Les utilisateurs de systèmes d'information dans les grandes organisations ont souvent des réactions fortes quant à leur expérience avec le système. La nécessité de naviguer dans un environnement informatique composé d'une myriade de solutions ponctuelles peut être frustrante pour les utilisateurs finaux. Par conséquent, de nombreux départements développent et s'appuient sur leurs propres solutions ponctuelles pour surmonter les limites perçues d'une solution unique à l'échelle de l'organisation. C'est l'origine du Shadow IT. Un département qui dispose de ressources shadow IT a plus d'agilité dans ses processus. De plus, il évite l'alignement entre les départements, qui est souvent impossible : c'est le principal avantage autour duquel il tourne. Cependant, le Shadow IT pose un ensemble colossal de risques et de défis en matière de sécurité qui annule complètement son seul avantage. Ces risques de sécurité peuvent être résolus grâce à DMARC .

Découvrons ce qu'est le Shadow IT et comment DMARC aide à combattre les risques de sécurité du Shadow IT grâce à une meilleure visibilité.

Qu'est-ce que le Shadow IT ?

Les grandes entreprises disposent souvent de grands services informatiques centraux chargés de surveiller les réseaux, de fournir une assistance et de gérer les services utilisés par l'organisation. Cependant, il a été observé qu'une tendance à l'informatique fantôme s'est amorcée ces dernières années, les employés contournant souvent l'autorité centrale et achetant leur propre technologie pour remplir des objectifs liés au travail. Dans un monde de plus en plus mobile, les employés préfèrent apporter leurs propres appareils au travail parce qu'ils les ont déjà, qu'ils les connaissent bien ou qu'ils ne sont pas gênés par un service informatique qui exige des configurations compliquées. À mesure que les applications grand public basées sur le cloud gagnent en popularité, l'adoption du shadow IT augmente. RSA , la division sécurité d'EMC, rapporte que 35 % des employés contournent les politiques de sécurité de leur entreprise pour faire leur travail.

Bien qu'il ait été estimé qu'une population aussi considérable d'employés appartenant à d'autres départements utiliserait des méthodes non conformes pour faire leur travail, les entreprises doivent garder à l'esprit que l'utilisation non contrôlée du Shadow IT pourrait entraîner des pertes de productivité et de sécurité.

Risques et défis de l'informatique fantôme pour les organisations

Selon une enquête récente menée par la Cloud Computing Association, plus de 30 % des entreprises utilisent des applications en nuage dont le service informatique n'est pas au courant. De nombreuses entreprises sont confrontées à des violations de données et à des défaillances en raison de leur utilisation d'applications en nuage. Ces applications en nuage sont généralement déjà utilisées par les employés, mais ne sont pas surveillées par le service informatique.

Vous ne savez jamais quand un service non informatique de votre entreprise utilise le Shadow IT pour contourner la sécurité de l'organisation et envoyer des courriels en utilisant des applications et des services basés sur le cloud qui ne sont pas des sources d'envoi autorisées pour votre organisation, en utilisant votre identité. Cela peut ouvrir la voie à des activités malveillantes non filtrées, au spam et à l'échange de messages frauduleux qui peuvent potentiellement nuire à la réputation et à la crédibilité de votre entreprise. L'informatique fantôme, comme on l'appelle, peut être vulnérable aux violations de données et aux pannes de système si elle n'est pas surveillée correctement. C'est exactement là que DMARC intervient pour résoudre les risques de l'informatique fantôme en matière de sécurité en authentifiant les sources d'envoi, même si elles parviennent à contourner les passerelles de sécurité intégrées pour atteindre le serveur de messagerie de votre client.

Comment DMARC protège-t-il contre les risques imposés par l'informatique fantôme ?

Le principal problème induit par le Shadow IT est le manque de visibilité sur les différentes activités des départements et leur communication avec des sources externes comme les clients et les partenaires via des services d'échange de courriels tiers, à l'insu du département informatique. Cette utilisation accrue et non autorisée d'applications basées sur le cloud pour l'échange d'informations et la communication entraîne un afflux important de fraudes par courrier électronique, d'attaques par usurpation d'identité et de BEC. DMARC, qui est le protocole d'authentification des e-mails le plus recommandé dans le secteur, aide les organisations à garder une longueur d'avance sur les activités de Shadow IT.

  • Lesrapports DMARC agrégés offrent une visibilité sur les sources d'envoi et les adresses IP qui les sous-tendent, montrant au service informatique l'origine exacte de toutes les sources d'envoi non autorisées.
  • Grâce à l'application de la norme DMARC au sein de votre organisation, les courriels provenant de sources illégitimes sont rejetés par les MTA de réception avant d'atterrir dans la boîte de réception de vos clients.
  • Lesrapports d'analyse DMARC décrivent en détail toutes les tentatives d'usurpation de domaine, d'usurpation d'identité, de BEC et autres activités frauduleuses.
  • Cela permet de mettre fin aux pratiques de Shadow IT par des départements non informatiques sans l'approbation du département informatique.
  • Cela permet également d'avoir une vue d'ensemble de tous les courriels envoyés vers et depuis votre domaine par différents départements à tout moment, de leur contenu et de leur statut d'authentification.

