Si les domaines externes figurant dans votre DMARC n'autorisent pas l'envoi de vos rapports, ce guide est fait pour vous. Saviez-vous que vous pouvez recevoir des rapports DMARC en dehors de votre propre domaine ? Il est possible d'envoyer vos rapports DMARC à une adresse électronique qui ne fait pas partie de votre propre domaine par le biais de la vérification externe de la destination DMARC. Si vous possédez le domaine entreprise.comvous pouvez envoyer vos rapports à une adresse (exemple) [email protected]alors que company.com n'a aucune autorité sur mailreports.net et qu'il s'agit de deux domaines totalement distincts.

Cependant, pour y parvenir, le domaine recevant le rapport (mailreports.net) doit donner son accord pour recevoir des rapports contenant les données DMARC de votre domaine (société.com). (entreprise.com).

La méthode qui rend cela possible est appelée "vérification de domaine externe". Aujourd'hui, nous allons voir en quoi elle consiste et comment elle vous aide dans votre démarche d'authentification.

Points clés à retenir

Vous pouvez recevoir des rapports DMARC à une adresse e-mail externe qui n'est pas associée à votre propre domaine par le biais de la vérification de domaine externe.
La vérification du domaine externe nécessite le consentement explicite du domaine destinataire du rapport afin d'empêcher tout accès non autorisé aux rapports DMARC.
Sans vérification externe du domaine, des acteurs malveillants pourraient détourner les enregistrements DMARC pour envoyer des rapports sensibles à des destinataires involontaires.
La publication d'enregistrements DMARC spécifiques dans le domaine externe permet de faciliter efficacement le processus de vérification de la destination externe.
L'utilisation d'entrées génériques pour la livraison externe peut présenter des risques, car elles permettent à n'importe quel domaine d'envoyer des rapports, ce qui risque de submerger le domaine destinataire de spam.

Vérification de domaine externe DMARC - Expliqué

Disons que vous possédez le domaine compagnie.com et que vous avez activé DMARC pour votre domaine. Vous voulez maintenant recevoir des informations sur vos sources d'envoi d'e-mails par le biais de rapports agrégés DMARC, mais pour éviter de spammer la boîte de réception de vos domaines et sous-domaines internes, vous voulez rediriger ces rapports vers une destination externe, disons par exemple mailreports.net.

Il s'agit d'une tactique courante utilisée par les entreprises qui ont plusieurs domaines enregistrés, des tiers et un flux important d'informations vers et depuis leurs domaines.

Pour ce faire, votre enregistrement DMARC suivant ressemblerait à ceci :

v=DMARC1 ; quarantine; rua=mailto:[email protected]

[Pour créer gratuitement votre enregistrement personnalisé, utilisez notre générateur d'enregistrements DMARC outil]

La balise rua spécifie l'adresse électronique sur laquelle vous recevrez vos rapports DMARC. Notez maintenant que ce n'est pas parce que vous avez un enregistrement publié sur votre DNS demandant que vos données soient envoyées à mailreports.net, qu'il en sera ainsi. Ce n'est pas si simple.

Le domaine qui reçoit les rapports doit donner son accord numérique pour recevoir les rapports de société.comsinon les rapports ne peuvent pas être envoyés. C'est ce que l'on appelle la vérification externe du domaine ou la vérification externe de la destination (comme indiqué dans le document RFC 7489 7.1).

Simplifiez la vérification des destinations externes avec PowerDMARC !

15 jours d'essai Réservez une démo

Pourquoi la vérification externe de la destination est-elle nécessaire ? Menaces et vulnérabilités potentielles

Les raisons suivantes peuvent vous inciter à opter pour la vérification externe de domaine :

Les domaines externes figurant dans votre DMARC n'autorisent pas l'envoi de vos rapports.
Vous êtes propriétaire d'un domaine qui n'exploite pas de serveurs de messagerie.
Sans vérification du domaine externe, les cyberattaquants peuvent facilement créer un enregistrement DMARC mentionnant un domaine externe (d'une victime) pour recevoir des rapports. Les rapports de tous les mauvais courriels envoyés par l'attaquant inondent alors la boîte de réception de la victime.

Grâce à la vérification de la destination externe, les acteurs de la menace peuvent être empêchés d'accomplir leurs actes malveillants, et les propriétaires de domaines peuvent acheminer les rapports vers un domaine externe qui exploite des serveurs de messagerie.

Comment fonctionne la vérification externe de domaine ?

Vérification des destinations des rapports externes

Lorsqu'un domaine pour lequel un enregistrement DMARC a été publié envoie un courriel, le serveur de réception du courriel vérifie si le domaine organisationnel pour lequel l'enregistrement a été publié correspond exactement au domaine organisationnel mentionné dans la balise rua (ou ruf) de l'enregistrement DMARC.

S'il n'y a pas de correspondance, et si un domaine externe a été spécifié pour recevoir les rapports, le processus de vérification est lancé.

