DMARC est un protocole standard d'authentification des e-mails qui, lorsqu'il est configuré en plus des enregistrements SPF et DKIM existants, vous aide à confirmer si l'un ou l'autre ou les deux contrôles d'authentification ont échoué. Supposons que quelqu'un envoie un courriel au nom de votre entreprise et qu'il échoue à la vérification DMARC, vous pouvez alors prendre une mesure autoritaire. DMARC a été conçu pour mettre fin au spam et au phishing en aidant les entreprises à gérer la sécurité des e-mails. L'un des principaux objectifs est d'aider les entreprises à protéger leurs marques et à préserver leur réputation. DMARC protège les courriers électroniques en transit et contribue à prévenir les attaques par usurpation d'identité et par hameçonnage en rejetant les messages qui ne respectent pas certaines normes. Les serveurs de messagerie peuvent également signaler les messages qu'ils reçoivent d'autres serveurs de messagerie pour aider l'expéditeur à résoudre les problèmes éventuels.

La protection de vos e-mails est importante pour préserver vos clients des cybercriminels qui pourraient dérober leurs informations personnelles. Dans cet article de blog, nous expliquons l'importance de DMARC et ce que vous pouvez faire pour l'implémenter correctement pour votre domaine.

Pourquoi devriez-vous utiliser DMARC ?

Si vous ne savez toujours pas si vous devez utiliser DMARC, voyons ensemble les avantages qu'il procure :

  • DMARC concerne la sécurité et la délivrabilité des e-mails. Il fournit des rapports d'authentification robustes, minimise le phishing et réduit les faux positifs.
  • Augmenter la délivrabilité et réduire les rebonds
  • Recevoir des rapports complets sur la manière dont les messages sont authentifiés
  • Le protocole DMARC permet d'identifier les spammeurs et empêche les faux messages d'atteindre les boîtes de réception.
  • DMARC permet de réduire les risques que vos courriels soient marqués ou signalés comme spam.
  • Vous donne une meilleure visibilité et une plus grande autorité sur vos domaines et vos canaux de messagerie.

Qui peut utiliser DMARC ?

DMARC est pris en charge par Microsoft Office 365, Google Workspace et d'autres solutions populaires basées sur le cloud. Depuis 2010, DMARC fait partie du processus d'authentification des e-mails. Son objectif était de rendre plus difficile pour les cybercriminels l'envoi de spams à partir d'une adresse valide, contribuant ainsi à lutter contre l'épidémie d'attaques de phishing. Les experts du secteur encouragent les propriétaires de domaines des petites entreprises, ainsi que les entreprises, à créer un enregistrement DMARC afin de fournir des instructions sur la manière dont leur domaine de messagerie doit être protégé. Cela permet de protéger la réputation et l'identité de leur marque. 

Comment établir l'enregistrement DMARC de votre domaine ? 

Les étapes pour configurer votre domaine avec les protocoles d'authentification des e-mails sont les suivantes : 

  • Créez un enregistrement SPF et vérifiez-le à l'aide d'un vérificateur SPF pour vous assurer que l'enregistrement est fonctionnel et exempt d'éventuelles erreurs de syntaxe.
  • Activez l'authentification DKIM pour votre domaine
  • Enfin, configurez votre domaine avec DMARC et activez le rapport DMARC en configurant notre analyseur de rapport DMARC gratuit

Non seulement DMARC a gagné en importance ces dernières années, mais certaines entreprises s'efforcent de le rendre obligatoire pour leurs employés afin d'éviter la perte de données et de ressources sensibles. Il est donc temps que vous preniez en considération ses différents avantages et que vous vous tourniez vers une expérience de messagerie plus sûre avec DMARC. 

Les enregistrements DMARC sont une concoction de divers mécanismes ou balises DMARC qui communiquent des instructions spécifiques aux serveurs de réception de courrier électronique pendant le transfert du courrier. Chacune de ces balises DMARC contient une valeur qui est définie par le propriétaire du domaine. Aujourd'hui, nous allons voir ce que sont les balises DMARC et ce que chacune d'entre elles représente. 

