorsqu'il publie un enregistrement DMARC dans le DNS de votre domaine, le propriétaire du domaine demande aux serveurs récepteurs qui prennent en charge DMARC d'envoyer un retour d'information sur les courriers électroniques qu'ils reçoivent pour ce domaine, indiquant automatiquement aux serveurs récepteurs que votre domaine étend la prise en charge vers des protocoles sécurisés et des normes d'authentification pour les courriers électroniques, comme DMARC, SPF et DKIM.
  • Les rapports agrégés DMARC vous aident à obtenir une meilleure visibilité de votre écosystème de messagerie, vous permettant de visualiser les résultats de l'authentification de vos e-mails, de détecter les échecs d'authentification et d'atténuer les problèmes de livraison.
  • En appliquant votre politique DMARC, vous pouvez empêcher les courriels malveillants se faisant passer pour votre marque d'arriver dans les boîtes de réception de vos destinataires.

Conseils supplémentaires pour améliorer la délivrabilité des courriers électroniques :

  • Permettre l'identification visuelle de votre marque dans les boîtes de réception de vos récepteurs avec BIMI
  • Assurer le cryptage TLS des courriels en transit avec MTA-STS
  • Détecter et répondre aux problèmes de livraison de courrier électronique en permettant un mécanisme de rapport étendu avec TLS-RPT

PowerDMARC est une plate-forme SaaS unique d'authentification du courrier électronique qui réunit sous un même toit toutes les meilleures pratiques d'authentification du courrier électronique telles que DMARC, SPF, DKIM, BIMI, MTA-STS et TLS-RPT. Inscrivez-vous dès aujourd'hui à PowerDMARC et constatez une amélioration considérable de la délivrabilité du courrier électronique grâce à notre suite améliorée de sécurité et d'authentification du courrier électronique.

Le Business Email Compromise ou BEC est une forme de violation de la sécurité du courrier électronique ou d'attaque par usurpation d'identité qui touche les entreprises commerciales, les gouvernements, les organisations à but non lucratif, les petites entreprises et les start-ups ainsi que les multinationales et les entreprises pour extraire des données confidentielles qui peuvent influencer négativement la marque ou l'organisation. Les attaques de harponnage, les escroqueries aux factures et les attaques d'usurpation d'identité sont autant d'exemples de CEB.

Les cybercriminels sont des magouilleurs experts qui ciblent intentionnellement des personnes spécifiques au sein d'une organisation, en particulier celles qui occupent des positions autoritaires comme le PDG ou une personne similaire, ou même un client de confiance. L'impact financier mondial dû aux BEC est énorme, en particulier aux États-Unis, qui sont devenus la principale plaque tournante. En savoir plus sur le volume mondial d'escroquerie BEC. La solution ? Passez à DMARC!

Qu'est-ce que le DMARC ?

DMARC (Domain-based Message Authentication, Reporting and Conformance) est une norme industrielle pour l'authentification du courrier électronique. Ce mécanisme d'authentification indique aux serveurs récepteurs comment répondre aux courriels qui échouent aux contrôles d'authentification SPF et DKIM. DMARC peut réduire considérablement les risques que votre marque devienne la proie d'attaques BEC et contribuer à protéger sa réputation, ses informations confidentielles et ses actifs financiers.

Notez qu'avant de publier un enregistrement DMARC, vous devez implémenter SPF et DKIM pour votre domaine puisque l'authentification DMARC utilise ces deux protocoles d'authentification standard pour valider les messages envoyés au nom de votre domaine.

Vous pouvez utiliser gratuitement notre générateur d'enregistrements SPF et notre générateur d'enregistrements DKIM pour générer des enregistrements à publier dans le DNS de votre domaine.

Comment optimiser votre dossier DMARC pour vous protéger contre la CEB ?

Afin de protéger votre domaine contre le Business Email Compromise, ainsi que de permettre un mécanisme de reporting étendu pour surveiller les résultats d'authentification et obtenir une visibilité complète de votre écosystème de messagerie, nous vous recommandons de publier la syntaxe d'enregistrement DMARC suivante dans le DNS de votre domaine :

v=DMARC1 ; p=rejet ; rua=mailto:[email protected] ; ruf=mailto:[email protected] ; fo=1 ;

Comprendre les balises utilisées lors de la génération d'un enregistrement DMARC :

v (obligatoire)Ce mécanisme précise la version du protocole.
p (obligatoire)Ce mécanisme précise la politique de la DMARC en vigueur. Vous pouvez définir votre politique DMARC sur :

p=non (DMARC au contrôle seulement, où les courriels échouant aux contrôles d'authentification atterriront quand même dans les boîtes de réception des destinataires). p=quarantaine (DMARC au contrôle, où les courriels échouant aux contrôles d'authentification seront mis en quarantaine ou placés dans le dossier des pourriels).

p=rejet (DMARC au maximum, où les courriels qui échouent aux contrôles d'authentification seront rejetés ou ne seront pas livrés du tout).

