Faux positifs DMARC : Causes, corrections et guide de prévention

Blog

Des courriels légitimes échouent aux contrôles DMARC ? Découvrez les principales causes de faux positifs DMARC et comment les corriger et les prévenir pour protéger la délivrabilité des e-mails.

par Ahona Rudra

Temps de lecture : 6 min
Faux positifs DMARC : Causes, corrections et guide de prévention
Table des matières-

DMARC est un protocole d'authentification du courrier électronique qui s'appuie sur SPF et DKIM. Il permet aux propriétaires de domaines de spécifier comment les serveurs de messagerie destinataires doivent traiter les courriels qui échouent à l'authentification. Les principales règles DMARC sont les suivantes : aucune, quarantine ou rejet. Elles vous permettent de déterminer si les courriels non authentifiés doivent être délivrés, envoyés dans les spams ou bloqués.

Un faux positif DMARC se produit lorsqu'un courriel légitime est marqué à tort comme un "échec". Cela peut être dû à de mauvaises configurations et à des lacunes dans les paramètres SPF, DKIM ou DMARC. Les causes les plus courantes sont les domaines mal alignés, les signatures DKIM manquantes ou les politiques trop strictes appliquées sans contrôle adéquat. En raison de ces lacunes, des courriers électroniques professionnels peuvent être perdus ou redirigés vers des spams. Cela peut avoir un impact significatif sur les activités de l'entreprise, l'efficacité de la communication et l'image de marque.

Points clés à retenir

  • On parle de faux positifs DMARC lorsque des courriels légitimes échouent aux contrôles DMARC en raison de mauvaises configurations ou de problèmes d'alignement.
  • Ces défaillances peuvent entraîner des problèmes de livraison et de délivrabilité du courrier électronique, une atteinte à la réputation, une réduction du retour sur investissement, etc. 
  • Les causes courantes de faux positifs DMARC sont les suivantes le mauvais alignement SPF ou DKIM, la redirection d'e-mails, les clés DKIM expiréesexpirées, et les expéditeurs tiers non autorisés.
  • Les signes de faux positifs peuvent apparaître dans les rapports d'échec DMARC, les journaux de rebond, ou par le rejet inattendu de courriels internes ou de partenaires. 
  • Vous pouvez réduire ou éliminer les faux positifs en contrôlant et en ajustant les politiques DMARC, en autorisant les services tiers et en gérant la redirection des courriels.

Pourquoi les faux positifs DMARC se produisent-ils ?

Les faux positifs de DMARC peuvent provenir d'un grand nombre de facteurs.

Mauvaise gestion des enregistrements DNS

Les enregistrements DNS servent d'instructions pour aider les destinataires du courrier électronique à valider les authentifications SPF, DKIM et DMARC. Ils permettent à DMARC de trouver les bonnes adresses pour vérifier l'authenticité et la légitimité des expéditeurs de courrier électronique. En gérant correctement vos enregistrements DNS SPF, DKIM et DMARC, vous vous assurez que les serveurs de réception peuvent authentifier correctement vos courriels. Sans enregistrement DMARC, les destinataires d'e-mails n'appliqueront pas la politique DMARC, ce qui rendra votre domaine vulnérable à l'usurpation d'identité.

Désalignement SPF/DKIM

DMARC exige que le domaine figurant dans l'en-tête "From" corresponde aux domaines utilisés pour l'authentification SPF et DKIM. Si vos politiques d'alignement sont trop strictes, des courriels légitimes peuvent être rejetés en cas de différence entre ces domaines. Plus précisément, lorsque le domaine authentifié par SPF (généralement à partir du chemin de retour) ou le domaine de signature DKIM ne correspond pas à l'adresse "From", le DMARC peut échouer. 

Transfert d'e-mail

Les courriers électroniques transférés passent souvent par des serveurs intermédiaires qui ne figurent pas dans l'enregistrement SPF de l'expéditeur. Cela peut entraîner l'échec de SPF. Le transfert interrompt généralement SPF, mais les signatures DKIM survivent généralement, à moins que le transitaire ou la liste de diffusion ne modifie le message (en ajoutant des pieds de page ou des en-têtes, par exemple). Les lacunes dans SPF ou DKIM peuvent entraîner l'échec de DMARC. 

Listes de diffusion

Les listes de diffusion impliquent parfois de modifier les messages électroniques en ajoutant des pieds de page ou des en-têtes. Elles peuvent même réécrire complètement l'adresse "From". Ces modifications rompent les signatures DKIM et entraînent un désalignement SPF. En effet, l'adresse de rebond de la liste de diffusion diffère de celle de l'expéditeur d'origine. DMARC échoue.

Clés DKIM expirées ou ayant fait l'objet d'une rotation

Les clés DKIM n'expirent pas automatiquement, mais elles doivent être renouvelées régulièrement. Certaines signatures DKIM peuvent inclure une balise x= qui fixe un délai d'expiration de la signature, bien que cette balise soit facultative et peu appliquée. Une gestion minutieuse est nécessaire pendant la rotation des clés pour garantir que les clés publiques restent publiées jusqu'à ce que tous les courriels signés avec l'ancienne clé aient été livrés.

Utilisation d'une adresse IP dynamique 

Il n'est pas du tout surprenant que DMARC fonctionne mieux avec des adresses IP stables. Les adresses IP dynamiques se déplacent souvent et rendent difficile l'accès à la destination prévue. C'est pourquoi une adresse IP dynamique est plus susceptible d'être bloquée par les services d'évaluation de la réputation des messages électroniques. De plus, une adresse IP dynamique est susceptible d'avoir des enregistrements DNS inversés incohérents. Cela les rend plus problématiques et donne la préférence aux adresses IP stables. 

