Pour protéger votre domaine et votre identité en ligne contre les fraudeurs qui tentent de se faire passer pour vous, vous devez configurer DMARC pour vos domaines de messagerie. DMARC fonctionne grâce aux efforts cumulés d'authentification des e-mails des protocoles SPF et DKIM. Par la suite, les utilisateurs de DMARC bénéficient également de la réception de rapports sur les problèmes de livraison, les échecs d'authentification et d'alignement de leurs e-mails. Pour en savoir plus sur ce qu'est DMARC, cliquez ici.

Si votre rapport d'agrégation DMARC indique "SPF alignment failed", voyons ce que signifie l'alignement de votre SPF et comment vous pouvez résoudre ce problème.

Qu'est-ce que l'alignement SPF ?

Un message électronique est composé de plusieurs en-têtes différents. Chaque en-tête contient des informations sur certains attributs d'un message électronique, notamment la date d'envoi, l'endroit d'où il a été envoyé et son destinataire. SPF traite deux types d'en-têtes de courriel :

  • The <From:> header
  • L'en-tête Return-Path

Lorsque le domaine dans l'en-tête From : et le domaine dans l'en-tête Return-path correspondent pour un courriel, l'alignement SPF passe pour ce courriel. En revanche, lorsque les deux ne correspondent pas, il échoue. L'alignement SPF est un critère important qui permet de décider si un message électronique est légitime ou faux.

L'exemple ci-dessus montre que l'en-tête From : est aligné (correspond exactement) avec l'en-tête Return-path (Mail From). L'alignement SPF est donc accepté pour cet e-mail.

Pourquoi l'alignement SPF échoue-t-il ?

Cas 1: Votre mode d'alignement SPF est réglé sur strict

Bien que le mode d'alignement SPF par défaut soit détendu, la définition d'un mode d'alignement SPF strict peut entraîner des échecs d'alignement si le domaine du chemin de retour se trouve être un sous-domaine du domaine organisationnel racine, alors que l'en-tête From : intègre le domaine organisationnel. En effet, pour que SPF s'aligne en mode strict, les domaines des deux en-têtes doivent correspondre exactement. Cependant, pour un alignement relaxé, si les deux domaines partagent le même domaine de premier niveau, l'alignement SPF passera.

L'illustration ci-dessus est un exemple de courrier qui partage le même domaine de premier niveau, mais le nom de domaine n'est pas une correspondance exacte (le domaine "Mail From" est un sous-domaine du domaine organisationnel company.com). Dans ce cas, si votre mode d'alignement SPF est défini sur "relaxed", votre courriel passera l'alignement SPF, cependant pour un mode strict, il échouera de la même manière. 

Cas 2: Votre domaine a été usurpé

Une raison très courante des échecs d'alignement SPF est l'usurpation de domaine. Il s'agit du phénomène par lequel un cybercriminel prend votre identité en falsifiant votre nom de domaine ou votre adresse pour envoyer des courriels à vos destinataires. Alors que le domaine From : porte toujours votre identité, l'en-tête Return-path affiche l'identité originale de l'usurpateur. Si vous avez mis en place l'authentification SPF pour votre faux domaine, le courriel échoue inévitablement à l'alignement du côté du destinataire.

Correction de l'erreur d'alignement SPF

Pour réparer les échecs d'alignement du SPF, vous pouvez : 

  • Réglez votre mode d'alignement sur "détendu" au lieu de "strict". 
  • Configurez DMARC pour votre domaine, en plus de SPF et DKIM, de sorte que même si votre courriel échoue à l'alignement de l'en-tête SPF et passe l'alignement DKIM, il passe DMARC et est remis à votre destinataire.

Notre site analyseur de rapports DMARC peut vous aider à obtenir une conformité DMARC à 100 % pour vos courriels sortants et à prévenir les tentatives d'usurpation ou les échecs d'alignement dus à une mauvaise configuration du protocole. Profitez d'une expérience d'authentification plus sûre et plus fiable en faisant votre essai gratuit de DMARC dès aujourd'hui !