Pour les novices en matière d'authentification, il est recommandé de commencer par une politique de surveillance uniquement (p=none), puis de passer progressivement à l'application. Toutefois, pour les besoins de ce blog, si vous souhaitez protéger votre domaine contre le BEC, il est recommandé d'adopter la politique p=reject afin d'assurer une protection maximale.

sp (facultatif)Cette balise spécifie la politique de sous-domaines qui peut être définie à sp=non/quarantine/rejeter demandant une politique pour tous les sous-domaines dans lesquels les courriels échouent à l'authentification DMARC.

Cette balise n'est utile que si vous souhaitez définir une politique différente pour votre domaine principal et vos sous-domaines. Si ce n'est pas le cas, la même politique sera appliquée par défaut à tous vos sous-domaines.

adkim (facultatif)Ce mécanisme spécifie le mode d'alignement de l'identifiant DKIM qui peut être réglé sur s (strict) ou r (relâché).

L'alignement strict spécifie que le champ d= dans la signature DKIM de l'en-tête du courriel doit s'aligner et correspondre exactement au domaine trouvé dans l'en-tête from.

Toutefois, pour un alignement assoupli, les deux domaines doivent partager le même domaine organisationnel uniquement.

aspf (facultatif) Ce mécanisme spécifie le mode d'alignement de l'identifiant du SPF qui peut être réglé sur s (strict) ou r (relâché).

L'alignement strict spécifie que le domaine dans l'en-tête "Return-path" doit s'aligner et correspondre exactement au domaine trouvé dans l'en-tête "from".

Toutefois, pour un alignement assoupli, les deux domaines doivent partager le même domaine organisationnel uniquement.

rua (facultatif mais recommandé)Cette balise spécifie les rapports agrégés DMARC qui sont envoyés à l'adresse spécifiée après le champ mailto :, fournissant un aperçu des courriels qui passent et qui échouent en DMARC.
ruf (facultatif mais recommandé)Cette balise spécifie les rapports médico-légaux DMARC qui doivent être envoyés à l'adresse spécifiée après le champ mailto :. Les rapports de police scientifique sont des rapports au niveau du message qui fournissent des informations plus détaillées sur les échecs d'authentification. Comme ces rapports peuvent contenir du contenu de courrier électronique, leur cryptage est la meilleure pratique.
pct (facultatif)Cette balise précise le pourcentage de courriels auxquels s'applique la politique du DMARC. La valeur par défaut est fixée à 100.
fo (facultatif mais recommandé)Les options médico-légales pour votre dossier DMARC peuvent être réglées sur

->DKIM et SPF ne passent pas ou ne s'alignent pas (0)

->DKIM ou SPF ne passent pas ou ne s'alignent pas (1)

->DKIM ne passe pas ou ne s'aligne pas (d)

->SPF ne passe pas ou ne s'aligne pas (s)

Le mode recommandé est fo=1, qui précise que des rapports d'expertise doivent être générés et envoyés à votre domaine lorsque des courriels échouent aux contrôles d'authentification DKIM ou SPF.

Vous pouvez générer votre enregistrement DMARC avec le générateur d'enregistrements DMARC gratuit de PowerDMARC dans lequel vous pouvez sélectionner les champs en fonction du niveau d'application que vous souhaitez.

Notez que seule une politique de rejet peut minimiser le BEC et protéger votre domaine contre les attaques d'usurpation d'identité et de phishing.

