Si vous êtes sur cette page en train de lire ce blog, il y a de fortes chances que vous soyez tombé sur l'une des invites suivantes :

  • Aucun enregistrement SPF trouvé
  • Le dossier SPF est manquant
  • Pas de dossier SPF
  • Enregistrement SPF non trouvé
  • Aucun dossier SPF publié
  • Impossible de trouver le dossier du SPF

L'invite signifie simplement que votre domaine n'est pas configuré avec la norme d'authentification de courrier électronique SPF. Un enregistrement SPF est un enregistrement DNS TXT qui est publié dans le DNS de votre domaine pour authentifier les messages en les comparant aux adresses IP autorisées à envoyer des courriers électroniques au nom de votre domaine, incluses dans votre enregistrement SPF. Si votre domaine n'est pas authentifié par le protocole SPF, vous risquez donc de tomber sur un message "Aucun enregistrement SPF trouvé".

Qu'est-ce que le cadre politique de l'expéditeur (SPF) ?

La norme d'authentification des courriers électroniquesSPF est un mécanisme utilisé pour empêcher les spammeurs de falsifier les courriers électroniques. Elle utilise des enregistrements DNS pour vérifier que le serveur d'envoi est autorisé à envoyer des courriels à partir du nom de domaine. SPF, qui signifie Sender Policy Framework, vous permet d'identifier les expéditeurs autorisés de courriels sur votre domaine.

Le SPF est un système d'authentification "basé sur le chemin", ce qui implique qu'il est lié au chemin que prend le courrier électronique du serveur d'envoi d'origine au serveur de réception. Le SPF permet non seulement aux organisations d'autoriser les adresses IP à utiliser leurs noms de domaine lors de l'envoi de courriers électroniques, mais il fournit également un moyen pour un serveur de courrier électronique récepteur de vérifier cette autorisation.

Dois-je configurer le SPF ?

On vous a probablement dit que vous aviez besoin de l'authentification des e-mails SPF (Sender Policy Framework). Mais une entreprise en a-t-elle vraiment besoin ? Et si oui, y a-t-il d'autres avantages ? Cette question est généralement comprise lorsque l'entreprise devient un grand échangeur d'e-mails pour son organisation. Avec SPF, vous pouvez suivre le comportement des e-mails pour détecter les messages frauduleux et protéger votre entreprise des problèmes liés au spam, à l'usurpation d'identité et aux attaques de phishing. Le SPF vous aide à atteindre une délivrabilité maximale et à protéger votre marque en vérifiant l'identité des expéditeurs.

Comment fonctionne le SPF ?

  • Les enregistrements SPF sont des enregistrements DNS (Domain Name System) spécialement formatés, publiés par les administrateurs de domaine, qui définissent quels serveurs de courrier électronique sont autorisés à envoyer du courrier au nom de ce domaine.
  • Lorsque SPF est configuré pour votre domaine, chaque fois qu'un courriel est envoyé à partir de votre domaine, le serveur de messagerie du destinataire recherche les spécifications du domaine du chemin de retour dans l'en-tête de l'e-mail.
  • DNS. Il a ensuite essayé de faire correspondre l'adresse IP de l'expéditeur aux adresses autorisées définies dans votre enregistrement SPF.
  • Selon les spécifications de la politique du SPF, le serveur de réception décide alors de livrer, de rejeter ou de marquer le courrier électronique au cas où il échouerait à l'authentification.

Déchiffrer la syntaxe d'un dossier SPF

Prenons l'exemple d'un enregistrement SPF pour un domaine fictif avec la syntaxe correcte :

v=spf1 ip4:29.337.148 include:domain.com -all

 

Arrêt du message "Aucun enregistrement SPF trouvé

Si vous ne voulez plus recevoir le message ennuyeux "No SPF record found", il vous suffit de configurer le SPF pour votre domaine en publiant un enregistrement TXT dans le DNS. Vous pouvez utiliser notre générateur d'enregistrement SPF gratuit pour créer un enregistrement instantané avec la syntaxe correcte, à publier dans votre DNS.

Il suffit de le faire :

  • Choisissez si vous souhaitez autoriser les serveurs répertoriés comme MX à envoyer des courriers électroniques pour votre domaine
  • Choisissez si vous souhaitez autoriser l'adresse IP actuelle du domaine à envoyer des courriers électroniques pour ce domaine
  • Indiquez les adresses IP autorisées à envoyer des courriers électroniques à partir de votre domaine
  • Ajoutez tout autre nom de serveur ou domaine qui pourrait livrer ou relayer le courrier pour votre domaine
  • Choisissez votre mode de politique SPF ou le niveau de sévérité du serveur de réception parmi les options suivantes : Fail (les courriels non conformes seront rejetés), Soft-fail (les courriels non conformes seront acceptés mais marqués) et Neutral (les courriels seront probablement acceptés)
  • Cliquez sur Générer un dossier SPF pour créer instantanément votre dossier

Si vous avez déjà configuré le SPF pour votre domaine, vous pouvez également utiliser notre vérificateur d'enregistrement SP F gratuit pour consulter et valider votre enregistrement SPF et détecter les problèmes.