Inscrivez-vous dès aujourd'hui à DMARC analyzer et commencez votre parcours d'authentification des e-mails pour mettre un frein aux activités de Shadow IT au sein de votre organisation et maintenir une transparence totale entre tous les départements.

Quel que soit le type d'entreprise, petite, moyenne ou grande, le courrier électronique est devenu un outil irréfutable pour communiquer avec vos employés, vos partenaires et vos clients. Mais si vous avez des erreurs dans vos enregistrements d'authentification de courriel, cela peut être un vrai problème ! Un outil de vérification des enregistrements de domaine vous aide à garder une longueur d'avance sur ces problèmes.

Les entreprises envoient et reçoivent chaque jour des courriels en masse provenant de diverses sources. En outre, les organisations peuvent également employer des fournisseurs tiers qui peuvent être autorisés à envoyer des courriels au nom de l'entreprise. Par conséquent, il devient de plus en plus difficile de distinguer les sources légitimes des sources malveillantes.

Voici une solution : PowerDMARC. Cette plateforme SaaS vous aide à évaluer de temps en temps vos protocoles d'authentification des e-mails et à voir si votre domaine est protégé contre l'usurpation d'identité grâce à un vérificateur d'enregistrements DMARC, afin que vous puissiez apporter des modifications si nécessaire.

Vérifiez votre domaine dès aujourd'hui ! Utilisez notre vérificateur d'enregistrements de domaine gratuit pour examiner instantanément les enregistrements DMARC, SPF, DKIM, BIMI et MTA-STS de votre domaine afin de vous assurer que votre domaine est protégé contre l'usurpation d'identité et la fraude par courriel !

L'importance d'une sécurité robuste pour le courrier électronique en 2021

Des chercheurs en sécurité du monde entier ont récemment conclu dans leurs conclusions que :

  • 62 % de toutes les cyberattaques en 2021 sont jusqu'à présent basées sur le courrier électronique.
  • Les attaques par courrier électronique frauduleux ont augmenté de 220 % au cours des deux dernières années, les chiffres augmentant après le début de la pandémie mondiale et l'adoption d'environnements de travail à distance.
  • Dans son rapport IC3 de 2020, le FBI a désigné la compromission d'e-mails professionnels (BEC) comme la cybercriminalité la plus dommageable financièrement en 2020.
  • L'IRS a récemment lancé un appel à la prudence contre les attaques de phishing imminentes visant les établissements d'enseignement.

Les dommages causés par les attaques de phishing entraînent des milliards de dollars de pertes chaque année, ainsi que la compromission d'informations sensibles de l'entreprise et d'informations sur la santé. Ces données donnent une image plus claire de la situation de la sécurité des domaines organisationnels dans les circonstances actuelles.

C'est pourquoi il est essentiel que vous évaluiez la sécurité de la messagerie de votre domaine à l'aide d'un vérificateur d'enregistrement de domaine pour savoir où vous en êtes et identifier ensuite les mesures à prendre pour l'améliorer.

Comment vérifier si votre domaine est protégé ?

 

 

La première étape pour améliorer la sécurité des e-mails de votre domaine est d'évaluer dans quelle mesure il est protégé contre les failles de sécurité, la fraude par e-mail, les BEC et l'usurpation d'identité. Utilisez l'outil gratuit de vérification des enregistrements de domaine PowerDMARC pour vérifier et tester les enregistrements DMARC, SPF, DKIM, BIMI, MTA-STS et TLS-RPT de votre domaine. Vous pouvez ainsi vérifier instantanément si votre site Web est protégé contre la fraude en ligne. Les scores de sécurité du domaine vous donnent un aperçu de votre protection contre l'usurpation d'identité et l'usurpation d'identité.

Si votre domaine est moins bien noté, cela peut être dû à une mauvaise infrastructure de sécurité des e-mails et à des protocoles d'authentification des e-mails insuffisants ou incorrects, qui peuvent tous deux nuire à la réputation et à la crédibilité de votre domaine.

Un score élevé signifie que votre domaine dispose de la meilleure protection contre tous les types d'attaques et de tentatives d'usurpation d'identité. La mise en place correcte de protocoles de sécurité et de mécanismes de rapport pour votre domaine peut avoir les avantages suivants :

  • Les risques de devenir la proie de BEC, d'usurpation de domaine et d'hameçonnage sont réduits au minimum.
  • Vous avez le contrôle total de l'écosystème de messagerie de votre domaine.
  • Améliorez la réputation, la crédibilité et l'authenticité de votre marque.
  • Augmentation de près de 10 % de la délivrabilité des e-mails au fil du temps.
  • Réduction des risques que vos courriels légitimes soient considérés comme du spam.

Par conséquent, vous devez vous efforcer d'obtenir le meilleur classement possible en matière de sécurité des domaines afin que votre domaine d'entreprise soit protégé de manière adéquate et que vos e-mails soient à nouveau sécurisés. Apprenez à booster votre classement de sécurité de domaine en suivant le guide du classement de sécurité de domaine.