Bien que le DMARC puisse être une norme efficace pour protéger votre entreprise contre le CEB, sa mise en œuvre correcte nécessite des efforts et des ressources. Que vous soyez novice ou passionné d'authentification, en tant que pionnier de l'authentification du courrier électronique, PowerDMARC est une plate-forme SaaS unique d'authentification du courrier électronique qui réunit pour vous toutes les meilleures pratiques d'authentification du courrier électronique telles que DMARC, SPF, DKIM, BIMI, MTA-STS et TLS-RPT, sous un même toit. Nous vous aidons :

  • Passer de la surveillance à l'application en un rien de temps pour tenir la CEB à distance
  • Nos rapports agrégés sont générés sous forme de graphiques et de tableaux simplifiés pour vous aider à les comprendre facilement sans avoir à lire des fichiers XML complexes
  • Nous cryptons vos rapports de police scientifique pour protéger la confidentialité de vos informations
  • Visualisez vos résultats d'authentification dans 7 formats différents (par résultat, par source d'envoi, par organisation, par hôte, statistiques détaillées, rapports de géolocalisation, par pays) sur notre tableau de bord convivial pour une expérience utilisateur optimale.
  • Obtenez une conformité à 100 % avec la norme DMARC en alignant vos courriels sur les normes SPF et DKIM afin que les courriels qui échouent à l'un ou l'autre des points de contrôle d'authentification ne parviennent pas dans la boîte de réception de vos destinataires

Comment le DMARC protège-t-il contre la CEB ?

Dès que vous définissez votre politique DMARC pour une application maximale (p=rejet), DMARC protège votre marque contre la fraude par courriel en réduisant les risques d'attaques d'usurpation d'identité et d'abus de domaine. Tous les messages entrants sont validés par des contrôles d'authentification SPF et DKIM pour s'assurer qu'ils proviennent de sources valides.

SPF est présent dans votre DNS sous la forme d'un enregistrement TXT, affichant toutes les sources valides qui sont autorisées à envoyer des courriels depuis votre domaine. Le serveur de messagerie du destinataire valide l'e-mail par rapport à votre enregistrement SPF pour l'authentifier. DKIM attribue une signature cryptographique, créée à l'aide d'une clé privée, pour valider les e-mails dans le serveur de réception, où le récepteur peut récupérer la clé publique à partir du DNS de l'expéditeur pour authentifier les messages.

Avec votre politique de rejet, les courriels ne sont pas délivrés du tout à la boîte aux lettres de votre destinataire lorsque les contrôles d'authentification échouent, indiquant que votre marque est usurpée. En définitive, cela permet d'éviter les attaques de type spoofing et phishing.

Le plan de base de PowerDMARC pour les petites entreprises

Notre plan de base commence à seulement 8 USD par mois, donc les petites entreprises et les start-ups qui essaient d'adopter des protocoles sécurisés comme le DMARC peuvent facilement en bénéficier. Les avantages que vous aurez à votre disposition avec ce plan sont les suivants :

  • Économisez 20% sur votre plan annuel
  • Jusqu'à 2 000 000 de courriels conformes à la norme DMARC
  • Jusqu'à 5 domaines
  • Historique des données sur 1 an
  • 2 utilisateurs de la plate-forme
  • Hébergé par BIMI
  • Hébergement MTA-STS
  • TLS-RPT

Inscrivez-vous à PowerDMARC dès aujourd'hui et protégez le domaine de votre marque en minimisant les risques de compromission des courriels d'affaires et de fraude par courriel !

En 1982, lorsque le SMTP a été spécifié pour la première fois, il ne contenait aucun mécanisme permettant d'assurer la sécurité au niveau du transport pour sécuriser les communications entre les agents de transfert du courrier. Cependant, en 1999, la commande STARTTLS a été ajoutée au SMTP qui, à son tour, a pris en charge le cryptage des courriers électroniques entre les serveurs, offrant la possibilité de convertir une connexion non sécurisée en une connexion sécurisée qui est cryptée à l'aide du protocole TLS.

Toutefois, le cryptage est facultatif dans le SMTP, ce qui implique que les courriers électroniques peuvent être envoyés même en texte clair. Agent de transfert du courrier - Sûreté des transports (MTA-STS) est une norme relativement récente qui permet aux fournisseurs de services de courrier électronique de faire respecter la sécurité de la couche transport (TLS) pour sécuriser les connexions SMTP, et de spécifier si les serveurs SMTP d'envoi doivent refuser de livrer des courriers électroniques à des hôtes MX qui n'offrent pas la TLS avec un certificat de serveur fiable. Il a été prouvé qu'il permettait d'atténuer avec succès les attaques de déclassement TLS et les attaques de type "Man-In-The-Middle" (MITM). Rapport TLS SMTP (TLS-RPT) est une norme qui permet de signaler les problèmes de connectivité TLS rencontrés par les applications qui envoient des courriers électroniques et détectent les mauvaises configurations. Elle permet de signaler les problèmes de livraison de courrier électronique qui se produisent lorsqu'un courrier électronique n'est pas crypté avec TLS. En septembre 2018, la norme a été documentée pour la première fois dans la RFC 8460.