La publication d'un dossier SPF est-elle suffisante ?

La réponse est non. Le SPF seul ne peut pas empêcher l'usurpation d'identité de votre marque. Pour une protection optimale contre l'usurpation d'identité directe, les attaques de phishing et les BEC, vous devez configurer DKIM et DMARC pour votre domaine.

En outre, le SPF est limité à 10 consultations de DNS. Si vous dépassez cette limite, votre SPF se brisera et l'authentification échouera même pour les courriels légitimes. C'est pourquoi vous avez besoin d'un aplatisseur SPF dynamique qui vous aidera à rester en deçà de la limite de 10 consultations DNS et vous tiendra au courant des modifications apportées par vos fournisseurs d'échange de courrier électronique.

Nous espérons que ce blog vous a aidé à résoudre votre problème et que vous n'aurez plus jamais à vous inquiéter du message "Aucun enregistrement SPF trouvé" qui vous dérange. Inscrivez-vous dès aujourd'hui à un essai gratuit d'authentification des e-mails pour améliorer la délivrabilité et la sécurité de vos e-mails !

 

Le Business Email Compromise (BEC) est une forme de cybercriminalité rampante et en constante évolution qui cible les courriels comme moyen potentiel de fraude. Ciblant les organisations commerciales, gouvernementales et à but non lucratif, l'attaque BEC peut entraîner d'énormes pertes de données, des failles de sécurité et la compromission d'actifs financiers. On croit souvent à tort que les cybercriminels se concentrent sur les multinationales et les entreprises. De nos jours, les PME sont tout autant la cible de la fraude par courrier électronique que les grands acteurs du secteur. 

Comment le CEB peut-il affecter les organisations ?

Parmi les exemples d'attaques BEC, citons les attaques sophistiquées d'ingénierie sociale telles que le phishing, la fraude au PDG, les fausses factures et l'usurpation d'adresse électronique, pour n'en citer que quelques-unes. On peut également parler d'une attaque par usurpation d'identité, dans laquelle un attaquant vise à escroquer une entreprise en se faisant passer pour des personnes occupant des postes à responsabilité. Le succès de ces attaques repose sur l'usurpation de l'identité de personnes telles que le directeur financier ou le PDG, un partenaire commercial ou toute autre personne à laquelle vous accordez aveuglément votre confiance.

Février 2021 a capturé les activités du cyber-gang russe Cosmic Lynx, alors qu'il adoptait une approche sophistiquée en matière de BEC. Le groupe avait déjà été lié à la conduite de plus de 200 campagnes de BEC depuis juillet 2019, ciblant plus de 46 pays dans le monde, en se concentrant sur les multinationales géantes qui ont une présence mondiale. Grâce à des courriels de phishing extrêmement bien rédigés, ils rendent impossible pour les gens de faire la différence entre les vrais et les faux messages.

Le travail à distance a fait des applications de vidéoconférence des entités indispensables, post-pandémique. Les cybercriminels profitent de cette situation en envoyant des courriels frauduleux qui se font passer pour une notification de la plate-forme de vidéoconférence, Zoom. L'objectif est de voler les identifiants de connexion pour procéder à des violations massives des données de l'entreprise.

Il est clair que l'importance des BEC est en train d'apparaître rapidement et de s'accroître ces derniers temps, les acteurs de la menace trouvant des moyens plus sophistiqués et innovants pour échapper à la fraude. Les attaques BEC touchent plus de 70 % des organisations dans le monde et entraînent la perte de milliards de dollars chaque année. C'est pourquoi les experts du secteur ont mis au point des protocoles d'authentification des e-mails, comme DMARC, afin d'offrir un niveau élevé de protection contre l'usurpation d'identité.

Qu'est-ce que l'authentification des courriers électroniques ?

L'authentification du courrier électronique peut être considérée comme un ensemble de techniques déployées pour fournir des informations vérifiables sur l'origine des courriers électroniques. Cela se fait en authentifiant la propriété du domaine du ou des agents de transfert de courrier impliqués dans le transfert du message.

Le protocole SMTP (Simple Mail Transfer Protocol), qui est la norme industrielle pour le transfert de courrier électronique, ne dispose pas d'une telle fonction intégrée pour l'authentification des messages. C'est pourquoi il est extrêmement facile pour les cybercriminels d'exploiter ce manque de sécurité pour lancer des attaques de phishing et d'usurpation de domaine. C'est pourquoi il est nécessaire de disposer de protocoles d'authentification efficaces, comme DMARC, qui tiennent leurs promesses !