DMARC est un protocole standard d'authentification des e-mails qui, lorsqu'il est configuré en plus des enregistrements SPF et DKIM existants, vous aide à confirmer si l'un ou l'autre ou les deux contrôles d'authentification ont échoué. Pourquoi DMARC est-il important ? Supposons que quelqu'un envoie un courriel au nom de votre entreprise et qu'il échoue à DMARC, ce qui signifie que vous pouvez prendre une mesure autoritaire. DMARC a été conçu pour mettre fin au spam et au phishing en aidant les entreprises à gérer la sécurité des e-mails. L'un des principaux objectifs est d'aider les entreprises à protéger leurs marques et à préserver leur réputation. DMARC protège les courriers électroniques en transit et contribue à prévenir les attaques par usurpation d'identité et par hameçonnage en rejetant les messages qui ne respectent pas certaines normes. Les serveurs de messagerie peuvent également signaler les messages qu'ils reçoivent d'autres serveurs de messagerie pour aider l'expéditeur à résoudre les problèmes éventuels.

La protection de vos e-mails est importante pour préserver vos clients des cybercriminels qui pourraient dérober leurs informations personnelles. Dans cet article de blog, nous expliquons l'importance de DMARC et ce que vous pouvez faire pour l'implémenter correctement pour votre domaine.

Pourquoi DMARC est-il important et pourquoi devriez-vous utiliser DMARC ?

Si vous ne savez toujours pas si vous devez utiliser DMARC, voyons ensemble les avantages qu'il procure :

  • DMARC concerne la sécurité et la délivrabilité des e-mails. Il fournit des rapports d'authentification robustes, minimise le phishing et réduit les faux positifs.
  • Augmenter la délivrabilité et réduire les rebonds
  • Recevoir des rapports complets sur la manière dont les messages sont authentifiés
  • Le protocole DMARC permet d'identifier les spammeurs et empêche les faux messages d'atteindre les boîtes de réception.
  • DMARC permet de réduire les risques que vos courriels soient marqués ou signalés comme spam.
  • Vous donne une meilleure visibilité et une plus grande autorité sur vos domaines et vos canaux de messagerie.

Qui peut utiliser DMARC ?

DMARC est pris en charge par Microsoft Office 365, Google Workspace et d'autres solutions populaires basées sur le cloud. Depuis 2010, DMARC fait partie du processus d'authentification des e-mails. Son objectif était de rendre plus difficile pour les cybercriminels l'envoi de spams à partir d'une adresse valide, contribuant ainsi à lutter contre l'épidémie d'attaques de phishing. Les experts du secteur encouragent les propriétaires de domaines des petites entreprises, ainsi que les entreprises, à créer un enregistrement DMARC afin de fournir des instructions sur la manière dont leur domaine de messagerie doit être protégé. Cela permet de protéger la réputation et l'identité de leur marque. 

Comment établir l'enregistrement DMARC de votre domaine ? 

Les étapes pour configurer votre domaine avec les protocoles d'authentification des e-mails sont les suivantes : 

  • Créez un enregistrement SPF et vérifiez-le à l'aide d'un vérificateur SPF pour vous assurer que l'enregistrement est fonctionnel et exempt d'éventuelles erreurs de syntaxe.
  • Activez l'authentification DKIM pour votre domaine
  • Enfin, configurez votre domaine avec DMARC et activez le rapport DMARC en configurant notre analyseur de rapport DMARC gratuit

Non seulement DMARC a gagné en importance ces dernières années, mais certaines entreprises s'efforcent de le rendre obligatoire pour leurs employés afin d'éviter la perte de données et de ressources sensibles. Il est donc temps que vous preniez en considération ses différents avantages et que vous vous tourniez vers une expérience de messagerie plus sûre avec DMARC. 

Les enregistrements DMARC sont une concoction de divers mécanismes ou balises DMARC qui communiquent des instructions spécifiques aux serveurs de réception de courrier électronique pendant le transfert du courrier. Chacune de ces balises DMARC contient une valeur qui est définie par le propriétaire du domaine. Aujourd'hui, nous allons voir ce que sont les balises DMARC et ce que chacune d'entre elles représente. 