Pourquoi vos courriels doivent-ils être cryptés en transit ?

L'objectif premier est d'améliorer la sécurité au niveau du transport lors des communications SMTP et de garantir la confidentialité du trafic de courrier électronique. En outre, le cryptage des messages entrants et sortants renforce la sécurité de l'information, en utilisant la cryptographie pour protéger les informations électroniques. En outre, les attaques cryptographiques telles que Man-In-The-Middle (MITM) et TLS Downgrade ont gagné en popularité ces derniers temps et sont devenues une pratique courante parmi les cybercriminels, à laquelle on peut échapper en appliquant le cryptage TLS et en étendant le support aux protocoles sécurisés.

Comment une attaque du MITM est-elle lancée ?

Comme le cryptage a dû être adapté au protocole SMTP, la mise à niveau pour la livraison cryptée doit reposer sur une commande STARTTLS envoyée en clair. Un attaquant MITM peut facilement exploiter cette fonctionnalité en effectuant une attaque de niveau inférieur sur la connexion SMTP en altérant la commande de mise à niveau, obligeant le client à se rabattre sur l'envoi du courrier électronique en texte clair.

Après avoir intercepté la communication, un attaquant du MITM peut facilement voler les informations décryptées et accéder au contenu du courriel. En effet, le MITM étant la norme du secteur pour le transfert de courrier, il utilise un cryptage opportuniste, ce qui implique que le cryptage est facultatif et que les courriers électroniques peuvent toujours être transmis en clair.

Comment une attaque de dégradation du TLS est-elle lancée ?

Comme le cryptage a dû être adapté au protocole SMTP, la mise à niveau pour la livraison cryptée doit reposer sur une commande STARTTLS envoyée en clair. Un attaquant MITM peut exploiter cette fonctionnalité en effectuant une attaque de niveau inférieur sur la connexion SMTP en altérant la commande de mise à niveau. L'attaquant peut simplement remplacer les STARTTLS par une chaîne de caractères que le client ne parvient pas à identifier. Par conséquent, le client se rabat facilement sur l'envoi d'un courrier électronique en texte clair.

En bref, une attaque de niveau inférieur est souvent lancée dans le cadre d'une attaque MITM, afin de créer une voie permettant une attaque qui ne serait pas possible dans le cas d'une connexion cryptée sur la dernière version du protocole TLS, en remplaçant ou en supprimant la commande STARTTLS et en ramenant la communication en clair.

Outre le renforcement de la sécurité des informations et l'atténuation des attaques de surveillance omniprésentes, le cryptage des messages en transit permet également de résoudre de multiples problèmes de sécurité SMTP.

Mise en œuvre du cryptage TLS des courriers électroniques avec MTA-STS

Si vous ne parvenez pas à transporter vos courriers électroniques via une connexion sécurisée, vos données pourraient être compromises, voire modifiées et altérées par un cyber-attaquant. C'est ici que MTA-STS intervient et résout ce problème, en permettant un transit sûr de vos courriers électroniques, en atténuant avec succès les attaques cryptographiques et en renforçant la sécurité des informations en appliquant le cryptage TLS. En d'autres termes, le MTA-STS fait en sorte que les courriers électroniques soient transférés par un chemin crypté TLS et, si une connexion cryptée ne peut être établie, le courrier électronique n'est pas du tout délivré, au lieu d'être délivré en clair. En outre, les MTA stockent les fichiers de politique MTA-STS, ce qui rend plus difficile pour les attaquants de lancer une attaque de spoofing DNS.

 

Le MTA-STS offre une protection contre :

  • Les attaques de dégradation
  • Attaques de l'homme au milieu (MITM)
  • Il résout de nombreux problèmes de sécurité SMTP, notamment les certificats TLS expirés et le manque de prise en charge des protocoles sécurisés.

Les principaux fournisseurs de services de courrier tels que Microsoft, Oath et Google prennent en charge MTA-STS. Google étant le plus grand acteur du secteur, il occupe une place centrale dans l'adoption de tout protocole. L'adoption de MTA-STS par google indique l'extension du support vers des protocoles sécurisés et souligne l'importance du cryptage du courrier électronique en transit.