Voici toutes les balises DMARC disponibles qu'un propriétaire de domaine peut spécifier dans son enregistrement DMARC :

Tag DMARC Type Valeur par défaut Ce que cela signifie
v obligatoire L'étiquette v représente la version du protocole DMARC et a toujours la valeur v=DMARC1. 
pct en option 100 Ce tag représente le pourcentage d'emails auxquels le mode de politique est applicable. En savoir plus sur le tag DMARC pct
p obligatoire Ce tag indique le mode de la politique DMARC. Vous pouvez choisir entre rejeter, mettre en quarantaine et aucun. En savoir plus sur ce qu'est la politique DMARC pour savoir clairement quel mode choisir pour votre domaine.
sp en option Le mode de politique configuré pour votre domaine principal (p) En spécifiant la politique de sous-domaine, la balise sp est configurée pour définir un mode de politique pour vos sous-domaines. Apprenez-en plus sur la balise sp de DMARC pour comprendre quand vous devez la configurer. 
rua Facultatif mais recommandé La balise rua est une balise DMARC facultative qui spécifie l'adresse de courrier électronique ou le serveur Web où les organisations déclarantes doivent envoyer leurs données d'identification. DMARC agrégat de données rua

Exemple : rua=mailto:[email protected] ;

ruf Facultatif mais recommandé De la même manière, le mécanisme ruf spécifie l'adresse à laquelle l'adresse de la Rapport ruf de DMARC forensic doit être envoyé. Actuellement, toutes les organisations déclarantes n'envoient pas de données médico-légales. 

Exemple : ruf=mailto:[email protected]

pour en option 0 La balise fo correspond aux options de rapport d'échec et d'expertise parmi lesquelles les propriétaires de domaines peuvent choisir. Si vous n'avez pas activé ruf pour votre domaine, vous pouvez ignorer ce point. 

Vous pouvez choisir parmi les options suivantes : 

0 : un rapport d'échec DMARC vous est envoyé si votre courriel échoue à la fois l'alignement SPF et DKIM.

1 : un rapport d'échec DMARC/forensique vous est envoyé lorsque votre courriel échoue l'alignement SPF ou DKIM.

d : un rapport d'échec DKIM est envoyé si la signature DKIM de l'e-mail n'est pas validée, quel que soit l'alignement.

s : un rapport d'échec SPF est envoyé si le courriel échoue à l'évaluation SPF, quel que soit l'alignement.

aspf en option Ce tag DMARC représente le mode d'alignement du SPF. La valeur peut être soit stricte (s) soit relaxée (r).
adkim en option De même, la balise DMARC adkim représente le mode d'alignement DKIM, dont la valeur peut être soit stricte(s), soit détendue(r). 
rf en option afrf La balise DMARC rf spécifie les différents formats pour les rapports Forensic.
ri en option 86400 Le tag ri indique l'intervalle de temps en secondes entre deux rapports agrégés consécutifs envoyés par l'organisme de rapport au propriétaire du domaine.

Pour créer un enregistrement pour DMARC instantanément, utilisez notre générateur de DMARC gratuit générateur DMARC gratuit. Sinon, si vous disposez d'un enregistrement existant, vérifiez sa validité en effectuant une recherche DMARC.

Inscrivez-vous dès aujourd'hui pour un essai gratuit essai DMARC gratuit pour obtenir des conseils d'experts sur la manière de protéger votre domaine contre les usurpateurs.

Si, en tant que propriétaire de domaine, vous souhaitez spécifier ce qu'il convient de faire avec un courriel dont l'authentification échoue, les enregistrements DMARC peuvent vous y aider. Une entreprise peut publier un enregistrement texte dans le DNS et spécifier ce qu'elle souhaite faire des e-mails dont l'alignement à la source échoue en déterminant s'il faut les livrer, les mettre en quarantaine ou même les rejeter purement et simplement. La balise DMARC pct fait partie de cet enregistrement et indique au destinataire du courrier électronique quel pourcentage des messages relevant de cette politique sera affecté.

Que signifie pct dans DMARC ?

Un enregistrement TXT pour tout protocole d'authentification des e-mails contient un ensemble de mécanismes ou de balises qui signifient des instructions destinées aux serveurs de réception des e-mails. Dans un enregistrement DMARC, pct est un acronyme de pourcentage qui est inclus pour indiquer le pourcentage d'e-mails auxquels la politique DMARC définie par le propriétaire du domaine est appliquée.

Pourquoi avez-vous besoin de la balise DMARC pct ?

La balise pct est un moyen souvent négligé, mais néanmoins efficace, de mettre en place et de tester les politiques DMARC de votre domaine. Un enregistrement DMARC avec une balise pct ressemble à ce qui suit : 

v=DMARC1 ; p=rejet ; pct=100 ; rua=mailto:[email protected] ;

Dans l'enregistrement DNS DMARC présenté ci-dessus, le pourcentage d'e-mails pour lesquels la politique de rejet DMARC est applicable est de 100%. 