Types de balises DMARC

Voici toutes les balises DMARC disponibles qu'un propriétaire de domaine peut spécifier dans son enregistrement DMARC :

Tag DMARC Type Valeur par défaut Ce que cela signifie
v obligatoire L'étiquette v représente la version du protocole DMARC et a toujours la valeur v=DMARC1. 
pct en option 100 Ce tag représente le pourcentage d'emails auxquels le mode de politique est applicable. En savoir plus sur le tag DMARC pct
p obligatoire Ce tag indique le mode de la politique DMARC. Vous pouvez choisir entre rejeter, mettre en quarantaine et aucun. En savoir plus sur ce qu'est la politique DMARC pour savoir clairement quel mode choisir pour votre domaine.
sp en option Le mode de politique configuré pour votre domaine principal (p) En spécifiant la politique de sous-domaine, la balise sp est configurée pour définir un mode de politique pour vos sous-domaines. Apprenez-en plus sur la balise sp de DMARC pour comprendre quand vous devez la configurer. 
rua Facultatif mais recommandé La balise rua est une balise DMARC facultative qui spécifie l'adresse de courrier électronique ou le serveur Web où les organisations déclarantes doivent envoyer leurs données d'identification. DMARC agrégat de données rua

Exemple : rua=mailto:[email protected] ;

ruf Facultatif mais recommandé De la même manière, le mécanisme ruf spécifie l'adresse à laquelle l'adresse de la Rapport ruf de DMARC forensic doit être envoyé. Actuellement, toutes les organisations déclarantes n'envoient pas de données médico-légales. 

Exemple : ruf=mailto:[email protected]

pour en option 0 La balise fo correspond aux options de rapport d'échec et d'expertise parmi lesquelles les propriétaires de domaines peuvent choisir. Si vous n'avez pas activé ruf pour votre domaine, vous pouvez ignorer ce point. 

Vous pouvez choisir parmi les options suivantes : 

0 : un rapport d'échec DMARC vous est envoyé si votre courriel échoue à la fois l'alignement SPF et DKIM.

1 : un rapport d'échec DMARC/forensique vous est envoyé lorsque votre courriel échoue l'alignement SPF ou DKIM.

d : un rapport d'échec DKIM est envoyé si la signature DKIM de l'e-mail n'est pas validée, quel que soit l'alignement.

s : un rapport d'échec SPF est envoyé si le courriel échoue à l'évaluation SPF, quel que soit l'alignement.

aspf en option Ce tag DMARC représente le mode d'alignement du SPF. La valeur peut être soit stricte (s) soit relaxée (r).
adkim en option De même, la balise DMARC adkim représente le mode d'alignement DKIM, dont la valeur peut être soit stricte(s), soit détendue(r). 
rf en option afrf La balise DMARC rf spécifie les différents formats pour les rapports Forensic.
ri en option 86400 Le tag ri indique l'intervalle de temps en secondes entre deux rapports agrégés consécutifs envoyés par l'organisme de rapport au propriétaire du domaine.

Pour créer un enregistrement pour DMARC instantanément, utilisez notre générateur de DMARC gratuit générateur DMARC gratuit. Sinon, si vous disposez d'un enregistrement existant, vérifiez sa validité en effectuant une recherche DMARC.

Inscrivez-vous dès aujourd'hui pour un essai gratuit essai DMARC gratuit pour obtenir des conseils d'experts sur la manière de protéger votre domaine contre les usurpateurs.

La balise DMARC pct fait partie de cet enregistrement et indique au destinataire du courrier électronique quel pourcentage des messages relevant de cette politique sera affecté. Si, en tant que propriétaire de domaine, vous souhaitez préciser ce qu'il convient de faire avec un courriel dont l'authentification échoue, les enregistrements DMARC peuvent vous y aider. Une entreprise peut publier un enregistrement textuel dans le DNS et spécifier ce qu'elle souhaite faire des e-mails dont l'alignement à la source échoue en déterminant s'il faut les livrer, les mettre en quarantaine ou même les rejeter purement et simplement. 

Que signifie pct dans DMARC ?

Un enregistrement TXT pour tout protocole d'authentification des e-mails contient un ensemble de mécanismes ou de balises qui signifient des instructions destinées aux serveurs de réception des e-mails. Dans un enregistrement DMARC, pct est un acronyme de pourcentage qui est inclus pour indiquer le pourcentage d'e-mails auxquels la politique DMARC définie par le propriétaire du domaine est appliquée.

Pourquoi avez-vous besoin de la balise DMARC pct ?

La balise pct est un moyen souvent négligé, mais néanmoins efficace, de mettre en place et de tester les politiques DMARC de votre domaine. Un enregistrement DMARC avec une balise pct ressemble à ce qui suit : 

v=DMARC1 ; p=rejet ; pct=100 ; rua=mailto:[email protected] ;

Dans l'enregistrement DNS DMARC présenté ci-dessus, le pourcentage d'e-mails pour lesquels la politique de rejet DMARC est applicable est de 100%. 