Dépannage des problèmes de livraison de courrier électronique avec TLS-RPT

Le rapport SMTP TLS fournit aux propriétaires de domaines des rapports de diagnostic (au format de fichier JSON) contenant des détails détaillés sur les courriels qui ont été envoyés à votre domaine et qui rencontrent des problèmes de livraison, ou qui n'ont pas pu être livrés en raison d'une attaque de dégradation ou d'autres problèmes, afin que vous puissiez résoudre le problème de manière proactive. Dès que vous activez TLS-RPT, les agents de transfert de courrier acquiescent et commencent à envoyer des rapports de diagnostic concernant les problèmes de livraison de courrier électronique entre les serveurs de communication et le domaine de courrier électronique désigné. Les rapports sont généralement envoyés une fois par jour, couvrant et transmettant les politiques MTA-STS observées par les expéditeurs, les statistiques de trafic ainsi que des informations sur les échecs ou les problèmes de distribution du courrier électronique.

La nécessité de déployer le TLS-RPT :

  • Si un courriel ne peut être envoyé à votre destinataire en raison d'un problème de livraison, vous en serez informé.
  • Le TLS-RPT offre une visibilité accrue sur tous vos canaux de messagerie électronique afin que vous puissiez mieux comprendre tout ce qui se passe dans votre domaine, y compris les messages qui ne sont pas transmis.
  • TLS-RPT fournit des rapports de diagnostic approfondis qui vous permettent d'identifier et d'aller à la racine du problème de livraison du courrier électronique et de le résoudre sans délai.

L'adoption de MTA-STS et TLS-RPT rendue facile et rapide par PowerDMARC

Le MTA-STS nécessite un serveur web compatible HTTPS avec un certificat valide, des enregistrements DNS et une maintenance constante. PowerDMARC vous facilite la vie en gérant tout cela pour vous, complètement en arrière-plan. De la génération des certificats et du fichier de politique MTA-STS à l'application de la politique, nous vous aidons à éviter les énormes complexités liées à l'adoption du protocole. Une fois que nous vous avons aidé à le mettre en place en quelques clics, vous n'avez même plus besoin d'y penser.

Avec l'aide des services d'authentification du courrier électronique de PowerDMARC , vous pouvez déployer le MTA-STS hébergé dans votre organisation sans tracas et à un rythme très rapide, à l'aide duquel vous pouvez faire en sorte que les courriers électroniques soient envoyés à votre domaine via une connexion cryptée TLS, rendant ainsi votre connexion sûre et tenant les attaques MITM à distance.

PowerDMARC vous facilite la vie en rendant le processus de mise en œuvre du SMTP TLS Reporting (TLS-RPT) simple et rapide, au bout de vos doigts ! Dès que vous vous inscrivez à PowerDMARC et que vous activez le SMTP TLS Reporting pour votre domaine, nous nous chargeons de convertir les fichiers JSON compliqués contenant vos rapports de problèmes de livraison de courrier électronique, en documents simples et lisibles (par résultat et par source d'envoi), que vous pouvez parcourir et comprendre facilement ! La plate-forme PowerDMARC détecte automatiquement et transmet ensuite les problèmes que vous rencontrez dans la livraison du courrier électronique, afin que vous puissiez les traiter et les résoudre rapidement !

Inscrivez-vous pour obtenir votre DMARC gratuit dès aujourd'hui !

Si vous êtes ici en train de lire ce blog, il y a de fortes chances que vous soyez tombé sur l'une des trois invites communes :

  • Pas de dossier DMARC 
  • Aucun enregistrement DMARC trouvé 
  • Le dossier du DMARC est manquant
  • Le dossier du DMARC n'a pas été trouvé 
  • Aucun enregistrement DMARC publié 
  • La politique de la DMARC n'est pas activée
  • Impossible de trouver le dossier du DMARC

Quoi qu'il en soit, cela signifie que votre domaine n'est pas configuré avec la norme d'authentification des e-mails la plus appréciée et la plus utilisée, à savoir la norme DMARC(Domain-based Message Authentication, Reporting, and Conformance). Voyons un peu ce que c'est :

Qu'est-ce que le DMARC et pourquoi avez-vous besoin d'une authentification du courrier électronique pour votre domaine ?

Afin de savoir comment résoudre le problème "No DMARC record found", nous allons d'abord apprendre ce qu'est DMARC. DMARC est la norme d'authentification des e-mails la plus largement utilisée à l'heure actuelle. Elle est conçue pour permettre aux propriétaires de domaines de spécifier aux serveurs de réception la manière dont ils doivent traiter les messages qui échouent aux contrôles d'authentification. Cela permet de protéger leur domaine contre les accès non autorisés et les attaques par usurpation d'identité. DMARC utilise des protocoles d'authentification standard populaires pour valider les messages entrants et sortants de votre domaine.