Étapes à suivre pour prévenir les attaques BEC avec DMARC

 

Étape 1 : Mise en œuvre 

La première étape pour lutter contre les attaques BEC consiste à configurer DMARC pour votre domaine. La norme DMARC (Domain-based Message Authentication, Reporting and Conformance) utilise les normes d'authentification SPF et DKIM pour valider les courriels envoyés depuis votre domaine. Il indique aux serveurs destinataires comment répondre aux e-mails qui échouent à l'un ou l'autre de ces contrôles d'authentification, ce qui permet au propriétaire du domaine de contrôler la réponse du destinataire. Par conséquent, pour mettre en œuvre DMARC, vous devez :

  • Identifier toutes les sources de courrier électronique valides autorisées pour votre domaine
  • Publier l'enregistrement SPF dans votre DNS pour configurer le SPF pour votre domaine
  • Publier l'enregistrement DKIM dans votre DNS pour configurer DKIM pour votre domaine
  • Publier l'enregistrement DMARC dans votre DNS pour configurer le DMARC pour votre domaine

Afin d'éviter les complexités, vous pouvez utiliser les outils gratuits de PowerDMARC (générateur d'enregistrement SPF gratuit, générateur d'enregistrement DKIM gratuit, générateur d'enregistrement DMARC gratuit) pour générer des enregistrements avec la syntaxe correcte, instantanément, à publier dans le DNS de votre domaine.

Étape 2 : Mise en œuvre 

Votre politique DMARC peut être fixée à :

  • p=none (DMARC à la surveillance uniquement ; les messages dont l'authentification est défaillante seraient quand même délivrés)
  • p=quarantaine (DMARC à l'application de la loi ; les messages dont l'authentification est défaillante seraient mis en quarantaine)
  • p=rejet (DMARC au maximum de l'exécution ; les messages dont l'authentification est défaillante ne seraient pas délivrés du tout)

Nous vous recommandons de commencer à utiliser le DMARC avec une politique permettant uniquement la surveillance, afin que vous puissiez garder un œil sur le flux de courrier électronique et les problèmes de livraison. Cependant, une telle politique ne fournirait aucune protection contre la CEB. C'est pourquoi vous devrez éventuellement passer à l'application du DMARC. PowerDMARC vous aide à passer en un rien de temps de la surveillance à l'application de la loi grâce à une politique de p=rejet qui vous permettra de spécifier aux serveurs de réception qu'un courriel envoyé par une source malveillante utilisant votre domaine ne sera pas du tout livré dans la boîte de réception de votre destinataire.

Étape 3 : Suivi et rapports 

Vous avez mis votre politique DMARC en application et vous avez réussi à minimiser les attaques BEC, mais est-ce suffisant ? La réponse est non. Vous avez toujours besoin d'un mécanisme de reporting étendu et efficace pour surveiller le flux d'e-mails et répondre à tout problème de livraison. La plateforme SaaS multi-tenant de PowerDMARC vous aide :

  • garder le contrôle de votre domaine
  • contrôler visuellement les résultats de l'authentification pour chaque courriel, utilisateur et domaine enregistré pour vous
  • supprimer les adresses IP abusives qui tentent d'usurper l'identité de votre marque

Les rapports DMARC sont disponibles sur le tableau de bord PowerDMARC dans deux formats principaux :

  • Rapports agrégés de la DMARC (disponibles en 7 vues différentes)
  • Rapports médico-légaux de la DMARC (avec cryptage pour une meilleure protection de la vie privée)

La mise en œuvre de DMARC, son application et l'établissement de rapports vous permettent de réduire considérablement les risques de devenir la proie d'une attaque BEC ou d'une usurpation d'identité. 

Avec les filtres anti-spam, ai-je encore besoin du DMARC ?

Oui ! La DMARC fonctionne très différemment des filtres antispam et des passerelles de sécurité du courrier électronique ordinaires. Bien que ces solutions soient généralement intégrées à vos services d'échange de courrier électronique dans le nuage, elles ne peuvent offrir qu'une protection contre les tentatives de phishing entrantes. Les messages envoyés depuis votre domaine restent sous la menace de l'usurpation d'identité. C'est là que la DMARC intervient.

Conseils supplémentaires pour améliorer la sécurité du courrier électronique

 

Restez toujours sous la limite des 10 DNS 

Le dépassement de la limite de consultation SPF 10 peut invalider complètement votre enregistrement SPF et faire échouer l'authentification des courriels légitimes. Dans de tels cas, si votre DMARC est réglé sur le rejet, les courriels authentiques ne seront pas livrés. PowerSPF est votre aplatisseur d'enregistrement SPF automatique et dynamique qui atténue la perversion du SPF en vous aidant à rester sous la limite dure du SPF. Il met automatiquement à jour les netblocks et analyse les modifications apportées par vos fournisseurs de services de messagerie à leurs adresses IP en permanence, sans aucune intervention de votre part.

