L'activation de DMARC (Domain-based Message Authentication Reporting and Conformance) met en place une série de points de contrôle pour déterminer si un courriel provient de la source déclarée. DMARC offre une incroyable flexibilité en termes de politiques et de modes d'alignement qui peuvent être configurés par le propriétaire du domaine, afin de mouler le niveau de sécurité qu'il souhaite atteindre.
DMARC affirme que le nom de domaine ajouté aux différentes parties d'un message électronique est correctement aligné, ce qui indique que le message est légitime et qu'il n'est pas susceptible de faire partie d'une tentative d'hameçonnage ou d'usurpation d'identité.
Qu'est-ce que l'alignement DMARC ?
L'alignement DMARC est le processus d'alignement (ou de correspondance) des domaines sous différentes sections de l'en-tête de votre courrier électronique lors des contrôles d'authentification. Le DMARC s'aligne sur votre courrier électronique si le message réussit l'alignement des identifiants SPF et DKIM, ou les deux.
Pour garantir la légitimité de vos courriels et les protéger contre toute une série d'attaques de fraude par courriel (phishing, spoofing, ransomware, etc.).
Le protocole d'authentification DMARC vérifie l'alignement des identifiants DMARC pour déterminer si un domaine de courrier électronique est potentiellement usurpé. Lors de la validation de votre courrier électronique, DMARC vérifie trois identifiants :
- L'en-tête From
- L'adresse du chemin de retour
- Le nom de domaine dans la signature DKIM
Si les identifiants d'authentification SPF ou DKIM sont alignés, le courrier électronique obtient l'alignement DMARC, passe l'authentification DMARC et est livré en toute sécurité dans la boîte de réception de l'utilisateur.
Comment fonctionne l'alignement DMARC ?
Pour comprendre l'alignement DMARC, il faut comprendre comment il fonctionne. Lorsque vous mettez en œuvre DMARC, vous liez les résultats de SPF et DKIM pour authentifier tous les courriels provenant de votre domaine. Pour un courriel donné, DMARC utilise ce que l'on appelle l'"identité centrale", c'est-à-dire le domaine figurant dans l'en-tête "From". Ce domaine est considéré comme le domaine d'origine de l'e-mail et contient le nom de domaine de votre organisation.
Lorsqu'un courriel provenant de votre domaine atteint le serveur de réception, SPF vérifie son chemin de retour et DKIM valide la signature cryptée. Ces deux contrôles sont effectués séparément sur deux domaines différents. DMARC prend le résultat de l'authentification de chacun et vérifie si le domaine utilisé dans SPF ou DKIM correspond au domaine From (l'identité centrale). Si l'un ou l'autre est vrai, l'alignement DMARC est réalisé.
Cependant, il y a un petit problème. N'importe qui, y compris des criminels, peut acheter un domaine et mettre en œuvre SPF et DKIM. En théorie, il devrait donc être possible pour quelqu'un d'envoyer un courrier électronique avec le domaine de votre organisation dans l'adresse From : (l'identité centrale) et d'avoir le Return Path de son propre domaine pour passer l'authentification SPF. Les utilisateurs ne voient généralement que l'adresse From : et non le Return Path, de sorte qu'ils ne se rendent même pas compte qu'il y a une différence entre les deux.
Le rôle de l'alignement des identifiants SPF et DKIM
L'alignement de votre identifiant d'authentification indique si l'expéditeur de votre courriel est autorisé ou non à envoyer le courriel au nom de votre domaine. Cela peut être déterminé en vérifiant l'authenticité de l'e-mail par rapport à SPF (Sender Policy Framework) ou DKIM (DomainKeys Identified Mail). Les courriels alignés passent finalement les contrôles de vérification de l'expéditeur, qui peuvent être utilisés comme exemple de base par les serveurs de messagerie de réception pour délimiter les courriels malveillants ou non autorisés et les filtrer.
Chez PowerDMARC, nous allons encore plus loin en alignant vos messages sur les identifiants SPF et DKIM pour vous aider à atteindre une conformité DMARC de 100% pour vos emails tout en ayant une politique de p=rejet. Cela vous permet de constater des améliorations visibles dans la délivrabilité de vos emails, et d'observer des différences marquées dans vos taux de spam et de rebond en seulement quelques semaines avec un suivi adéquat et l'assistance de notre équipe d'assistance technique dédiée.
Quels sont les facteurs susceptibles d'affecter l'alignement des identifiants SPF et DKIM ?