Le temps qu'il faut à un domaine pour passer de l'absence totale d'utilisation de DMARC à l'utilisation des paramètres les plus restrictifs est une période de montée en puissance. Cette période est destinée à donner aux domaines le temps de se familiariser avec leurs nouveaux paramètres. Pour certaines entreprises, cela peut prendre quelques mois. Il est possible pour les domaines d'effectuer une mise à niveau instantanée, mais cela est peu fréquent en raison du risque d'erreurs ou de plaintes plus élevées. La balise pct a été conçue comme un moyen d'appliquer progressivement les politiques DMARC afin de réduire la période de déploiement pour les entreprises en ligne. L'objectif est de pouvoir le déployer sur un petit lot d'e-mails avant de le déployer sur l'ensemble du flux d'e-mails, comme dans le cas ci-dessous : 

v=DMARC1 ; p=reject ; pct=50 ; rua=mailto:[email protected] ;

Dans cet enregistrement DNS DMARC, la politique de rejet pour DMARC ne s'applique qu'à 50 % des messages électroniques, tandis que l'autre moitié du volume est soumise à une politique de quarantaine pour DMARC, qui est la deuxième politique la plus stricte. 

Que se passera-t-il si vous n'incluez pas une balise pct dans votre enregistrement DMARC ?

Alors que la création d'un enregistrement DMARC à l'aide d'un générateur d'enregistrements DMARCvous pouvez choisir de ne pas définir de balise pct et de laisser ce critère vide. Dans ce cas, le paramètre par défaut de pct est fixé à 100, ce qui signifie que la politique définie s'appliquera à tous vos e-mails. Par conséquent, si vous voulez définir une politique pour tous vos courriels, une façon plus simple de procéder serait de laisser le critère pct vide, comme dans cet exemple :

v=DMARC1 ; p=quarantaine ; rua=mailto:[email protected] ;

Avertissement: Si vous voulez une politique appliquée pour DMARC, ne publiez pas un enregistrement avec pct=0

La logique derrière cela est simple : si vous voulez définir une politique de rejet ou de quarantaine dans votre enregistrement, vous voulez essentiellement que cette politique soit appliquée à vos courriels sortants. En fixant votre pct à 0, vous réduisez à néant vos efforts puisque votre politique s'applique désormais à zéro courriel. C'est la même chose que d'avoir votre mode de politique défini sur p=none. 

Note: Afin de protéger votre domaine contre les attaques d'usurpation d'identité et d'empêcher toute chance que votre domaine soit usurpé par des attaquants, la politique idéale devrait être la suivante DMARC à p=reject ; pct=100 ;

Passez à l'application de DMARC en toute sécurité en commençant votre voyage DMARC avec PowerDMARC. Faites un essai gratuit essai DMARC dès aujourd'hui !

L'attribut "sp" est l'abréviation de subdomain policy (politique de sous-domaine) et n'est pas actuellement un attribut largement utilisé. Il permet à un domaine de spécifier qu'un enregistrement DMARC différent doit être utilisé pour les sous-domaines du domaine DNS spécifié. Pour garder les choses simples, nous recommandons que l'attribut "sp" soit omis du domaine organisationnel lui-même. Cela conduira à une politique de repli par défaut qui empêche l'usurpation d'identité sur les sous-domaines. Il est important de se rappeler que le comportement des sous-domaines est toujours déterminé par la politique organisationnelle prioritaire. 

Les sous-domaines héritent de la politique du domaine parent, sauf si elle est explicitement remplacée par un enregistrement de politique de sous-domaine. L'attribut "sp" peut remplacer cet héritage. Si un sous-domaine possède un enregistrement DMARC explicite, cet enregistrement aura la priorité sur la politique DMARC du domaine parent, même si le sous-domaine utilise le paramètre par défaut de p=none. Par exemple, si une politique DMARC est définie pour la priorité "all", l'élément "sp" influencera le traitement DMARC sur les sous-domaines non couverts par une politique spécifique.

Pourquoi avez-vous besoin de la balise DMARC sp ?

Si vous avez votre enregistrement DMARC comme : 

v=DMARC1 ; p=reject ; sp=none ; rua=mailto:[email protected] ;

Dans ce cas, si votre domaine racine est protégé contre les attaques par usurpation d'identité, vos sous-domaines, même si vous ne les utilisez pas pour échanger des informations, restent vulnérables aux attaques par usurpation d'identité.