Assurer le cryptage TLS des courriels en transit

Si la DMARC peut vous protéger des attaques d'ingénierie sociale et de la CEB, vous devez néanmoins vous préparer à faire face à des attaques de surveillance omniprésentes comme l'homme du milieu (MITM). Pour ce faire, il faut s'assurer qu'une connexion sécurisée par TLS est négociée entre les serveurs SMTP chaque fois qu'un courriel est envoyé à votre domaine. Le MTA-STS hébergé par PowerDMARC rend le cryptage TLS obligatoire dans le SMTP et s'accompagne d'une procédure de mise en œuvre facile.

Obtenir des rapports sur les problèmes liés à l'envoi de courriers électroniques

Vous pouvez également activer le rapport SMTP TLS pour obtenir des rapports de diagnostic sur les problèmes de livraison des e-mails après avoir configuré MTA-STS pour votre domaine. TLS-RPT vous permet d'avoir une meilleure visibilité sur votre écosystème de messagerie et de mieux répondre aux problèmes de négociation d'une connexion sécurisée entraînant des échecs de livraison. Les rapports TLS sont disponibles en deux vues (rapports agrégés par résultat et par source d'envoi) sur le tableau de bord PowerDMARC.

Amplifiez le rappel de votre marque avec BIMI 

Avec les BIMI (Brand Indicators for Message Identification), vous pouvez élever le rappel de votre marque à un tout autre niveau en aidant vos destinataires à vous identifier visuellement dans leurs boîtes de réception. Le BIMI fonctionne en attachant le logo de votre marque unique à chaque courriel que vous envoyez depuis votre domaine. PowerDMARC facilite la mise en œuvre de BIMI en seulement 3 étapes simples de la part de l'utilisateur.

PowerDMARC est votre destination unique pour toute une série de protocoles d'authentification du courrier électronique, notamment DMARC, SPF, DKIM, BIMI, MTA-STS et TLS-RPT. Inscrivez-vous dès aujourd'hui pour obtenir votre essai gratuit de DMARC Analyzer!

Un problème très courant auquel les utilisateurs de SPF sont confrontés quotidiennement est le risque de générer trop de consultations DNS qui peuvent les faire dépasser facilement la limite de SPF. Cela donne un résultat SPF PermError lorsque la surveillance DMARC est activée et cause des problèmes de délivrabilité de courrier électronique. Les experts du secteur proposent des solutions telles que les services d'aplatissement SPF pour atténuer ce problème, et PowerSPF répond réellement à ses attentes et les dépasse. Lisez la suite pour savoir comment !

Trop de consultations DNS : Pourquoi cela se produit-il ?

La première chose que vous devez comprendre est pourquoi vous finissez par générer trop de consultations DNS en premier lieu. C'est parce que, quelle que soit la solution d'échange de courrier électronique que vous utilisez, votre fournisseur de services ajoute des mécanismes à votre enregistrement, ce qui entraîne un plus grand nombre de consultations.

Par exemple, si vous utilisez l'échangeur de courrier électronique de Google, ou Gmail, un enregistrement SPF tel que v=spf1 include:[email protected] -all génère en fait un total de 4 consultations du DNS. Les inclusions imbriquées génèrent également plus de consultations et si vous utilisez plusieurs fournisseurs tiers pour envoyer des courriels en utilisant votre domaine, vous pouvez facilement dépasser la limite de 10 consultations DNS.

Le SPF est-il la solution ? Non !

La réponse est non. L'aplatissement manuel du SPF peut vous aider à rester sous la limite de recherche du SPF 10, mais il a ses propres limites et défis. Si vous aplatissez votre SPF manuellement, il s'agit simplement de remplacer les mentions d'inclusion dans votre enregistrement SPF par leurs adresses IP correspondantes afin d'éliminer la nécessité de recherches. Cela permet d'éviter de générer trop de consultations DNS au départ, ce qui vous aide à rester en dessous de la limite de 10 consultations SPF et à éviter la permerrorisation. Mais les solutions manuelles d'aplatissement du SPF posent des problèmes :

  • La longueur de l'enregistrement SPF peut être trop longue (plus de 255 caractères).
  • Votre fournisseur de services de courrier électronique peut modifier ou compléter son adresse IP sans vous en informer
  • Il n'existe pas de tableau de bord pour surveiller le flux de courrier électronique, modifier ou mettre à jour vos domaines et mécanismes, et suivre les activités
  • Vous devez constamment apporter des modifications à votre DNS pour mettre à jour votre enregistrement SPF
  • Les changements fréquents d'adresse IP peuvent avoir une incidence sur la délivrabilité de votre courrier électronique

En quoi cela vous concerne-t-il ? Eh bien, si votre dossier SPF n'est pas mis à jour sur les nouvelles adresses IP que vos fournisseurs de services de messagerie utilisent, de temps en temps, lorsque ces adresses IP sont utilisées, vos courriels échoueront inévitablement du côté du destinataire.