Améliorez la sécurité des e-mails de votre domaine avec PowerDMARC

La configuration des protocoles d'authentification est une tâche complexe et ardue qui vous oblige à naviguer dans les méandres de la mise en œuvre et de la configuration des protocoles et, enfin, de leur application pour vous assurer que votre configuration est correcte. PowerDMARC, cependant, est votre plateforme SaaS multi-tenant pour vous aider à configurer rapidement vos protocoles d'authentification. Il prend en charge la plupart des tâches de mise en œuvre en coulisse et automatise le processus.

Lorsque vous vous inscrivez à l'analyseur DMARC, vous pouvez améliorer la sécurité de votre domaine et obtenir un meilleur classement sur le vérificateur de domaine gratuit. Il vous aide :

  • Mettez en œuvre DMARC, SPF et DKIM avec une syntaxe sans erreur en quelques clics seulement.
  • Accédez à votre tableau de bord personnel pour avoir une visibilité complète sur vos résultats d'authentification DMARC.
  • Mettre en place un mécanisme de signalement étendu qui surveille constamment votre domaine pour détecter les abus et les usurpations d'identité.
  • Restez en permanence sous la limite de 10 consultations de DNS grâce à l'aplatissementdynamique du SPF.
  • Rendre le cryptage TLS obligatoire dans le SMTP et être informé des problèmes de livraison des e-mails avec MTA-STS et SMTP TLS Reporting, respectivement.
  • Rendez votre marque visuellement identifiable dans les boîtes de réception des clients et renforcez l'impact de vos campagnes de marketing par courriel avec BIMI.

Les services PowerdMARC pour les petites, moyennes et grandes entreprises vous aident à atteindre le niveau exact de sécurité que vous souhaitez pour votre domaine, de sorte que la prochaine fois que vous vérifierez l'évaluation de la sécurité de votre domaine sur le vérificateur d'enregistrement de domaine, vous obtiendrez un score impressionnant !

Avant d'aborder la question de la configuration de DMARC, il convient de prendre un peu de recul et de comprendre le concept de DMARC et la façon dont il s'est imposé comme la solution la plus courante dans le monde de la sécurité des informations et des e-mails au cours des dernières années. Les organisations peuvent être considérées comme d'énormes organismes d'échange d'e-mails, avec un afflux important de flux d'e-mails parmi leurs clients, leurs partenaires commerciaux et leurs employés.

Cependant, lorsque vous menez vos campagnes de marketing par courriel, il est difficile de vérifier si tous les courriels envoyés depuis votre domaine sont légitimes. Toutes les 14 secondes, un attaquant usurpe le nom d'un domaine organisationnel pour envoyer des courriels de phishing à des destinataires qui lui font confiance. C'est pourquoi l'authentification des e-mails est un ajout obligatoire à votre sécurité.

Pourquoi DMARC est-il nécessaire dans la situation actuelle ?

L'Internet Crime Complaint Center of 2020 du FBI(FBI IC3 Report 2020) indique que 28 500 plaintes ont été reçues aux États-Unis concernant des attaques par courrier électronique. Le FBI a enquêté sur des attaques par courrier électronique décrivant la loi CARES (Coronavirus Aid, Relief, and Economic Security Act), qui visait à fournir une assistance aux petites entreprises pendant la pandémie. Ces attaques visaient spécifiquement l'assurance chômage, les prêts du Programme de protection des chèques de paie (PPP) et les prêts en cas de catastrophe économique pour les petites entreprises.

Le saviez-vous ?

  • 75 % des domaines d'organisations du monde entier ont été usurpés en 2020 pour envoyer des courriels de phishing aux victimes.
  • 74% de ces campagnes d'hameçonnage ont réussi
  • La fréquence des BEC a augmenté de 15 % depuis l'année dernière.
  • Selon IBM, l'année dernière, une entreprise sur cinq a été victime d'une violation de données causée par des courriels malveillants.

Vérifiez votre domaine dès maintenant pour voir dans quelle mesure vous êtes protégé contre la fraude par courriel !

Comment configurer DMARC manuellement ? Guide de configuration de DMARC

Pour savoir comment configurer DMARC, vous devez commencer par créer un enregistrement DMARC. Aussi compliqué que cela puisse paraître, le processus est comparativement beaucoup plus simple ! DMARC est un enregistrement DNS TXT (texte) qui peut être publié dans votre DNS pour configurer le protocole pour votre domaine. Voici un exemple de configuration DMARC :

Exemple d'enregistrement DMARC :

v=DMARC1 ; p=rejet ; adkim=s ; aspf=s ; rua=mailto:[email protected] ; ruf=mailto:[email protected] ; pct=100 ; fo=0 ;

Remarque : Au début de votre parcours d'authentification des e-mails, vous pouvez maintenir votre politique DMARC (p) à none au lieu de reject, pour surveiller votre flux d'e-mails et résoudre les problèmes avant de passer à une politique stricte.