- Les clients de messagerie et les fournisseurs de services de messagerie de vos fournisseurs tiers peuvent introduire des complications et des erreurs d'alignement.
- L'alignement de vos messages transférés risque d'échouer
Quelle est la solution ?
PowerDMARC vous aide à aligner correctement et précisément tous vos fournisseurs tiers et à modifier et mettre à jour facilement vos enregistrements sur le portail au fur et à mesure que vous ajoutez des services et des fournisseurs, afin de vous assurer que votre courrier électronique légitime a la plus grande probabilité d'atteindre vos clients.
PowerDMARC vous aide à configurer SPF, DKIM et ARC en même temps que DMARC pour résoudre ces scénarios délicats de transfert d'e-mails où des serveurs intermédiaires peuvent modifier vos e-mails, ce qui entraîne des échecs d'authentification non désirés.
L'interface intuitive de PowerDMARC vous permet de mettre facilement à niveau votre dossier de politique pour une application maximale, ce qui garantit que votre domaine est correctement protégé contre les attaques par usurpation d'adresse électronique et par hameçonnage.
Types d'alignement DMARC : Alignements d'identifiants stricts et détendus
L'alignement des identificateurs DMARC peut être de deux types, selon le niveau de sévérité et de précision avec lequel vous souhaitez effectuer vos contrôles d'authentification. Les voici :
1. Alignement assoupli DMARC
Les alignements SPF et DKIM ont deux types d'alignement : relaxed et strict. Si l'alignement relaxed est configuré pour les deux, cela signifie essentiellement que vous avez mis en œuvre l'alignement relaxed pour votre implémentation DMARC globale.
Pour SPF et DKIM, dans un mode d'alignement détendu, même si le domaine dans la commande Mail From et les domaines dans l'en-tête Return-path ou l'adresse e-mail de rebond (pour SPF) et la signature DKIM (pour DKIM) sont une correspondance organisationnelle - l'alignement DMARC est une correspondance. Par la suite, dans ce scénario, même les sous-domaines seront alignés sur DMARC.
L'e-mail devrait passer l'authentification DMARC du côté du destinataire de l'e-mail si le domaine de l'en-tête correspond à l'une ou l'autre des exigences d'alignement.
Exemple d'alignement détendu DMARC
v=DMARC1 ; p=reject ; rua=mailto : [email protected] ; aspf=r ; adkim=r
Paramètres d'alignement décodés : Les balises DMARC "aspf" et "adkim" sont les balises d'alignement respectives pour définir le mode de votre choix, et "r" signifie relaxed.
2. Alignement strict DMARC
Si les propriétaires du domaine activent l'alignement strict pour SPF et DKIM, cela signifie essentiellement que vous avez mis en place un mode strict pour votre implémentation DMARC globale.
Pour les deux protocoles, dans un mode d'alignement strict, la vérification de l'alignement DMARC ne se fait que si le domaine dans l'en-tête From et les domaines dans les en-têtes Return-path (pour SPF) et DKIM signature (pour DKIM) correspondent exactement. Par conséquent, dans ce scénario, les sous-domaines ne seront pas alignés par rapport à DMARC.
Alignement strict de DMARC avec des exemples
v=DMARC1 ; p=reject ; rua=mailto : [email protected] ; aspf=s ; adkim=s
Paramètres d'alignement décodés : Les balises DMARC "aspf" et "adkim" sont les balises de mode d'alignement respectives pour définir le mode de votre choix, et "s" représente l'objectif d'alignement, qui est strict.
Quel est le meilleur mode d'alignement DMARC ?
Le choix entre les modes d'alignement DMARC relaxé et strict dépend des politiques de votre organisation en matière de protocole d'authentification du courrier électronique, de votre tolérance aux faux positifs et de vos objectifs globaux de sécurité.
Le mode relaxé offre plus de flexibilité et est moins susceptible de produire des faux positifs. Il peut être utile lorsque plusieurs systèmes ou services de messagerie envoient des courriels au nom de votre domaine et qu'ils peuvent utiliser des sous-domaines différents. Cependant, il est également moins strict et peut laisser passer certains courriels présentant des différences mineures, ce qui peut laisser la place à des tentatives d'usurpation d'identité ou d'hameçonnage.