Aplatissement dynamique du SPF pour résoudre les trop nombreuses consultations DNS

Une solution plus intelligente pour éviter les erreurs de recherche DNS est PowerSPF, votre aplatisseur automatique d'enregistrements SPF. PowerSPF est votre solution d'aplatissement SPF en temps réel qui vous aide :

  • Configurez facilement le SPF pour votre domaine en quelques clics
  • Un clic sur l'aplatissement instantané de l'enregistrement SPF avec une seule déclaration d'inclusion pour bénéficier de la gestion automatique des inclusions SPF
  • Restez toujours en dessous de la limite de 10 consultations DNS
  • Mise à jour automatique du netblock et recherche constante des changements d'adresses IP pour maintenir votre enregistrement SPF à jour.
  • Maintenez un tableau de bord convivial dans lequel vous pouvez facilement mettre à jour les changements apportés à vos politiques, ajouter des domaines et des mécanismes, et surveiller le flux de courrier électronique.

Pourquoi s'appuyer sur des outils de compression SPF qui peuvent fournir des résultats temporaires avec des limites sous-jacentes ? Optimisez votre enregistrement SPF et atténuez la limite dure du SPF avec le SPF automatique dès aujourd'hui ! S'inscrire à PowerSPF maintenant ?

Qu'est-ce que l'ARC ?

ARC ou Authenticated Received Chain est un système d'authentification des e-mails qui affiche l'évaluation de l'authentification d'un e-mail à chaque étape, tout au long de son traitement. En termes plus simples, la chaîne de réception authentifiée peut être qualifiée de " chaîne de garde " pour les messages électroniques qui permet à chaque entité qui traite les messages de voir effectivement toutes les entités qui l'ont précédemment traité. En tant que protocole relativement nouveau publié et documenté comme "expérimental" dans le RFC 8617 en juillet 2019, ARC permet au serveur récepteur de valider les courriels même lorsque SPF et DKIM sont rendus invalides par un serveur intermédiaire.

Comment une chaîne d'aide authentifiée peut-elle être reçue ?

Comme nous le savons déjà, le DMARC permet d'authentifier un courrier électronique selon les normes d'authentification SPF et DKIM, en précisant au destinataire comment traiter les courriers électroniques dont l'authentification est réussie ou échouée. Cependant, si vous appliquez la politique DMARC à votre organisation, il y a des chances que même des courriels légitimes, comme ceux envoyés par une liste de diffusion ou un expéditeur, échouent à l'authentification et ne soient pas livrés au destinataire ! La chaîne de réception authentifiée permet d'atténuer efficacement ce problème. Voyons comment dans la section suivante :

Situations dans lesquelles l'ARC peut aider

  • Listes de diffusion 

En tant que membre d'une liste de diffusion, vous avez le pouvoir d'envoyer des messages à tous les membres de la liste en une seule fois en vous adressant à la liste de diffusion elle-même. L'adresse de réception transmet ensuite votre message à tous les membres de la liste. Dans la situation actuelle, le DMARC ne parvient pas à valider ce type de messages et l'authentification échoue même si le courriel a été envoyé à partir d'une source légitime ! Cela est dû au fait que le SPF se brise lorsqu'un message est transféré. Comme la liste de diffusion intègre souvent des informations supplémentaires dans le corps du courriel, la signature DKIM peut également être invalidée en raison de changements dans le contenu du courriel.

  • Transmission des messages 

Lorsqu'il y a un flux de courrier indirect, par exemple lorsque vous recevez un courrier électronique d'un serveur intermédiaire et non directement du serveur d'envoi comme dans le cas des messages transférés, le SPF se brise et votre courrier électronique échoue automatiquement l'authentification DMARC. Certains expéditeurs modifient également le contenu du courrier électronique, c'est pourquoi les signatures DKIM sont également invalidées.

 

 

Dans de telles situations, la chaîne de réception authentifiée vient à la rescousse ! Comment ? Nous allons le découvrir :

Comment fonctionne l'ARC ?

Dans les situations énumérées ci-dessus, les expéditeurs avaient initialement reçu des courriels qui avaient été validés par rapport à la configuration du DMARC, d'une source autorisée. La chaîne Authenticated Received Chain est une spécification qui permet de transmettre l'en-tête Authentication-Results au prochain "saut" dans la ligne de livraison du message.

Dans le cas d'un message transféré, lorsque le serveur de messagerie du destinataire reçoit un message dont l'authentification DMARC a échoué, il tente de valider le courrier électronique une seconde fois, par rapport à la chaîne de réception authentifiée fournie pour le courrier électronique en extrayant les résultats d'authentification ARC du saut initial, pour vérifier s'il a été validé comme étant légitime avant que le serveur intermédiaire ne le transmette au serveur de réception.