Protégez votre entreprise contre les attaques d'usurpation d'identité et l'usurpation d'identité avec le DMARC

Saviez-vous que le courrier électronique est le moyen le plus facile pour les cybercriminels d'abuser de votre marque ?

En utilisant votre domaine et en se faisant passer pour votre marque, les pirates peuvent envoyer des courriels de phishing malveillants à vos propres employés et clients. Comme le SMTP n'est pas équipé de protocoles sécurisés contre les faux champs "From", un pirate peut falsifier les en-têtes de courriel pour envoyer des courriels frauduleux à partir de votre domaine. Non seulement cela compromettra la sécurité de votre organisation, mais cela portera gravement atteinte à la réputation de votre marque.

L'usurpation d'identité par courrier électronique peut entraîner des BEC (Business Email Compromise), la perte d'informations précieuses sur l'entreprise, l'accès non autorisé à des données confidentielles, des pertes financières et une mauvaise image de marque. Même après avoir mis en place SPF et DKIM pour votre domaine, vous ne pouvez pas empêcher les cybercriminels de se faire passer pour votre domaine. C'est pourquoi vous avez besoin d'un protocole d'authentification des e-mails comme DMARC, qui authentifie les e-mails à l'aide des deux protocoles mentionnés et indique aux serveurs de réception de vos clients, employés et partenaires comment réagir si un e-mail provient d'une source non autorisée et échoue aux contrôles d'authentification. Vous bénéficiez ainsi d'une protection maximale contre les attaques par le nom de domaine exact et vous pouvez contrôler totalement le domaine de votre entreprise.

En outre, grâce à une norme d'authentification efficace du courrier électronique comme la DMARC, vous pouvez améliorer le taux de livraison, la portée et la confiance de votre courrier électronique.

 


Ajout de l'enregistrement DMARC manquant pour votre domaine

Il peut être ennuyeux et déroutant de tomber sur des invites disant "Hostname returned a missing or invalid DMARC record" lorsque l'on vérifie l'enregistrement DMARC d'un domaine en utilisant des outils en ligne.

Pour résoudre le problème "Aucun enregistrement DMARC trouvé" pour votre domaine, il vous suffit d'ajouter un enregistrement DMARC pour votre domaine. Ajouter un enregistrement DMARC consiste essentiellement à publier un enregistrement texte (TXT) dans le DNS de votre domaine, dans le répertoire _dmarc.example.com en conformité avec les spécifications du DMARC. Un enregistrement DMARC TXT dans votre DNS peut ressembler à ceci :

v=DMARC1 ; p=none ; rua=mailto:[email protected]

Et voilà ! Vous avez résolu avec succès l'invite "Aucun enregistrement DMARC trouvé" car votre domaine est maintenant configuré avec l'authentification DMARC et contient un enregistrement DMARC.

Mais est-ce suffisant ? La réponse est non. Le simple fait d'ajouter un enregistrement DMARC TXT à votre DNS peut résoudre le problème de l'invite DMARC manquante, mais cela ne suffit pas pour atténuer les attaques d'usurpation d'identité et de spoofing.

Mettre en œuvre le DMARC de la bonne manière avec PowerDMARC

PowerDMARC aide votre organisation à atteindre une conformité DMARC à 100% en alignant les normes d'authentification, et en vous aidant à passer de la surveillance à l'application en un rien de temps, en résolvant l'invite "aucun enregistrement DMARC trouvé" en un rien de temps ! En outre, notre tableau de bord interactif et convivial génère automatiquement :

  • Rapports agrégés (RUA) pour tous vos domaines enregistrés, qui sont simplifiés et convertis en tableaux et graphiques lisibles à partir d'un format de fichier XML complexe pour votre compréhension.
  • Rapports de police scientifique (RUF) avec cryptage

Pour atténuer le problème "aucun enregistrement DMARC n'a été trouvé", il suffit de faire ce qui suit :

La politique de la DMARC peut être fixée à :

  • p=none (DMARC est réglé sur la surveillance uniquement, ce qui signifie que les courriels dont l'authentification échoue seront toujours envoyés dans la boîte de réception de vos destinataires, mais vous recevrez des rapports agrégés vous informant des résultats de l'authentification).
  • p=quarantaine (DMARC est configuré au niveau de l'application, les courriels qui ne sont pas authentifiés seront envoyés dans la boîte à spam au lieu de la boîte de réception de votre destinataire)
  • p=rejet (DMARC est réglé au niveau d'application maximal, les courriels qui échouent à l'authentification seront soit supprimés, soit ne seront pas livrés du tout).