Le modèle Strict applique une politique d'alignement plus stricte, garantissant que le domaine exact dans l'en-tête "From" correspond aux domaines spécifiés dans SPF et DKIM. Bien que ce modèle offre une meilleure protection contre l'usurpation d'identité et l'hameçonnage, il peut être moins tolérant si votre infrastructure de messagerie utilise différents sous-domaines à des fins légitimes. La mise en œuvre d'un alignement strict peut nécessiter une configuration et un contrôle minutieux pour éviter de bloquer des courriels légitimes.
Comment surveiller les courriels en fonction d'un alignement DMARC strict ?
PowerDMARC vous aide à contrôler vos emails tout en respectant une politique d'alignement DMARC stricte grâce à notre analyseur DMARC de notre outil d'analyse DMARC. Nous vous aidons à suivre vos sources d'envoi d'emails, à vérifier les échecs d'alignement et à optimiser votre configuration d'authentification directement à partir de notre tableau de bord.
Contactez nous aujourd'hui pour commencer !
Comment vérifier l'alignement DMARC des courriels ?
Pour vérifier l'alignement DMARC de vos messages électroniques, vous pouvez vous inscrire sur le portail PowerDMARC et suivre les étapes ci-dessous :
- Aller à Rapports dans le menu principal
- Cliquez sur DMARC Aggregate Reports et développez la liste déroulante.
- Sélectionner un résultat dans la liste
- Surveillez vos sources d'envoi pour chaque résultat afin de visualiser la conformité DMARC et les détails de l'alignement pour chaque résultat individuel.
Quand l'alignement DMARC passe
L'alignement DMARC sera réussi pour le courriel si l'alignement de l'identifiant DKIM et/ou SPF est réussi,
Pourquoi l'alignement DMARC échoue-t-il ?
L'échec de l'alignement DMARC se produit lorsque ni les identifiants DKIM ni les identifiants SPF ne sont alignés pour le courrier électronique. Cela se produit généralement lorsque le domaine figurant dans l'en-tête Mail From ne correspond ni au domaine figurant dans l'en-tête return-path, ni au domaine figurant dans l'en-tête de signature DKIM.
Quelques informations importantes concernant l'alignement DMARC
Qu'est-ce qu'un domaine de retour ?
Un domaine de chemin de retour, également connu sous le nom d'adresse de rebond ou de domaine Envelope From, est le domaine qui recevra vos messages non délivrés ou rebondis. Lorsqu'un courriel est renvoyé ou ne parvient pas à être délivré, le champ d'en-tête caché contient le domaine Envelope From auquel le courriel est renvoyé. Même si, en tant que propriétaire de domaine, vous utilisez des services tiers pour acheminer vos messages électroniques, il est possible de remonter jusqu'au domaine parent à l'aide de l'adresse de rebond. Il s'agit d'une démarcation claire entre les messages envoyés par des acteurs malveillants et un véritable expéditeur animé de bonnes intentions.
Domaine SPF L'alignement SPF lors d'un contrôle DMARC est déterminé par le domaine dans l'adresse du chemin de retour.
Qu'est-ce qu'un domaine de signature DKIM ?
Un domaine de signature DKIM est le nom de domaine utilisé lors de la création des signatures DKIM pour vos messages, c'est-à-dire le domaine de signature. Lorsque la validation de l'alignement du domaine DKIM est en cours lors d'un contrôle DMARC, l'expéditeur vérifie si le domaine de signature DKIM est aligné avec le domaine From. L'alignement DMARC est réussi en mode DKIM détendu si le domaine organisationnel correspond. En mode DKIM strict, l'alignement DMARC ne réussit que si le domaine correspond exactement.
Comment la redirection des courriels affecte l'alignement DMARC
La redirection de serveurs de messagerie et de listes de discussion introduit des complications sur le chemin de l'alignement DMARC en réécrivant l'adresse de l'en-tête "from" à l'adresse du serveur de redirection, ainsi qu'en incluant de nouveaux éléments dans le corps et le contenu du message. Ces éléments entraînent des échecs de l'alignement SPF et de l'alignement DKIM, car l'identité du domaine Mail From ne correspond pas à l'adresse de rebond réécrite et au contenu modifié du message.
Comment surveiller les défaillances d'alignement ?
Pour contrôler l'alignement, vous pouvez activer les rapports agrégés et les rapports judiciaires (rapports de défaillance), ce qui vous aidera à contrôler et à atteindre vos objectifs d'alignement et à résoudre plus rapidement les problèmes de délivrabilité.