Apprenez à publier un enregistrement DMARC

Comment configurer DMARC facilement avec PowerDMARC

Avec PowerDMARC, vous n'avez pas besoin de comprendre les mécanismes en profondeur pour configurer manuellement votre configuration DMARC, car nous le faisons automatiquement sur notre plateforme. Tout ce que vous avez à faire est d'utiliser notre outil gratuit de génération d'enregistrements DMARC et de remplir les critères que vous souhaitez. Cliquez sur Générer un enregistrement et créez instantanément un enregistrement DMARC sans erreur à publier dans votre DNS :

Après avoir créé votre enregistrement, il suffit d'ouvrir votre console de gestion DNS, de naviguer vers votre domaine souhaité et de coller l'enregistrement TXT. Enregistrez les modifications apportées au processus et vous avez terminé !

Comment tirer parti de DMARC pour empêcher l'usurpation d'identité de domaine ?

Notez que si vous configurez DMARC pour empêcher votre domaine d'être usurpé et tenir à distance les attaques de phishing et de BEC, nous vous recommandons de sélectionner le critère suivant lors de la génération de votre enregistrement DMARC avec notre outil de génération d'enregistrements DMARC :

Réglez votre politique DMARC sur p=reject

Lorsque vous optez pour l'application de DMARC au sein de votre organisation en choisissant une politique de rejet, cela signifie que chaque fois qu'un courriel envoyé depuis votre domaine échoue aux vérifications d'authentification DMARC, le courriel malveillant sera instantanément rejeté par le MTA de réception, au lieu d'être livré dans la boîte de réception de votre destinataire.

Un autre facteur à prendre en compte est la visibilité de votre flux d'e-mails et le suivi des e-mails qui passent ou échouent à l'authentification. Les rapports DMARC vous permettent de ne jamais manquer une activité malveillante sur votre domaine et de rester informé à tout moment. Pour profiter des avantages de l'authentification des e-mails et configurer DMARC de manière à protéger efficacement votre domaine, inscrivez-vous dès aujourd'hui à DMARC analyzer!

L'année dernière, la sécurité du courrier électronique s'est concentrée sur DMARC et les ransomwares sont apparus comme l'un des cybercrimes les plus dommageables financièrement de cette année. Mais qu'est-ce que DMARC ? Domain-Based Message Authentication, Reporting and Conformance (DMARC) est un protocole d'authentification des e-mails utilisé par les propriétaires de domaines d'organisations, grandes et petites, pour protéger leur domaine contre la compromission d'e-mails professionnels (BEC), l'usurpation de domaine direct, les attaques de phishing et d'autres formes de fraude par e-mail.

DMARC vous permet de bénéficier de nombreux avantages au fil du temps, comme une augmentation considérable de la délivrabilité de vos e-mails et de la réputation de votre domaine. Cependant, un fait moins connu est que DMARC sert également de première ligne de défense contre les ransomwares. Expliquons comment DMARC peut protéger contre les ransomwares et comment ces derniers peuvent vous affecter.

Qu'est-ce qu'un ransomware ?

Un ransomware est un type de logiciel malveillant(malware) qui s'installe sur un ordinateur, généralement par le biais d'un logiciel malveillant. L'objectif du code malveillant est de crypter les fichiers sur l'ordinateur, après quoi il exige généralement un paiement pour les décrypter.

Une fois le malware installé, le criminel exige le paiement d'une rançon par la victime pour rétablir l'accès aux données. Il permet aux cybercriminels de crypter les données sensibles des systèmes informatiques, les protégeant ainsi efficacement de tout accès. Les cybercriminels demandent ensuite à la victime de payer une rançon pour supprimer le cryptage et rétablir l'accès. Les victimes sont généralement confrontées à un message qui leur indique que leurs documents, photos et fichiers musicaux ont été cryptés et qu'elles doivent payer une rançon pour prétendument "restaurer" les données. En général, ils demandent aux utilisateurs de payer en bitcoins et les informent du temps qu'ils doivent payer pour ne pas tout perdre.

Comment fonctionne un ransomware ?

Les ransomwares ont montré que de mauvaises mesures de sécurité font courir un grand risque aux entreprises. L'un des mécanismes de diffusion les plus efficaces pour les ransomwares est le phishing par e-mail. Les ransomwares sont souvent distribués par le biais du phishing. Cela se produit souvent lorsqu'une personne reçoit un courriel malveillant qui la persuade d'ouvrir une pièce jointe contenant un fichier auquel elle devrait faire confiance, comme une facture, mais qui contient au contraire un logiciel malveillant et lance le processus d'infection.

L'e-mail prétendra être quelque chose d'officiel provenant d'une société bien connue et contiendra une pièce jointe prétendant être un logiciel légitime. Il est donc très probable que des clients, des partenaires ou des employés peu méfiants qui connaissent vos services en soient la proie.

Les chercheurs en sécurité ont conclu que pour qu'une organisation devienne la cible d'attaques de phishing avec des liens malveillants vers des téléchargements de logiciels malveillants, le choix est "opportuniste". De nombreux ransomwares ne disposent d'aucune indication externe quant à la personne à cibler, et la seule chose qui les guide est souvent une pure opportunité. Cela signifie que toute organisation, qu'il s'agisse d'une petite ou d'une grande entreprise, peut être la prochaine cible si elle présente des failles dans la sécurité de sa messagerie électronique.