Sur la base des informations extraites, le destinataire décide de permettre ou non aux résultats de l'ARC d'outrepasser la politique du DMARC, ce qui permet de faire passer le courriel pour authentique et valide et de le livrer normalement dans la boîte de réception du destinataire.

Avec la mise en œuvre de l'ARC, le destinataire peut effectivement authentifier le courrier électronique à l'aide des informations suivantes :

  • Les résultats de l'authentification, tels que constatés par le serveur intermédiaire, ainsi que l'historique complet des résultats de validation SPF et DKIM dans le saut initial.
  • Informations nécessaires pour authentifier les données envoyées.
  • Informations permettant de lier la signature envoyée au serveur intermédiaire afin que le courrier électronique soit validé dans le serveur de réception même si l'intermédiaire en modifie le contenu, à condition qu'il transmette une nouvelle signature DKIM valide.

Mise en œuvre de la chaîne de réception authentifiée

L'ARC définit trois nouveaux en-têtes de courrier :

  • ARC-Résultats d'authentification (AAR): Le premier des en-têtes de courrier est l'AAR qui encapsule les résultats d'authentification tels que SPF, DKIM et DMARC.

  • ARC-Seal (AS) - AS est une version plus simple d'une signature DKIM, qui contient des informations sur les résultats de l'en-tête d'authentification, et la signature ARC.

  • ARC-Message-Signature (AMS) - L'AMS est également similaire à une signature DKIM, qui prend une image de l'en-tête du message qui incorpore tout, sauf les en-têtes ARC-Seal tels que les champs To : et From :, l'objet et le corps entier du message.

Étapes effectuées par le serveur intermédiaire pour signer une modification :

Étape 1 : le serveur copie le champ "Authentication-Results" dans un nouveau champ AAR et le préfixe au message

Étape 2 : le serveur formule l'AMS pour le message (avec l'AAR) et le prépare au message.

Étape 3 : le serveur formule l'AS pour les en-têtes ARC-Seal précédents et l'ajoute au message.

Enfin, pour valider la chaîne de réception authentifiée et savoir si un message transmis est légitime ou non, le destinataire valide la chaîne ou les en-têtes de sceau ARC et la toute nouvelle signature de message ARC. Si les en-têtes ARC ont été modifiés de quelque manière que ce soit, le courrier électronique échoue par conséquent l'authentification DKIM. Cependant, si tous les serveurs de courrier électronique impliqués dans la transmission du message signent et transmettent correctement ARC, le courrier électronique conserve les résultats de l'authentification DKIM et passe l'authentification DMARC, ce qui permet la livraison du message dans la boîte de réception du destinataire !

La mise en œuvre de l'ARC soutient et appuie l'adoption de la DMARC dans les organisations afin de s'assurer que chaque courriel légitime est authentifié sans une seule défaillance. Inscrivez-vous à votre essai gratuit du DMARC dès aujourd'hui !

 

Raisons pour lesquelles il faut éviter l'aplatissement du SPF

Sender Policy Framework, ou SPF, est un protocole d'authentification de courrier électronique largement reconnu qui valide vos messages en les authentifiant par rapport à toutes les adresses IP autorisées enregistrées pour votre domaine dans votre dossier SPF. Afin de valider les courriers électroniques, SPF spécifie au serveur de courrier électronique récepteur d'effectuer des requêtes DNS pour vérifier les IP autorisées, ce qui entraîne des consultations DNS.

Votre enregistrement SPF existe sous la forme d'un enregistrement DNS TXT qui est formé d'un assemblage de divers mécanismes. La plupart de ces mécanismes (tels que include, a, mx, redirect, exists, ptr) génèrent des consultations DNS. Toutefois, le nombre maximum de consultations DNS pour l'authentification SPF est limité à 10. Si vous faites appel à divers fournisseurs tiers pour envoyer des courriers électroniques en utilisant votre domaine, vous pouvez facilement dépasser la limite de SPF en dur.

Vous vous demandez peut-être ce qui se passe si vous dépassez cette limite ? Le dépassement de la limite de 10 DNS entraînera l'échec du SPF et invalidera même les messages légitimes envoyés depuis votre domaine. Dans de tels cas, le serveur de messagerie qui reçoit les messages renvoie un rapport SPF PermError à votre domaine si vous avez activé la surveillance DMARC, ce qui nous amène au principal sujet de discussion de ce blog : L'aplatissement des SPF.

Qu'est-ce que l'aplatissement SPF ?

L'aplatissement de l'enregistrement SPF est l'une des méthodes les plus utilisées par les experts de l'industrie pour optimiser votre enregistrement SPF et éviter de dépasser la limite dure du SPF. La procédure d'aplatissement du SPF est assez simple. L'aplatissement de votre enregistrement SPF est le processus qui consiste à remplacer tous les mécanismes d'inclusion par leurs adresses IP respectives afin d'éliminer la nécessité d'effectuer des recherches DNS.