Le temps qu'il faut à un domaine pour passer de l'absence totale d'utilisation de DMARC à l'utilisation des paramètres les plus restrictifs est une période de montée en puissance. Cette période est destinée à donner aux domaines le temps de se familiariser avec leurs nouveaux paramètres. Pour certaines entreprises, cela peut prendre quelques mois. Il est possible pour les domaines d'effectuer une mise à niveau instantanée, mais cela est peu fréquent en raison du risque d'erreurs ou de plaintes plus élevées. La balise pct a été conçue comme un moyen d'appliquer progressivement les politiques DMARC afin de réduire la période de déploiement pour les entreprises en ligne. L'objectif est de pouvoir le déployer sur un petit lot d'e-mails avant de le déployer sur l'ensemble du flux d'e-mails, comme dans le cas ci-dessous : 

v=DMARC1 ; p=reject ; pct=50 ; rua=mailto:[email protected] ;

Dans cet enregistrement DNS DMARC, la politique de rejet pour DMARC ne s'applique qu'à 50 % des messages électroniques, tandis que l'autre moitié du volume est soumise à une politique de quarantaine pour DMARC, qui est la deuxième politique la plus stricte. 

Que se passera-t-il si vous n'incluez pas une balise pct dans votre enregistrement DMARC ?

Alors que la création d'un enregistrement DMARC à l'aide d'un générateur d'enregistrements DMARCvous pouvez choisir de ne pas définir de balise pct et de laisser ce critère vide. Dans ce cas, le paramètre par défaut de pct est fixé à 100, ce qui signifie que la politique définie s'appliquera à tous vos e-mails. Par conséquent, si vous voulez définir une politique pour tous vos courriels, une façon plus simple de procéder serait de laisser le critère pct vide, comme dans cet exemple :

v=DMARC1 ; p=quarantaine ; rua=mailto:[email protected] ;

Avertissement: Si vous voulez une politique appliquée pour DMARC, ne publiez pas un enregistrement avec pct=0

La logique derrière cela est simple : si vous voulez définir une politique de rejet ou de quarantaine dans votre enregistrement, vous voulez essentiellement que cette politique soit appliquée à vos courriels sortants. En fixant votre pct à 0, vous réduisez à néant vos efforts puisque votre politique s'applique désormais à zéro courriel. C'est la même chose que d'avoir votre mode de politique défini sur p=none. 

Note: Afin de protéger votre domaine contre les attaques d'usurpation d'identité et d'empêcher toute chance que votre domaine soit usurpé par des attaquants, la politique idéale devrait être la suivante DMARC à p=reject ; pct=100 ;

Passez à l'application de DMARC en toute sécurité en commençant votre voyage DMARC avec PowerDMARC. Faites un essai gratuit essai DMARC dès aujourd'hui !

L'attribut "sp" est l'abréviation de subdomain policy (politique de sous-domaine) et n'est pas actuellement un attribut largement utilisé. Il permet à un domaine de spécifier qu'un enregistrement DMARC différent doit être utilisé pour les sous-domaines du domaine DNS spécifié. Pour garder les choses simples, nous recommandons que l'attribut "sp" soit omis du domaine organisationnel lui-même. Cela conduira à une politique de repli par défaut qui empêche l'usurpation d'identité sur les sous-domaines. Il est important de se rappeler que le comportement des sous-domaines est toujours déterminé par la politique organisationnelle prioritaire. 

Les sous-domaines héritent de la politique du domaine parent, sauf si elle est explicitement remplacée par un enregistrement de politique de sous-domaine. L'attribut "sp" peut remplacer cet héritage. Si un sous-domaine possède un enregistrement DMARC explicite, cet enregistrement aura la priorité sur la politique DMARC du domaine parent, même si le sous-domaine utilise le paramètre par défaut de p=none. Par exemple, si une politique DMARC est définie pour la priorité "all", l'élément "sp" influencera le traitement DMARC sur les sous-domaines non couverts par une politique spécifique.

Pourquoi avez-vous besoin de la balise DMARC sp ?

Si vous avez votre enregistrement DMARC comme : 

v=DMARC1 ; p=reject ; sp=none ; rua=mailto:[email protected] ;

Dans ce cas, si votre domaine racine est protégé contre les attaques par usurpation d'identité, vos sous-domaines, même si vous ne les utilisez pas pour échanger des informations, restent vulnérables aux attaques par usurpation d'identité.