Le récent rapport de 2021 sur les tendances en matière de sécurité a fait les découvertes navrantes suivantes :

  • Depuis 2018, on observe une hausse de 350 % des attaques par ransomware, ce qui en fait l'un des vecteurs d'attaque les plus populaires de ces derniers temps.
  • Les experts en cybersécurité estiment qu'il y aura plus d'attaques de ransomware que jamais en 2021.
  • Plus de 60 % de toutes les attaques de ransomware en 2020 ont impliqué des actions sociales, comme le phishing.
  • Les nouvelles variantes de ransomware ont augmenté de 46 % au cours des deux dernières années.
  • 68 000 nouveaux chevaux de Troie ransomware pour mobiles ont été détectés
  • Les chercheurs en sécurité ont estimé que toutes les 14 secondes, une entreprise est victime d'une attaque par ransomware.

DMARC protège-t-il contre les ransomwares ? DMARC et les ransomwares

DMARC est la première ligne de défense contre les attaques de ransomware. Étant donné que les ransomwares sont généralement transmis aux victimes sous la forme d'e-mails de phishing malveillants provenant de domaines d'entreprise usurpés ou falsifiés, DMARC contribue à protéger votre marque contre l'usurpation d'identité, ce qui signifie que ces faux e-mails seront marqués comme spam ou ne seront pas transmis si le protocole est correctement configuré. DMARC et les ransomwares : quelle est l'utilité de DMARC ?

  • DMARC authentifie vos courriels en fonction des normes d'authentification SPF et DKIM, ce qui permet de filtrer les adresses IP malveillantes, les falsifications et les usurpations de domaine.
  • Lorsqu'un courriel de phishing envoyé par un attaquant et contenant un lien malveillant permettant d'installer un ransomware provenant de votre nom de domaine atteint un serveur de client/employé, si vous avez
  • DMARC mis en œuvre, le courriel est authentifié par rapport à SPF et DKIM.
  • Le serveur récepteur essaie de vérifier la source de l'envoi et la signature DKIM.
  • L'e-mail malveillant échouera aux contrôles de vérification et, en fin de compte, à l'authentification DMARC en raison du mauvais alignement des domaines.
  • Maintenant, si vous avez mis en œuvre DMARC avec un mode de politique renforcée (p=rejet/quarantaine), le courriel qui échoue à DMARC sera soit marqué comme spam, soit rejeté, ce qui annule les chances que vos destinataires soient la proie de l'attaque du ransomware.
  • Enfin, évitez les erreurs SPF supplémentaires, telles que le nombre excessif de consultations de DNS, les erreurs de syntaxe et les erreurs d'implémentation, afin d'éviter que votre protocole d'authentification des e-mails ne soit invalidé.
  • Cela permet de protéger la réputation de votre marque, les informations sensibles et les actifs financiers.

La première étape pour se protéger contre les attaques de ransomware est de s'inscrire dès aujourd'hui à DMARC analyzer! Nous vous aidons à mettre en œuvre DMARC et à passer à l'application de DMARC facilement et en un minimum de temps. Commencez dès aujourd'hui votre parcours d'authentification des e-mails avec DMARC.

Si vous êtes sur cette page en train de lire ce blog, il y a de fortes chances que vous soyez tombé sur l'une des invites suivantes :

  • Aucun enregistrement DKIM trouvé
  • L'enregistrement DKIM est manquant
  • Pas d'enregistrement DKIM
  • Enregistrement DKIM non trouvé
  • Aucun enregistrement DKIM publié
  • Impossible de trouver l'enregistrement DKIM

DKIM est une norme d'authentification des e-mails reconnue par l'industrie, qui attribue une signature cryptographique aux e-mails sortants, utilisée par les MTA de réception pour vérifier la source d'envoi. Lorsque vous recevez un message "No DKIM record found", cela signifie simplement que votre domaine n'est pas configuré avec les normes d'authentification des e-mails DKIM. Configurer DKIM pour votre domaine peut améliorer la sécurité de votre domaine. Vérifiez la protection de votre domaine contre l'usurpation d'identité avec notre vérificateur d'enregistrement DKIM.

Qu'est-ce que DomainKeys Identified Mail (DKIM) ?

DKIM (Domainkeys Identified Mail) est une norme utilisée par les entreprises pour protéger les domaines de courrier électronique contre les spammeurs qui se font passer pour de véritables expéditeurs. Cette protection est assurée par des signatures cryptographiques qui peuvent être vérifiées par le destinataire du courrier électronique et d'autres personnes. L'expéditeur génère une paire de clés publique/privée DomainKeys Identified Mail et joint la clé publique sous la forme d'un enregistrement DNS TXT. Le message est signé avec la clé privée et authentifié à l'aide des informations d'authentification du domaine.