Par exemple, si votre dossier SPF ressemblait initialement à ceci :

v=spf1 include:spf.domain.com -all

Un disque SPF aplati ressemblera à ceci :

v=spf1 ip4:168.191.1.1 ip6:3a02:8c7:aaca:645::1 -all

Cet enregistrement aplati ne génère qu'une seule consultation DNS, au lieu d'en effectuer plusieurs. La réduction du nombre de requêtes DNS effectuées par le serveur de réception lors de l'authentification du courrier électronique permet de rester en dessous de la limite de 10 consultations DNS, mais elle pose des problèmes particuliers.

Le problème de l'aplatissement des SPF

Outre le fait que votre enregistrement SPF aplati manuellement peut devenir trop long à publier sur le DNS de votre domaine (dépassant la limite de 255 caractères), vous devez tenir compte du fait que votre fournisseur de services de courrier électronique peut modifier ou ajouter des adresses IP sans vous en informer en tant qu'utilisateur. De temps en temps, lorsque votre fournisseur apporte des modifications à son infrastructure, ces modifications ne sont pas prises en compte dans votre enregistrement SPF. Par conséquent, chaque fois que ces adresses IP modifiées ou nouvelles sont utilisées par votre serveur de courrier électronique, le courrier électronique échoue dans le SPF du côté du destinataire.

PowerSPF : votre générateur d'enregistrements SPF dynamiques

Le but ultime de PowerDMARC était de trouver une solution qui puisse empêcher les propriétaires de domaines d'atteindre la limite de 10 DNS, ainsi que d'optimiser votre enregistrement SPF pour rester toujours à jour sur les dernières adresses IP utilisées par vos fournisseurs de services de messagerie. PowerSPF est votre solution automatisée d'aplatissement de SPF qui tire à travers votre enregistrement SPF pour générer une seule déclaration d'inclusion. PowerSPF vous aide :

  • Ajouter ou supprimer facilement des PI et des mécanismes
  • Mise à jour automatique des netblocks pour s'assurer que vos IP autorisés sont toujours à jour
  • Restez facilement sous la limite des 10 DNS
  • Obtenez un dossier SPF optimisé en un seul clic
  • Vaincre définitivement la "perméabilité".
  • Mettre en œuvre un SPF sans erreur

Inscrivez-vous à PowerDMARC dès aujourd'hui pour garantir une meilleure délivrabilité et authentification du courrier électronique, tout en restant sous la limite de 10 DNS SPF .

En tant que propriétaire de domaine, vous devez toujours être à l'affût des acteurs qui lancent des attaques d'usurpation de nom de domaine et de phishing pour utiliser votre domaine ou votre marque afin de mener des activités malveillantes. Quelle que soit la solution d'échange de courrier électronique que vous utilisez, il est impératif de protéger votre domaine contre l'usurpation d'identité et l'usurpation de nom de domaine pour garantir la crédibilité de votre marque et maintenir la confiance de votre estimée clientèle. Ce blog vous guidera tout au long du processus de mise en place de votre dossier DMARC pour les utilisateurs d'Office 365.

Ces derniers temps, une majorité d'entreprises ont commencé à utiliser des plates-formes en nuage efficaces et robustes et des solutions d'échange de courrier électronique hébergées telles qu'Office 365. Par la suite, les cybercriminels ont également mis à niveau leurs techniques malveillantes de fraude par courrier électronique en utilisant les solutions de sécurité intégrées à la plate-forme. C'est pourquoi Microsoft a étendu la prise en charge des protocoles d'authentification du courrier électronique comme DMARC à toutes ses plateformes de courrier électronique. Mais vous devez savoir comment mettre en œuvre correctement DMARC pour Office 365, afin d'en exploiter pleinement les avantages.

Pourquoi la DMARC ?

La première question qui pourrait se poser est la suivante : étant donné que des solutions antispam et des passerelles de sécurité pour le courrier électronique sont déjà intégrées dans la suite Office 365 pour bloquer les faux courriers électroniques, pourquoi auriez-vous besoin de DMARC pour l'authentification ? En effet, alors que ces solutions protègent spécifiquement contre les courriers électroniques entrants de phishing envoyés à votre domaine, le protocole d'authentification DMARC donne aux propriétaires de domaines le pouvoir de spécifier aux serveurs de courrier électronique récepteurs comment répondre aux courriers électroniques envoyés depuis votre domaine qui échouent aux contrôles d'authentification.

Le DMARC utilise deux pratiques d'authentification standard, à savoir SPF et DKIM, pour valider l'authenticité des courriels. Grâce à une politique d'application, la DMARC peut offrir un niveau élevé de protection contre les attaques d'usurpation d'identité et l'usurpation de domaine direct.