Pourquoi PowerDMARC ?

PowerDMARC est une plateforme SaaS unique d'authentification des e-mails qui combine toutes les meilleures pratiques d'authentification des e-mails telles que DMARC, SPF, DKIM, BIMI, MTA-STS et TLS-RPT, sous un même toit. Nous offrons une visibilité optimale de votre écosystème de messagerie à l'aide de nos rapports agrégés détaillés et nous vous aidons à mettre automatiquement à jour les modifications apportées à votre tableau de bord sans que vous ayez à mettre à jour vos DNS manuellement.

Nous adaptons les solutions à votre domaine et nous nous occupons de tout pour vous en arrière-plan, de la configuration à la surveillance en passant par la mise en place. Nous vous aidons à mettre en œuvre correctement le DMARC pour vous aider à tenir à distance les attaques d'usurpation d'identité !

Alors inscrivez-vous à PowerDMARC pour configurer correctement le DMARC pour votre domaine dès aujourd'hui !

L'authentification, le rapport et la conformité des messages par domaine est le protocole d'authentification du courrier électronique le plus largement plébiscité ces derniers temps, qui peut aider les petites entreprises, ainsi que les multinationales, à atténuer les attaques d'usurpation d'identité, d'usurpation de courrier électronique et de BEC. Le DMARC utilise deux des protocoles standard existants dans le domaine de l'authentification du courrier électronique, à savoir SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail). Les solutions DMARC peuvent aider à valider l'authenticité de chaque courrier électronique entrant et sortant et à atténuer les attaques par courrier électronique et les failles de sécurité.

Lorsque vous choisissez la meilleure solution logicielle DMARC pour votre entreprise, vous devez rechercher quelques caractéristiques de base que la solution doit inclure ! Voyons quelles sont ces caractéristiques :

Un tableau de bord convivial

Un tableau de bord convivial vous offrant une visibilité complète de votre écosystème de messagerie et affichant efficacement des rapports sur les courriers électroniques passant et échouant l'authentification DMARC de votre domaine dans un format lisible et compréhensible est impératif. C'est l'un des points clés que vous devez prendre en compte lorsque vous choisissez la meilleure solution logicielle DMARC pour votre entreprise.

Rapports globaux détaillés et rapports médico-légaux

Il est indispensable que votre solution DMARC dispose d'un mécanisme de compte rendu détaillé. Les rapports agrégés et médico-légaux sont tous deux indispensables pour surveiller les menaces et configurer les protocoles d'authentification.

Les rapports globaux détaillés du DMARC sont générés dans un format de fichier XML. Pour une personne non technique, ces enregistrements peuvent paraître indéchiffrables. La meilleure solution logicielle DMARC pour votre organisation couvrira ces rapports agrégés incompréhensibles à partir de fichiers XML complexes en informations que vous pouvez facilement comprendre et qui vous permettent d'analyser vos résultats et d'apporter les modifications nécessaires

Pour les PME comme pour les multinationales, les rapports Forensic fournissent des informations précieuses sur votre écosystème de messagerie. Ils sont générés chaque fois qu'un courriel envoyé depuis votre domaine échoue à la procédure DMARC. Ils fournissent des informations détaillées sur les e-mails individuels qui ont échoué à l'authentification afin de détecter les tentatives d'usurpation et de résoudre rapidement les problèmes de livraison des e-mails.

Cryptage des rapports médico-légaux de la DMARC

Les rapports médico-légaux du DMARC contiennent des données sur chaque courriel individuel qui a échoué. Cela implique qu'ils peuvent potentiellement inclure des informations confidentielles qui étaient présentes dans ces courriels. C'est pourquoi, lorsque vous choisissez la meilleure solution logicielle DMARC pour votre entreprise, vous devez choisir un fournisseur de services qui respecte votre vie privée et qui vous permet de crypter vos rapports médico-légaux afin que seuls les utilisateurs autorisés y aient accès.

Alignement du SPF et du DKIM

Bien que la conformité DMARC puisse être obtenue par l'alignement de SPF ou DKIM, il est préférable d'aligner vos e-mails sur les deux normes d'authentification. À moins que vos courriels ne soient alignés et authentifiés par rapport aux protocoles d'authentification SPF et DKIM et qu'ils ne s'appuient que sur SPF pour la validation, il est possible que des courriels légitimes échouent à l'authentification DMARC (comme dans le cas des messages transférés). En effet, l'adresse IP du serveur intermédiaire peut ne pas être incluse dans l'enregistrement SPF de votre domaine, ce qui fait échouer le SPF.