DKIM est un protocole d'authentification des e-mails qui permet à l'expéditeur d'un e-mail d'assumer la responsabilité de son message en conservant la partie du message qui provient réellement de lui et en la sécurisant par une signature cryptographique. Son objectif premier est d'empêcher la falsification des adresses électroniques.

Pourquoi dois-je configurer DKIM ?

On vous a probablement suggéré d'utiliser l'authentification des e-mails DKIM. Mais pourquoi les entreprises en ont-elles vraiment besoin et quels sont les avantages ultérieurs liés à la mise en œuvre de ce protocole ? Une entreprise est généralement un gros échangeur de courriels pour son organisation, avec des envois quotidiens de courriels et des campagnes de marketing par courriel.

DomainKeys Identified Mail (DKIM) est un excellent moyen de fournir une assurance supplémentaire pour tous les courriels envoyés par votre organisation. Il s'agit de l'un des mécanismes spécifiés dans le RFC 6376 pour la validation, l'authentification et la livraison des e-mails. À l'aide de clés privées et publiques, DKIM permet à un domaine de signer numériquement un message électronique après toutes les autres étapes de traitement du courrier afin de pouvoir vérifier si le message a été modifié par un tiers, y compris les fournisseurs de transport et les services de filtrage. DKIM vous aide à améliorer la délivrabilité de vos e-mails et protège votre domaine contre les tentatives d'usurpation d'identité.

  • Les courriels signés avec DKIM ont plus de chances d'aboutir dans la boîte de réception plutôt que dans le dossier spam de votre destinataire, car cela ajoute une couche supplémentaire de sécurité et d'authenticité à vos courriels.
  • DKIM peut être facilement configuré pour les fournisseurs de services de messagerie existants comme Gmail, Sendgrid, MailChimp, etc. Découvrez comment vous pouvez configurer DKIM pour eux.
  • La configuration de votre domaine avec DKIM aide les FAI à établir une réputation positive pour votre domaine de messagerie au fil du temps, ce qui réduit les risques que vos messages légitimes ne soient pas livrés.
  • DKIM aide également vos courriels légitimes à passer les contrôles d'authentification et à être livrés dans les boîtes de réception de vos destinataires lors des transferts de courriels, où le SPF échoue inévitablement.

Décomposer la syntaxe d'un enregistrement DKIM

Avant le processus de vérification, lorsque vous configurez votre domaine avec DKIM, votre serveur d'envoi signe chaque message à mesure qu'il est envoyé. Lorsqu'un message est envoyé, un hachage du contenu des en-têtes du message est créé, puis votre clé privée est utilisée pour signer le hachage. Cette signature DKIM ressemble à ceci :

DKIM-Signature : v=1 ; a=rsa-sha1 ; c=relaxed/relaxed ; s=s1 ; d=yourdomain.com ;

h=From:Date:Subject:MIME-Version:Content-Type:Content-Transfer-Encoding:To:Message-ID ;

[email protected] ; bh=wAsbKJhhfgqwOy8qkdk1MjM0NTY3ODkwMTI= ;

b=aBecQ+7rHDjakhQs3DPjNJKSAAHHsgasZSv4i/Kp+sipUAHDJhaxhBGf+SxcmckhbsbHObMQsCNAMNBSHmnljHAGjaxk2V+baNSHKJBjhdjajdHHXASHSjlhcskOtc+sSHKASJKsbakbsjhhHJAJAHlsjdljka4I=+

vversion de DKIM
cla balise canonique pour l'en-tête et le corps
sSélecteur DKIM
dle domaine de signature
hles en-têtes du message
iidentité du domaine de signature
bhvaleur de hachage du corps
bla signature cyptographique DKIM pour l'en-tête et le corps du message

 

Cette signature est ajoutée aux en-têtes du courrier électronique sortant par le serveur d'envoi. Le message est maintenant prêt à être authentifié par le serveur du destinataire pour s'assurer qu'il n'a pas été modifié.

Un serveur de messagerie récepteur commence à vérifier votre message électronique en s'assurant que la version DKIM répond aux spécifications, que le domaine d'envoi et le domaine de signature DKIM correspondent et que le champ d'en-tête From est inclus dans la balise d'en-tête.

Lors de l'authentification de votre courriel sortant, le serveur récepteur utilise le nom de domaine et le sélecteur DKIM pour effectuer une recherche DNS et récupérer la clé publique du DNS de l'expéditeur. L'enregistrement de ressource TXT à rechercher peut ressembler à quelque chose comme :

s1._domainkey.votredomaine.com 

Dans l'exemple ci-dessus, s1= sélecteur DKIM.