Avez-vous vraiment besoin du DMARC lorsque vous utilisez Office 365 ?

Les entreprises pensent souvent à tort que le fait de disposer d'une solution Office 365 garantit la sécurité contre le spam et les attaques de phishing. Cependant, en mai 2020, une série d'attaques de phishing sur plusieurs compagnies d'assurance du Moyen-Orient utilisant Office 365 a causé une perte de données importante et un nombre sans précédent de failles de sécurité. C'est pourquoi se fier simplement aux solutions de sécurité intégrées de Microsoft et ne pas mettre en œuvre des efforts externes pour protéger votre domaine peut être une énorme erreur !

Si les solutions de sécurité intégrées d'Office 365 peuvent offrir une protection contre les menaces de sécurité entrantes et les tentatives de phishing, vous devez néanmoins vous assurer que les messages sortants envoyés depuis votre propre domaine sont effectivement authentifiés avant d'atterrir dans les boîtes de réception de vos clients et partenaires. C'est là qu'intervient le DMARC.

Sécurisation d'Office 365 contre l'usurpation d'identité et l'usurpation d'identité avec le DMARC

Les solutions de sécurité fournies avec la suite Office 365 agissent comme des filtres anti-spam qui ne peuvent pas protéger votre domaine contre l'usurpation d'identité, ce qui souligne la nécessité de la DMARC. Le DMARC existe sous la forme d'un enregistrement DNS TXT dans le DNS de votre domaine. Pour configurer le DMARC pour votre domaine, vous devez

Étape 1 : Identifier les sources de courrier électronique valables pour votre domaine
Étape 2 : Créer un SPF pour votre domaine
Étape 3 : Créer un DKIM pour votre domaine
Etape 4 : Publier un enregistrement DMARC TXT dans le DNS de votre domaine

Vous pouvez utiliser le générateur d'enregistrements DMARC gratuit de PowerDMARC pour générer instantanément un enregistrement avec la syntaxe correcte à publier dans votre DNS et configurer DMARC pour votre domaine. Cependant, notez que seule une politique de rejet peut vous aider efficacement à atténuer les attaques d'usurpation d'identité et les abus de domaine.

Mais publier un dossier du DMARC est-il suffisant ? La réponse est non. Ceci nous amène à notre dernier et dernier segment qui est le rapport et le suivi de la DMARC.

5 raisons pour lesquelles vous avez besoin de PowerDMARC lorsque vous utilisez Microsoft Office365

Microsoft Office 365 offre aux utilisateurs une multitude de services et de solutions basés sur le cloud, ainsi que des filtres antispam intégrés. Cependant, malgré les divers avantages, ce sont les inconvénients que vous pourriez rencontrer en l'utilisant du point de vue de la sécurité :

  • Aucune solution pour valider les messages sortants envoyés depuis votre domaine
  • Aucun mécanisme de signalement des courriels qui échouent aux contrôles d'authentification
  • Pas de visibilité dans l'écosystème du courrier électronique
  • Pas de tableau de bord pour gérer et surveiller votre flux de courrier électronique entrant et sortant
  • Aucun mécanisme ne permet de garantir que votre dossier SPF est toujours inférieur à la limite de consultation de 10

Rapports et surveillance de la DMARC avec PowerDMARC

PowerDMARC s'intègre de manière transparente à Office 365 pour permettre aux propriétaires de domaines de bénéficier de solutions d'authentification avancées qui les protègent contre les attaques sophistiquées d'ingénierie sociale comme le BEC et l'usurpation de domaine direct. Lorsque vous vous inscrivez à PowerDMARC, vous vous inscrivez à une plate-forme SaaS multi-tenant qui non seulement rassemble toutes les meilleures pratiques d'authentification du courrier électronique (SPF, DKIM, DMARC, MTA-STS, TLS-RPT et BIMI), mais fournit également un mécanisme de reporting dmarc étendu et approfondi, qui offre une visibilité complète de votre écosystème de messagerie. Les rapports DMARC sur le tableau de bord PowerDMARC sont générés en deux formats :

  • Rapports agrégés
  • Rapports de police scientifique

Nous nous sommes efforcés d'améliorer l'expérience d'authentification pour vous en résolvant divers problèmes du secteur. Nous assurons le cryptage de vos rapports médico-légaux DMARC ainsi que l'affichage de rapports agrégés dans 7 vues différentes pour une meilleure expérience utilisateur et une plus grande clarté. PowerDMARC vous aide à surveiller le flux de courrier électronique et les échecs d'authentification, et à mettre sur liste noire les adresses IP malveillantes du monde entier. Notre outil d'analyse DMARC vous aide à configurer DMARC correctement pour votre domaine, et à passer de la surveillance à l'application en un rien de temps !