Pour ce faire, le DNS de l'hôte recevant le rapport est interrogé pour vérifier s'il a consenti à recevoir les rapports. Si un enregistrement DMARC l'attestant est trouvé dans son DNS, la vérification passe et les rapports sont envoyés au domaine externe. Si elle échoue, les rapports ne sont pas envoyés.

Parfois, en raison d'un dépassement de délai DNS et d'autres problèmes mineurs, une erreur temporaire peut se produire, empêchant les serveurs de réception de terminer temporairement le processus de vérification de la destination externe. Ce processus est toutefois réessayé ultérieurement.

Configurations de la vérification des destinations externes pour des domaines (et sous-domaines) spécifiques

Reprenons notre exemple précédent pour déterminer comment faire en sorte que votre processus de vérification des destinations externes ne renvoie pas un résultat d'erreur pour vos domaines et sous-domaines spécifiques.

Exemple de nom de domaine : company.com

Exemple de domaine de réception de rapport externe : mailreports.net

Un enregistrement DNS DMARC avec les informations suivantes doit être publié sur le domaine mailreports.net :

Champ	Description	Valeur
Hôte	C'est ici que vous publiez l'enregistrement sur	société.com._report._dmarc.mailreports.net
Valeur	La valeur de votre enregistrement TXT	v=DMARC1 ;

Note: Remplacez les noms de domaine par votre propre domaine et tout domaine externe sur lequel vous souhaitez recevoir vos rapports. Cet enregistrement ne doit PAS être publié sur votre domaine, mais sur le domaine externe auquel vous voulez envoyer vos rapports.

Et le tour est joué ! Lors de la vérification de la destination externe, les serveurs de réception d'e-mails seront informés que votre domaine externe préféré mentionné dans la balise rua ou ruf consent en fait à recevoir des rapports DMARC au nom de votre domaine.

Configurations optionnelles pour la vérification des destinations externes

Au lieu de publier l'enregistrement susmentionné pour donner l'autorisation à des domaines spécifiques d'envoyer des rapports à leur adresse, les domaines externes utilisent souvent un enregistrement de type enregistrement joker (qui commence par un astérisque "*").

Il s'agit simplement d'un raccourci pour éviter tout effort supplémentaire, car un enregistrement joker indique essentiellement que le domaine externe consent à recevoir des rapports DMARC pour TOUT domaine. domaine externe consent à recevoir des rapports DMARC de N'IMPORTE QUEL domaine (et pas seulement le vôtre). (et pas seulement de votre domaine spécifique).

Voici la syntaxe (exemple) d'un enregistrement joker utilisé pour la vérification d'un domaine externe :

Champ	Description	Valeur d'enregistrement du joker
Hôte	C'est ici que vous publiez l'enregistrement sur	*._report._dmarc.domain.com
Valeur	La valeur de votre enregistrement TXT	v=DMARC1 ;

Risques potentiels liés à l'utilisation de caractères génériques

L'utilisation d'entrées joker pour la vérification de domaines externes n'est pas une pratique recommandée et comporte des risques potentiels. En effet, lorsqu'un domaine consent à recevoir des rapports de n'importe quel domaine, des acteurs malveillants peuvent s'en servir pour spammer des comptes de messagerie avec des rapports en masse provenant de domaines malveillants sans qu'aucun mécanisme ne soit en place pour réguler ou filtrer les rapports. Cette situation peut être potentiellement préjudiciable au domaine qui reçoit les rapports, mais aussi vous causer des problèmes si vous utilisez ce domaine pour recevoir vos propres rapports.

Comment gérons-nous la vérification des domaines externes à PowerDMARC ?

Pour les clients qui ont créé un compte PowerDMARC et qui reçoivent des rapports sur l'analyseur de rapports analyseur de rapports DMARC le tableau de bord n'a pas à se soucier de la vérification du domaine externe, car nous nous en chargeons pour vous. Tous les rapports envoyés par les récepteurs sont automatiquement acheminés et envoyés à notre plateforme, soigneusement analysés et organisés pour que vous puissiez les consulter sans que vous ayez à publier des enregistrements afin de rationaliser le processus de vérification des destinations externes. Il vous suffit de spécifier notre adresse rua (ou ruf) personnalisée dans votre enregistrement DMARC.

Inscrivez-vous dès maintenant pour faciliter votre processus de validation des destinations externes et de mise en œuvre de DMARC grâce à un essai gratuit de essai DMARC gratuit.

À propos de
Derniers messages

Ahona Rudra

Expert en sécurité des domaines et des courriels chez PowerDMARC

Ahona est la responsable du marketing chez PowerDMARC, avec plus de 5 ans d'expérience dans l'écriture sur des sujets de cybersécurité, spécialisée dans la sécurité des domaines et des courriels. Ahona est titulaire d'un diplôme de troisième cycle en journalisme et communication, solidifiant sa carrière dans le secteur de la sécurité depuis 2019.

Derniers messages de Ahona Rudra (voir tous)

Qu'est-ce que le DMARC "External Destination Verification" ? | Recevoir des rapports DMARC en dehors de votre domaine