Un enregistrement DKIM généré pour un domaine peut ressembler à ceci (cet enregistrement TXT est publié dans le DNS de votre domaine et contient la clé publique qui est récupérée par les MTA récepteurs lors de la vérification DKIM) :

v=DKIM1 ;p=QUFBQUIzTnphQzF5YzJFQUFBQURBUUFCQUFBQWdRRE1zN1pVUVVTbnFnU3hSRWVxMnM4cm4zZDhRV1JDd0VncDlQQ0NMUXIzQWsraWs3WWp6QzhSVDN4R29NeXdFWGQ3emxXaWRGS2pBWU93Q3l1Sy9va1FiZVBqcnVHMkQyRWdmYU9hQ1c0N3F1U2dlOCtxNTRYQVMyMEhFc1c0TVVXN1dKanhHTGlNRjN6WnkxNjJoZFc2RmRhaFFralpFTWtsY2J3enZENngxdz09IA==

vSpécifie la version de DKIM utilisée
pCe mécanisme spécifie la clé publique que le serveur récepteur tente de récupérer auprès du domaine expéditeur afin de vérifier DKIM.

 

Résolution du message "No DKIM Record Found" (aucun enregistrement DKIM trouvé)

Si vous ne voulez plus recevoir le message ennuyeux "No DKIM record found", il vous suffit de configurer DKIM pour votre domaine en publiant un enregistrement TXT dans votre DNS. Vous pouvez utiliser notre générateur d'enregistrement DKIM gratuit pour créer un enregistrement instantané avec la syntaxe correcte, à publier dans votre DNS.

Il suffit de le faire :

  • Saisissez votre sélecteur DKIM. Apprenez comment trouver facilement le sélecteur DKIM pour votre domaine.
  • Insérez votre nom de domaine (par exemple, yourdomain.com)
  • Cliquez sur Générer un enregistrement DKIM
  • Votre clé privée sera générée (vous devez entrer cette clé dans votre signataire DKIM. Elle doit être gardée secrète, car toute personne y ayant accès peut estampiller des jetons en se faisant passer pour vous)
  • Vous obtiendrez votre enregistrement DKIM généré avec votre clé publique, que vous devrez publier dans les DNS de votre domaine.

J'ai résolu le problème de l'absence d'enregistrement DKIM : Que faire ensuite ?

DKIM ne peut à lui seul protéger votre marque contre les attaques par usurpation d'identité. Pour une protection optimale contre l'usurpation d'identité directe, les attaques de phishing et les BEC, vous devez configurer SPF et DMARC pour votre domaine. Les protocoles d'authentification, à l'unisson, permettent de vérifier l'alignement du domaine afin de s'assurer que l'e-mail est envoyé par une source légitime et de préciser aux MTA destinataires comment répondre aux messages dont l'authentification échoue. Ce mécanisme protège finalement votre domaine contre la falsification.

Nous espérons que ce blog vous a aidé à résoudre votre problème et que vous n'aurez plus jamais à vous soucier du message "Aucun enregistrement DKIM trouvé". Inscrivez-vous à un essai gratuit de l'authentification des e-mails pour améliorer la délivrabilité et la sécurité de vos e-mails dès aujourd'hui !

Avez-vous déjà vu un courriel échouer au test SPF ? Si oui, je vais vous expliquer exactement pourquoi l'authentification SPF échoue. Sender Policy Framework, ou SPF, est l'une des normes de vérification des e-mails que nous utilisons tous depuis des années pour arrêter le spam. Même si vous n'en êtes pas conscient, je parie que si je vérifiais les paramètres de votre compte de connexion à Facebook, je verrais probablement que vous avez choisi l'option " opt-in " pour " email from friends only ". C'est effectivement la même chose que le SPF.

Qu'est-ce que l'authentification SPF ?

SPF est un protocole d'authentification des e-mails qui est utilisé pour vérifier que l'expéditeur de l'e-mail correspond à son nom de domaine dans le champ From : du message. Le MTA d'envoi utilisera le DNS pour interroger une liste préconfigurée de serveurs SPF afin de vérifier si l'IP d'envoi est autorisée à envoyer des e-mails pour ce domaine. Il peut y avoir des incohérences dans la façon dont les enregistrements SPF sont configurés, ce qui est essentiel pour comprendre pourquoi les e-mails peuvent échouer à la vérification SPF, et quel rôle vous pouvez jouer pour vous assurer que les problèmes ne se produisent pas dans vos propres efforts de marketing par e-mail.

Pourquoi l'authentification SPF échoue : Aucun, Neutre, Hardfail, Softfail, TempError et PermError.

Les échecs d'authentification SPF peuvent se produire pour les raisons suivantes :

  • Le MTA récepteur ne trouve pas d'enregistrement SPF publié dans votre DNS.
  • Vous avez plusieurs enregistrements SPF publiés dans votre DNS pour le même domaine.
  • Vos ESP ont modifié ou ajouté des adresses IP qui n'ont pas été mises à jour dans votre enregistrement SPF.
  • Si vous dépassez la limite de 10 consultations de DNS pour SPF
  • Si vous dépassez le nombre maximum de recherche de vide autorisé de 2
  • La longueur de votre enregistrement SPF aplati dépasse la limite de 255 caractères SPF.

Les scénarios ci-dessus expliquent pourquoi l'authentification SPF échoue. Vous pouvez surveiller vos domaines avec notre analyseur DMARC pour obtenir des rapports sur les échecs d'authentification SPF. Lorsque le rapport DMARC est activé, le MTA récepteur renvoie l'un des résultats d'échec d'authentification SPF suivants pour l'e-mail, en fonction de la raison pour laquelle votre e-mail a échoué. Apprenons à mieux les connaître :

Cas 1 : Le résultat de SPF None est retourné.