Si vous avez votre enregistrement DMARC comme : 

v=DMARC1 ; p=none ; sp=reject ; rua=mailto:[email protected] ;

Dans ce cas, si vous ne vous engagez pas à appliquer une politique de rejet sur le domaine racine que vous utilisez pour envoyer vos courriels, vos sous-domaines inactifs sont toujours protégés contre l'usurpation d'identité. 

Si vous souhaitez que la politique de votre domaine et de vos sous-domaines soit la même, vous pouvez laisser le critère de la balise sp vide ou désactivé lors de la création d'un enregistrement, et vos sous-domaines hériteront automatiquement de la politique imposée au domaine principal. 

Si vous utilisez notre générateur d'enregistrement DMARC pour créer un enregistrement DMARC pour votre domaine, vous devez activer manuellement le bouton de politique de sous-domaine et définir la politique souhaitée, comme indiqué ci-dessous :

 

Après avoir créé votre enregistrement DMARC, il est important de vérifier la validité de votre enregistrement en utilisant notre outil de recherche d'enregistrement DMARC afin de vous assurer que votre enregistrement ne contient aucune erreur et qu'il est valide.

Commencez votre voyage DMARC avec PowerDMARC pour maximiser la sécurité des e-mails de votre domaine. Faites votre essai gratuit essai DMARC dès aujourd'hui !

En raison des menaces qui se cachent en ligne, les entreprises doivent prouver qu'elles sont légitimes en utilisant des méthodes d'authentification fortes. Une méthode courante consiste à utiliser DKIM (DomainKeys Identified Mail), une technologie d'authentification des e-mails qui utilise des clés de chiffrement pour vérifier le domaine de l'expéditeur. DKIM, ainsi que SPF et DMARC a considérablement amélioré la sécurité du courrier électronique des organisations dans le monde entier.

Pour en savoir plus qu'est-ce que DKIM.

Lors de la configuration de DKIM pour vos emails, l'une des principales décisions que vous devez prendre est de déterminer la longueur de la clé DKIM. Dans cet article, nous allons vous montrer la longueur de clé recommandée pour une meilleure protection et comment mettre à jour vos clés dans Exchange Online Powershell.

Importance de mettre à jour la longueur de votre clé DKIM

Le choix entre 1024 bits et 2048 bits est une décision importante qui doit être prise lors du choix de votre clé DKIM. Pendant des années, les ICP (infrastructures à clé publique) ont utilisé des clés DKIM de 1024 bits pour leur sécurité. Toutefois, la technologie devenant de plus en plus complexe, les pirates s'efforcent de trouver de nouvelles méthodes pour compromettre la sécurité. C'est pourquoi la longueur des clés est devenue de plus en plus importante.

Les pirates continuent d'inventer de meilleurs moyens de casser les clés DKIM. La longueur de la clé est directement liée à la difficulté de casser l'authentification. L'utilisation d'une clé de 2048 bits offre une protection renforcée et une meilleure sécurité contre les attaques actuelles et futures, ce qui souligne l'importance de mettre à jour votre bitness.

Mise à jour manuelle de vos clés DKIM dans Exchange Online Powershell

  • Commencez par vous connecter à Microsoft Office 365 PowerShell en tant qu'administrateur (assurez-vous que votre compte Powershell est configuré pour exécuter des scripts Powershell signés).
  • Dans le cas où DKIM est préconfiguré, pour mettre à jour vos clés à 2048 bits, exécutez la commande suivante sur Powershell : 

Rotate-DkimSigningConfig -KeySize 2048 -Identity {Guid de la configuration de signature existante}

  • Si vous n'avez pas encore mis en œuvre DKIM, exécutez la commande suivante dans Powershell : 

New-DkimSigningConfig -DomainName <Domain for which config is to be created> -KeySize 2048 -Enabled $true

  • Enfin, pour vérifier que vous avez bien configuré DKIM avec un bitness amélioré de 2048 bits, exécutez la commande suivante :

Get-DkimSigningConfig -Identity <Domain for which the configuration was set> | Format-List

Note: Assurez-vous que vous êtes connecté à Powershell tout au long de la réalisation de la procédure. L'implémentation des changements peut prendre jusqu'à 72 heures.

DKIM n'est pas suffisant pour protéger votre domaine contre l'usurpation d'identité et les BEC. Améliorez la sécurité des e-mails de votre domaine en configurant le protocole DMARC pour Office 365.