Toutefois, à moins que le corps du message ne soit altéré pendant le transfert, la signature DKIM est conservée par le message, ce qui peut être utilisé pour valider son authenticité. La meilleure solution logicielle DMARC pour votre entreprise s'assurera que tous vos messages entrants et sortants sont alignés à la fois sur SPF et DKIM.

Rester sous la limite des 10 DNS

Les enregistrements SPF ont une limite de 10 consultations DNS. Si votre organisation a une large base d'opérations ou si vous comptez sur des fournisseurs tiers pour envoyer des courriels en votre nom, votre enregistrement SPF pourrait facilement dépasser la limite et atteindre le pervers. Cela invalide votre mise en œuvre du SPF, et fait inévitablement échouer vos courriels. C'est pourquoi vous devriez chercher une solution qui vous aide à optimiser instantanément votre enregistrement SPF pour rester toujours en dessous de la limite de 10 consultations DNS afin d'atténuer la perméabilité du SPF !

Un assistant de configuration interactif et efficace

Lors du choix de la meilleure solution logicielle DMARC pour votre organisation, il ne faut pas oublier le processus d'installation. Un assistant de configuration interactif et efficace, conçu dans un souci de simplicité et de facilité d'utilisation, qui vous guide tout au long du processus de saisie de votre nom de domaine, de définition de votre politique DMARC et de génération de votre propre enregistrement DMARC de manière synchronisée et méthodique, est le besoin de l'heure ! Il vous aidera à vous installer en douceur, et à comprendre tous les paramètres et fonctionnalités de votre tableau de bord en un minimum de temps.

Programmation des rapports exécutifs en PDF

Avec une solution DMARC efficace pour votre organisation, vous pouvez convertir vos rapports DMARC en documents PDF pratiques et facilement lisibles qui peuvent être partagés avec toute votre équipe. En fonction de vos besoins, vous pouvez programmer leur envoi régulier à votre messagerie électronique ou simplement les générer à la demande.

 

Hébergement BIMI Record

Brand Indicators for Message Identification ou BIMI, permet aux destinataires de vos courriels d'identifier visuellement le logo de votre marque unique dans leur boîte de réception, et d'être assurés que le courriel provient d'une source authentique. Un fournisseur de services efficace peut vous connecter à la mise en œuvre de BIMI avec des protocoles d'authentification standard comme DMARC, SPF et DKIM, ce qui améliore la mémorisation de votre marque et préserve la réputation et l'intégrité de votre marque.

Sécurité et configuration de la plate-forme

Une solution DMARC efficace facilitera votre travail en détectant automatiquement tous vos sous-domaines et en fournissant une authentification à deux facteurs pour permettre une sécurité absolue de votre plate-forme d'authentification.

Renseignement sur les menaces

Pour une meilleure visibilité et une meilleure compréhension, vous avez besoin d'un moteur de renseignement sur les menaces (TI) basé sur l'intelligence artificielle qui élimine activement les adresses IP suspectes, en les comparant à une liste noire actualisée d'agresseurs connus, afin que vous puissiez les faire supprimer. Vous serez ainsi protégé contre les activités malveillantes et les abus de domaine répétés à l'avenir.

Une équipe de soutien proactive

Lorsque vous mettez en œuvre le DMARC dans votre organisation et que vous produisez des rapports globaux, vous avez besoin d'une équipe de soutien proactive, disponible 24 heures sur 24 pour vous aider à atténuer les problèmes de configuration, même après l'embarquement, pendant toute la durée de l'utilisation de ses services.

Outil d'analyse PowerDMARC

Notre outil d'analyse DMARC est suffisamment efficace pour vous guider tout au long du processus de mise en œuvre et vous aider à passer de la surveillance à l'application du DMARC et à une conformité à 100% au DMARC en un minimum de temps. Notre solution logicielle DMARC avancée vous aidera à configurer votre domaine, votre politique DMARC et vos rapports globaux et vous permettra d'obtenir une visibilité complète de votre écosystème de messagerie au plus tôt. De la génération d'enregistrements BIMI hébergés aux rapports médico-légaux avec cryptage, PowerDMARC est votre destination unique pour la suite ultime de sécurité du courrier électronique.

Lorsque vous choisissez une solution DMARC pour votre organisation, il est important de vous confier à un fournisseur de services qui offre une technologie de pointe à des tarifs raisonnables. Inscrivez-vous pour obtenir votre essai gratuit de DMARC dès aujourd'hui avec PowerDMARC !