Alignement DMARC : Modes d'alignement stricts et détendus
L'activation de DMARC met en place une série de contrôles pour déterminer si un courriel provient de la source déclarée. DMARC offre une flexibilité incroyable en termes de politiques et de modes d'alignement qui peuvent être configurés par le propriétaire du domaine, afin de modeler le niveau de sécurité qu'il souhaite atteindre.
DMARC affirme que le nom de domaine ajouté aux différentes parties d'un message électronique est correctement aligné, ce qui indique que le message est légitime et qu'il n'est pas susceptible de faire partie d'une tentative d'hameçonnage ou d'usurpation d'identité.
Qu'est-ce que l'alignement DMARC ?
L'alignement DMARC est le processus d'alignement (ou de correspondance) des domaines sous différentes sections de l'en-tête de votre courrier électronique lors des contrôles d'authentification afin de garantir que vos courriels sont légitimes et protégés contre une série d'attaques de fraude par courrier électronique, telles que le phishing, le spoofing, les ransomwares, etc.
Le protocole d'authentification DMARC vérifie l'alignement des identifiants DMARC pour déterminer si un domaine de courrier électronique est potentiellement usurpé. Lors de la validation de votre courrier électronique, DMARC vérifie trois identifiants :
- L'en-tête From :
- L'adresse de la voie de retour
- Le nom de domaine dans la signature DKIM
Si les identifiants SPF ou DKIM sont alignés, le courrier électronique obtient l'alignement DMARC, passe l'authentification DMARC et est livré en toute sécurité dans la boîte de réception de l'utilisateur.
Comment fonctionne l'alignement DMARC ?
Pour comprendre l'alignement de DMARC, nous devons comprendre comment il fonctionne. Lorsque vous mettez en œuvre DMARC, vous liez les résultats de SPF et DKIM pour authentifier tous les e-mails provenant de votre domaine. Pour un courriel donné, DMARC utilise ce que l'on appelle "l'identité centrale", c'est-à-dire le domaine figurant dans l'en-tête From :. Ce domaine est considéré comme le domaine d'origine de votre message et contient le nom de domaine de votre organisation.
Lorsqu'un courriel provenant de votre domaine atteint le serveur de réception, SPF vérifie son chemin de retour et DKIM valide la signature cryptée. Ces deux contrôles sont effectués séparément sur deux domaines différents. DMARC prend le résultat de l'authentification de chacun et vérifie si le domaine utilisé dans SPF ou DKIM correspond au domaine From : (l'identité centrale). Si l'un ou l'autre est vrai, l'alignement DMARC est réalisé.
Cependant, il y a un petit problème. N'importe qui, y compris des criminels, peut acheter un domaine et mettre en œuvre SPF et DKIM. En théorie, il devrait donc être possible pour quelqu'un d'envoyer un courrier électronique avec le domaine de votre organisation dans l'adresse From : (l'identité centrale) et d'avoir le Return Path de son propre domaine afin de passer l'authentification SPF. Les utilisateurs ne voient généralement que l'adresse From : et non le chemin de retour, de sorte qu'ils ne se rendent même pas compte qu'il y a une différence entre les deux.
DMARC Relaxed Alignment : Configuration des correspondances de domaines de premier niveau
Les alignements SPF et DKIM ont deux types d'alignement : relaxed et strict. Si l'alignement relaxed est configuré pour les deux, cela signifie essentiellement que vous avez mis en œuvre l'alignement relaxed pour votre implémentation DMARC globale.
Pour SPF et DKIM, dans une configuration détendue, même si le domaine dans l'en-tête From et les domaines dans les en-têtes Return-path (pour SPF) et DKIM signature (pour DKIM) sont une correspondance organisationnelle - l'alignement DMARC est une correspondance. Par conséquent, dans ce scénario, même les sous-domaines seront alignés sur le DMARC.
Exemple d'alignement détendu DMARC
v=DMARC1 ; p=reject ; rua=mailto:[email protected] ; aspf=r ; adkim=r
Les balises DMARC "aspf" et "adkim" sont les balises d'alignement respectives pour définir le mode de votre choix, et "r" signifie relaxed.
Alignement strict DMARC : Configuration des correspondances exactes de domaines
Si les propriétaires du domaine activent l'alignement strict à la fois pour SPF et DKIM, cela signifie essentiellement que vous avez mis en œuvre l'alignement strict pour votre implémentation DMARC globale.
Pour les deux protocoles, dans une configuration stricte, ce n'est que si le domaine dans l'en-tête From et les domaines dans les en-têtes Return-path (pour SPF) et DKIM signature (pour DKIM) correspondent exactement - que l'alignement DMARC est une correspondance. Par conséquent, dans ce scénario, les sous-domaines ne seront pas alignés sur le DMARC.
Exemple d'alignement détendu DMARC
v=DMARC1 ; p=reject ; rua=mailto:[email protected] ; aspf=s ; adkim=s
Les balises DMARC "aspf" et "adkim" sont les balises d'alignement respectives pour définir le mode de votre choix, et "s" signifie strict.
Relaxed Vs Strict : Quel est le meilleur mode d'alignement DMARC ?
Le choix entre les modes d'alignement DMARC relaxe et strict dépend des politiques d'authentification du courrier électronique de votre organisation, de votre tolérance aux faux positifs et de vos objectifs globaux en matière de sécurité.
Le mode relaxé offre plus de flexibilité et est moins susceptible de produire des faux positifs. Il peut être utile lorsque plusieurs systèmes ou services de messagerie envoient des courriels au nom de votre domaine et qu'ils peuvent utiliser des sous-domaines différents. Cependant, il est également moins strict et peut laisser passer certains courriels présentant des différences mineures, ce qui peut laisser la place à des tentatives d'usurpation d'identité ou d'hameçonnage.
Le modèle Strict applique une politique d'alignement plus stricte, garantissant que le domaine exact dans l'en-tête "From" correspond aux domaines spécifiés dans SPF et DKIM. Bien que ce modèle offre une meilleure protection contre l'usurpation d'identité et l'hameçonnage, il peut être moins tolérant si votre infrastructure de messagerie utilise différents sous-domaines à des fins légitimes. La mise en œuvre d'un alignement strict peut nécessiter une configuration et un contrôle minutieux pour éviter de bloquer des courriels légitimes.
Comment surveiller les courriels en fonction d'un alignement DMARC strict ?
PowerDMARC vous aide à contrôler vos emails tout en respectant une politique d'alignement DMARC stricte grâce à notre analyseur DMARC de notre outil d'analyse DMARC. Nous vous aidons à suivre vos sources d'envoi d'emails, à vérifier les échecs d'alignement et à optimiser votre configuration d'authentification directement depuis notre tableau de bord.
Contactez nous aujourd'hui pour commencer !
- Méthodes de protection contre l'usurpation d'identité - 29 septembre 2023
- Le rôle du DNS dans la sécurité du courrier électronique - 29 septembre 2023
- Menaces d'hameçonnage d'un autre âge et comment les anticiper - 29 septembre 2023