Le déploiement tant attendu est enfin arrivé ! Microsoft envoie des rapports globaux DMARC RUA à ses utilisateurs et il est fort probable que vous ne l'ayez pas remarqué. Les rapports agrégés DMARC de Microsoft sont envoyés à partir de l'adresse électronique suivante : [email protected]. Le fichier brut d'agrégats Microsoft DMARC est envoyé au format standard XML. Microsoft a finalement adopté les rapports DMARC, ce qui signifie essentiellement que désormais les utilisateurs de Hotmail, Outlook, Live et msn.com pourront profiter des divers avantages des données agrégées Microsoft DMARC.

Traitement des données agrégées Microsoft DMARC

L'analyseur de rapports PowerDMARC analyse les données agrégées Microsoft DMARC dans un format organisé qui vous aidera à les traiter plus efficacement.  

Pour aider les utilisateurs à profiter des avantages des données de rapport agrégées envoyées par Microsoft, l'analyseur de rapport PowerDMARC analyseur de rapports DMARC a été préconfiguré pour recevoir leurs rapports directement sur la plateforme. Tout ce que les utilisateurs doivent faire est d'ajouter leurs domaines sur la plateforme PowerDMARC et de configurer l'enregistrement DNS DMARC, tandis que nous traitons et présentons les rapports de manière simple et compréhensible. Vous trouverez ici :

  • Les données agrégées DMARC envoyées par les adresses de destinataires Hotmail, Outlook, Live et msn.com sont analysées à partir du format de fichier XML brut en informations simples et lisibles organisées en tableaux.
  • PowerDMARC est préconfiguré pour contourner les violations RFC, ce qui nous permet de recevoir et d'analyser vos données DMARC envoyées par les serveurs Microsoft sans que vous ayez à vous en soucier.
  • Enregistrez plusieurs domaines, surveillez vos canaux de messagerie et effectuez des changements de DNS directement à partir du tableau de bord, avec des boutons d'action au bout des doigts.
  • Filtrez les résultats dans des catégories assorties telles que par résultat, par source d'envoi, par organisation, par pays, géolocalisation, et statistiques détaillées ou résultats de recherche par domaine dans la barre de recherche.
  • Obtenez des informations plus approfondies sur les performances de vos e-mails et repérez rapidement les tentatives d'usurpation de domaine, d'usurpation d'identité ou d'envoi de faux e-mails à l'aide de vos domaines professionnels Microsoft. Vous serez également en mesure d'analyser les échecs SPF et DKIM de vos sources d'envoi.

L'image ci-dessus est une capture d'écran de nos rapports agrégés DMARC par organisation affichant les données DMARC RUA envoyées par Microsoft.

Problèmes que vous pourriez rencontrer en traitant vous-même les rapports globaux Microsoft DMARC.

Les courriels agrégés DMARC de Microsoft ne sont pas conformes au RFC.

Le principal problème auquel les utilisateurs ont été confrontés avec ces e-mails contenant des rapports envoyés par Microsoft est qu'ils ne sont pas conformes aux spécifications RFC pour les e-mails Internet. Alors que la RFC 5322, chapitre 2.1.1, stipule clairement qu'une ligne de caractères ne doit pas dépasser 78 caractères, les données de la pièce jointe BASE64 dans ces courriels agrégés Microsoft DMARC constituent une ligne continue sans retour à la ligne approprié qui dépasse la limite de 78 caractères. La violation de la RFC qui en résulte est la raison pour laquelle la plupart de ces courriels se retrouvent dans le journal de rejet de l'utilisateur au lieu d'être livrés dans sa boîte de réception. 

Les fichiers XML bruts sont difficiles à lire

Tout comme les données DMARC envoyées par toutes les organisations déclarantes, le fichier RUA brut est en langage de balisage extensible (XML), difficile à lire et à comprendre.

Conditions préalables à la réception de Microsoft DMARC RUA

Pour recevoir des rapports agrégés pour vos domaines sur outlook.com, vous devez vous assurer que vous avez un enregistrement PowerDMARC valide publié sur votre DNS, ainsi qu'une politique DMARC définie. Les organismes de reporting enverront alors les données des rapports agrégés à votre serveur web ou à votre adresse e-mail spécifiés. Cela vous aidera à obtenir une visibilité et une conformité DMARC sur vos fournisseurs de messagerie tiers sur lesquels vous n'auriez autrement aucun contrôle. 

Protégez vos domaines sur Microsoft Office365 et autres en commençant dès aujourd'hui votre parcours d'authentification des e-mails. Montez à bord avec une essai DMARC ou planifiez une démo DMARCet découvrez les avantages de la mise en œuvre d'une solide posture de sécurité des e-mails dans votre organisation !