Dans le premier cas de figure, si le serveur de messagerie récepteur effectue une recherche DNS et ne trouve pas le nom de domaine dans le DNS, un résultat nul est renvoyé. Aucun résultat n'est également renvoyé si aucun enregistrement SPF n'est trouvé dans le DNS de l'expéditeur, ce qui implique que l'expéditeur n'a pas configuré l'authentification SPF pour ce domaine. Dans ce cas, l'authentification SPF pour vos e-mails échoue.

Générez votre enregistrement SPF sans erreur maintenant avec notre outil gratuit de génération d'enregistrements SPF pour éviter cela.

Cas 2 : Résultat neutre de SPF est retourné

Lors de la configuration du SPF pour votre domaine, si vous avez apposé un mécanisme ?all à votre enregistrement SPF, cela signifie que, quelles que soient les conclusions des contrôles d'authentification SPF pour vos courriels sortants, le MTA récepteur renvoie un résultat neutre. Cela se produit parce que lorsque vous avez votre SPF en mode neutre, vous ne spécifiez pas les adresses IP qui sont autorisées à envoyer des e-mails en votre nom et vous autorisez les adresses IP non autorisées à les envoyer également.

Cas 3 : Résultat de l'échec de la SPF Softfail

Tout comme le SPF neutre, le SPF softfail est identifié par le mécanisme ~all qui implique que le MTA récepteur acceptera le courrier et le délivrera dans la boîte de réception du destinataire, mais il sera marqué comme spam, dans le cas où l'adresse IP ne figure pas dans l'enregistrement SPF trouvé dans le DNS, ce qui peut être une raison pour laquelle l'authentification SPF échoue pour votre courrier électronique. Voici un exemple d'échec de l'authentification SPF :

 v=spf1 include:spf.google.com ~all

Cas 4 : Résultat de l'échec de la SPF

SPF hardfail, également connu sous le nom de SPF fail, désigne le cas où les MTA de réception rejettent les e-mails provenant d'une source d'envoi qui n'est pas répertoriée dans votre enregistrement SPF. Nous vous recommandons de configurer SPF hardfail dans votre enregistrement SPF, si vous voulez vous protéger contre l'usurpation de domaine et l'usurpation d'adresse électronique. Vous trouverez ci-dessous un exemple de SPF hardfail :

v=spf1 include:spf.google.com -all

Cas 5 : SPF TempError (erreur temporaire de SPF)

L'une des raisons très courantes et souvent inoffensives de l'échec de l'authentification SPF est SPF TempError (erreur temporaire) qui est due à une erreur DNS telle qu'un dépassement de délai DNS pendant qu'une vérification de l'authentification SPF est effectuée par le MTA récepteur. Il s'agit donc, comme son nom l'indique, d'une erreur temporaire renvoyant un code de statut 4xx qui peut provoquer un échec temporaire de SPF, mais qui donne un résultat positif lors d'une nouvelle tentative ultérieure.

Cas 6 : SPF PermError (erreur permanente de SPF)

Un autre résultat courant auquel les erreurs de domaine sont confrontées est SPF PermError. C'est pourquoi l'authentification SPF échoue dans la plupart des cas. Cela se produit lorsque votre enregistrement SPF est invalidé par le MTA récepteur. Il y a de nombreuses raisons pour lesquelles SPF peut s'interrompre et être rendu invalide par le MTA lors des recherches DNS :

  • Dépassement de la limite de 10 recherches SPF
  • Syntaxe d'enregistrement SPF incorrecte
  • Plus d'un enregistrement SPF pour le même domaine
  • Dépassement de la limite de longueur des enregistrements SPF, fixée à 255 caractères.
  • Si votre enregistrement SPF n'est pas à jour par rapport aux changements effectués par vos ESPs

Remarque : Lorsqu'un MTA effectue une vérification SPF sur un courriel, il interroge le DNS ou effectue une recherche DNS pour vérifier l'authenticité de la source du courriel. Idéalement, dans SPF, vous êtes autorisé à effectuer un maximum de 10 recherches DNS, au-delà desquelles SPF échouera et renverra un résultat PermError.

Comment l'aplatissement dynamique du SPF peut-il résoudre le SPF PermError ?

Contrairement aux autres erreurs SPF, SPF PermError est beaucoup plus délicat et compliqué à résoudre. PowerSPF vous aide à l'atténuer facilement grâce à l'aplatissement automatique du SPF. Il vous aide :

  • Rester sous la limite stricte du SPF
  • Optimisez instantanément votre enregistrement SPF
  • Aplatissez votre dossier en une seule déclaration d'inclusion
  • Assurez-vous que votre enregistrement SPF est toujours mis à jour en fonction des modifications apportées par vos ESP.

Vous voulez tester si vous avez configuré correctement le SPF pour votre domaine ? Essayez dès aujourd'hui notre outil gratuit de recherche d'enregistrements SPF!