Si vous avez votre enregistrement DMARC comme : 

v=DMARC1 ; p=none ; sp=reject ; rua=mailto:[email protected] ;

Dans ce cas, si vous ne vous engagez pas à appliquer une politique de rejet sur le domaine racine que vous utilisez pour envoyer vos courriels, vos sous-domaines inactifs sont toujours protégés contre l'usurpation d'identité. 

Si vous souhaitez que la politique de votre domaine et de vos sous-domaines soit la même, vous pouvez laisser le critère de la balise sp vide ou désactivé lors de la création d'un enregistrement, et vos sous-domaines hériteront automatiquement de la politique imposée au domaine principal. 

Si vous utilisez notre générateur d'enregistrement DMARC pour créer un enregistrement DMARC pour votre domaine, vous devez activer manuellement le bouton de politique de sous-domaine et définir la politique souhaitée, comme indiqué ci-dessous :

 

Après avoir créé votre enregistrement DMARC, il est important de vérifier la validité de votre enregistrement en utilisant notre outil de recherche d'enregistrement DMARC afin de vous assurer que votre enregistrement ne contient aucune erreur et qu'il est valide.

Commencez votre voyage DMARC avec PowerDMARC pour maximiser la sécurité des e-mails de votre domaine. Faites votre essai gratuit essai DMARC dès aujourd'hui !

En raison des menaces qui se cachent en ligne, les entreprises doivent prouver qu'elles sont légitimes en utilisant des méthodes d'authentification fortes. Une méthode courante consiste à utiliser DKIM (DomainKeys Identified Mail), une technologie d'authentification des e-mails qui utilise des clés de chiffrement pour vérifier le domaine de l'expéditeur. DKIM, ainsi que SPF et DMARC a considérablement amélioré la sécurité du courrier électronique des organisations dans le monde entier.

Pour en savoir plus qu'est-ce que DKIM.

Lors de la configuration de DKIM pour vos emails, l'une des principales décisions que vous devez prendre est de déterminer la longueur de la clé DKIM. Dans cet article, nous allons vous montrer la longueur de clé recommandée pour une meilleure protection et comment mettre à jour vos clés dans Exchange Online Powershell.

Importance de mettre à jour la longueur de votre clé DKIM

Le choix entre 1024 bits et 2048 bits est une décision importante qui doit être prise lors du choix de votre clé DKIM. Pendant des années, les ICP (infrastructures à clé publique) ont utilisé des clés DKIM de 1024 bits pour leur sécurité. Toutefois, la technologie devenant de plus en plus complexe, les pirates s'efforcent de trouver de nouvelles méthodes pour compromettre la sécurité. C'est pourquoi la longueur des clés est devenue de plus en plus importante.

Les pirates continuent d'inventer de meilleurs moyens de casser les clés DKIM. La longueur de la clé est directement liée à la difficulté de casser l'authentification. L'utilisation d'une clé de 2048 bits offre une protection renforcée et une meilleure sécurité contre les attaques actuelles et futures, ce qui souligne l'importance de mettre à jour votre bitness.

Mise à jour manuelle de vos clés DKIM dans Exchange Online Powershell

  • Commencez par vous connecter à Microsoft Office 365 PowerShell en tant qu'administrateur (assurez-vous que votre compte Powershell est configuré pour exécuter des scripts Powershell signés).
  • Dans le cas où DKIM est préconfiguré, pour mettre à jour vos clés à 2048 bits, exécutez la commande suivante sur Powershell : 

Rotate-DkimSigningConfig -KeySize 2048 -Identity {Guid de la configuration de signature existante}

  • Si vous n'avez pas encore mis en œuvre DKIM, exécutez la commande suivante dans Powershell : 

New-DkimSigningConfig -DomainName <Domain for which config is to be created> -KeySize 2048 -Enabled $true

  • Enfin, pour vérifier que vous avez bien configuré DKIM avec un bitness amélioré de 2048 bits, exécutez la commande suivante :

Get-DkimSigningConfig -Identity <Domain for which the configuration was set> | Format-List

Note: Assurez-vous que vous êtes connecté à Powershell tout au long de la réalisation de la procédure. L'implémentation des changements peut prendre jusqu'à 72 heures.

DKIM n'est pas suffisant pour protéger votre domaine contre l'usurpation d'identité et les BEC. Améliorez la sécurité des e-mails de votre domaine en configurant le protocole DMARC pour Office 365.