Lorsqu'un courriel est envoyé via une liste de diffusion, l'identité de l'expéditeur initial est cachée. Cela signifie que la politique DMARC pour tous les domaines impliqués dans la liste de diffusion ne peut pas être utilisée pour identifier le domaine expéditeur ou déterminer s'il doit être considéré comme légitime en utilisant l'authentification SPF. Ce problème peut toutefois être résolu.
Qu'est-ce qu'une liste de diffusion ?
Si le terme "liste de diffusion" ne vous est pas encore familier, il s'agit d'un groupe de personnes qui reçoivent des informations de votre part par courrier électronique. Vous pouvez créer une liste de diffusion dans n'importe quel but, mais le plus souvent, elle est utilisée pour envoyer des bulletins d'information ou des mises à jour concernant votre entreprise.
Exemple: MailChimp Email Builder
Les listes de diffusion peuvent être utilisées à de nombreuses fins :
- Ils vous permettent d'envoyer des bulletins d'information et des promotions sans avoir à vous soucier des filtres anti-spam ou de vous tromper d'adresse électronique (ou pire, d'envoyer accidentellement des courriels à la mauvaise personne).
- Ils vous permettent d'entrer en contact avec des clients potentiels qui ne verraient normalement pas votre publicité.
- Ils peuvent vous aider à instaurer un climat de confiance avec vos abonnés en leur fournissant des informations exclusives qu'ils ne trouveront nulle part ailleurs (comme des aperçus de nouveaux produits ou des réductions sur des achats futurs).
Comment fonctionne DMARC ?
DMARC utilise quelques méthodes différentes pour identifier le domaine expéditeur et vérifier s'il doit être considéré comme légitime :
- L'enregistrement SPF (Sender Policy Framework) identifie les adresses IP autorisées à envoyer des courriels avec un nom de domaine particulier. Un enregistrement SPF peut également inclure des informations sur les sous-domaines.
- L'enregistrement DNS DomainKeys Identified Mail (DKIM) contient des informations sur les clés cryptographiques utilisées par ce domaine pour signer les messages et vérifier leurs signatures. Les courriels portant une signature DKIM valide seront livrés ; ceux qui ne le sont pas ne seront pas livrés ou leurs en-têtes pourront être modifiés de sorte qu'ils seront marqués comme spam par les clients de messagerie des destinataires.
Comment l'utilisation des listes de diffusion peut-elle affecter vos politiques DMARC ?
Si votre fournisseur de services de marketing par courriel utilise DMARC pour protéger vos courriels, vous êtes en bonne position. Mais il arrive que des problèmes se posent lorsque les courriels sont envoyés par l'intermédiaire de listes de diffusion ou de plates-formes tierces.
Visualisons le flux d'e-mails en utilisant une liste de diffusion :
Étant donné que le flux de courrier n'est pas direct et passe par un serveur de liste intermédiaire pour atteindre les boîtes de réception des membres de votre liste, les informations de l'en-tête et du corps du message sont modifiées pendant le transfert.
Cela mène à :
- Échec du SPF en raison d'une adresse de retour altérée
- Échec de la procédure DKIM en raison de modifications apportées au corps du message
Comment contourner le problème des listes de diffusion ?
1. Configurez votre politique DMARC à none
Si vous voulez vous assurer que vos courriels ne sont pas rejetés en raison d'un échec de la vérification SPF ou DKIM lorsqu'ils sont envoyés via une liste de diffusion, vous pouvez configurer votre politique DMARC à aucun moment. Cela vous permet d'envoyer vos courriels dans les boîtes de réception des membres de votre liste, même si l'authentification échoue.
Une mise en garde s'impose : Cependant, il est important de se rappeler qu'une politique souple comme p=none ne vous protégera pas contre les attaques d'usurpation de marque comme le phishing et l'usurpation d'identité.
2. Indiquez les adresses IP de tous les serveurs de listes intermédiaires dans l'enregistrement SPF de votre domaine.
Une autre façon de vous assurer que vos courriels n'échouent pas à l'authentification est de spécifier les adresses IP de tous les serveurs de listes intermédiaires dans l'enregistrement SPF de votre domaine. Cela aidera votre destinataire à les identifier comme des expéditeurs légitimes pour votre domaine lors d'une recherche SPF.
Remarque : Les domaines et les IP de tiers peuvent augmenter le nombre de consultations DNS par session et vous faire dépasser rapidement la limite spécifiée par le RFC pour SPF. Pour vous assurer que vous restez toujours en dessous de la limite, configurez une fonction de outil d'aplatissement SPF pour votre domaine.
3. Utilisation de la chaîne reçue authentifiée (ARC)
ARC permet d'éviter les échecs d'authentification déclenchés par les listes de diffusion en conservant un suivi en direct des en-têtes et des signatures originales d'un courriel tout au long du processus de livraison du message. Cela permet aux serveurs de réception des courriels de valider correctement les expéditeurs, sans faux négatifs.
- Comment les outils de pentest automatisés révolutionnent la messagerie électronique et la cybersécurité - 3 février 2025
- Étude de cas MSP : Hubelia simplifie la gestion de la sécurité du domaine client avec PowerDMARC - 31 janvier 2025
- Les 6 meilleures solutions DMARC pour les MSP en 2025 - 30 janvier 2025