Expéditeurs tiers non autorisés

Les courriers électroniques envoyés par des tiers qui ne figurent pas dans les enregistrements SPF ou DKIM du domaine échoueront très probablement à l'authentification. Cela peut entraîner l'échec de DMARC et déclencher des faux positifs même si ces expéditeurs sont légitimes ; s'ils ne sont pas correctement autorisés, il ne suffit pas d'être légitime. 

Comment détecter les faux positifs DMARC ?

Voici quelques moyens de détecter les faux positifs DMARC. 

Rapports agrégés DMARC (RUA)

Lorsque vous consultez vos rapports DMARC agrégés (RUA) (RUA)vous pouvez facilement voir et suivre les tendances de réussite et d'échec de vos communications par courrier électronique. Ces rapports au format XML sont envoyés chaque jour à l'adresse que vous avez mentionnée dans votre enregistrement DMARC. Ils comprennent un résumé de vos résultats d'authentification pour SPF et DKIM, ce qui vous permet de détecter toute augmentation inhabituelle du nombre d'échecs. Une telle augmentation inattendue peut être un bon indicateur de faux positifs.

Rapports médico-légaux (RUF)

L'activation des rapports DMARC forensic (RUF) vous fournira des diagnostics détaillés et en temps réel sur tous les courriels qui échouent aux contrôles DMARC. Les rapports sont très complets et comprennent des informations au niveau du message. Ils peuvent inclure des données sur l'expéditeur, le sujet et les résultats de l'authentification. Grâce à la richesse des données contenues dans ces messages, il devient beaucoup plus facile d'identifier les messages légitimes qui sont envoyés dans les spams ou rejetés.

Journaux de rebond des courriels

La vérification des journaux de rebond ou de rejet de votre serveur de messagerie est une autre bonne méthode pour repérer les faux positifs. Si les rebonds se répètent ou si vous constatez des rejets fréquents d'e-mails internes ou de partenaires, il se peut que votre écosystème de messagerie souffre de faux positifs DMARC.

Symptômes courants

Vos courriels légitimes, internes ou de partenaires, disparaissent-ils ou sont-ils rejetés sans raison ? Si vous constatez toujours des échecs de livraison alors que vous avez correctement configuré les enregistrements SPF, DKIM et DMARC, il s'agit là d'un autre signe de faux positifs.

Comment corriger et prévenir les faux positifs DMARC

Il existe plusieurs méthodes efficaces pour prévenir et/ou corriger les faux positifs. 

Assurer l'alignement SPF/DKIM

Pour SPF, veillez à ce que le domaine Return-Path (MAIL FROM) corresponde à l'adresse From visible. Pour DKIM, veillez à ce que le domaine d= corresponde à l'adresse From visible. Vous pouvez également envisager de passer d'un alignement strict à un alignement détendu. l'alignement strict à l'alignement détendu si vous avez besoin d'une solution simple pour résoudre le problème des faux positifs.

Autoriser les services de tiers

Une autre bonne méthode consiste à mettre à jour vos enregistrements SPF pour y inclure tous les expéditeurs tiers légitimes. Vous pouvez le faire en utilisant le mécanisme d'inclusion ou en listant leurs adresses IP d'envoi. Assurez-vous que ces fournisseurs génèrent des clés DKIM pour votre domaine ou sous-domaine et qu'ils publient les clés publiques dans votre DNS. 

Veillez à ce que vos enregistrements DNS soient bien gérés 

Pour gérer correctement vos enregistrements DNS, vous pouvez toujours utiliser un outil de recherche DNS pour vérifier la disponibilité d'un enregistrement DMARC. Il doit s'agir d'un enregistrement TXT avec votre nom de domaine actuel.

Il serait également utile de vérifier la syntaxe de votre enregistrement DMARC, afin que toutes les directives soient correctement formatées et utilisent la bonne ponctuation (c'est-à-dire les points-virgules). 

Gestion de la redirection des courriels

Nous avons déjà appris que le transfert peut rompre SPF et DKIM. Afin d'éviter ce problème, vous devriez mettre en œuvre l'ARC(Authenticated Received Chain). Cela permet de préserver les résultats de l'authentification à travers les sauts de transmission. Vous pouvez également configurer les services de transfert pour qu'ils ajouter des signatures DKIMce qui permet d'éviter les faux positifs, tout en effectuant le transfert.

Tirer parti d'une bonne gestion des sous-domaines 

Un bon déploiement DMARC englobe non seulement le domaine, mais aussi le traitement des sous-domaines. Cela signifie que vous devez configurer des enregistrements SPF, DKIM et DMARC pour chacun des sous-domaines et spécifier clairement les politiques DMARC correspondantes. 

Contrôler et ajuster les politiques

Enfin, il est important de savoir ce qu'est la politique politique DMARC que vous utilisez à chaque étape de votre parcours de mise en œuvre du DMARC. Par exemple, alors qu'une politique DMARC stricte (p=reject) peut s'avérer nécessaire dans les phases ultérieures, il est recommandé de commencer par une politique DMARC plus souple, comme p=none. Le fait de commencer par une politique plus souple peut vous aider à collecter des données et à identifier les faux positifs.

Une fois que vous disposez des informations nécessaires, vous pouvez progressivement passer à la quarantine et finalement au rejet. Mais ne le faites que lorsque vous êtes certain que toutes les sources légitimes sont correctement authentifiées.

Meilleures pratiques pour réduire les faux positifs

Voici une liste de contrôle rapide que vous pouvez utiliser pour réduire, voire éliminer, les faux positifs :

  1. Ne passez pas directement à p=reject lorsque vous n'avez pas encore effectué suffisamment de contrôles et de tests. Une mise en œuvre patiente et progressive de DMARC peut vous aider à éviter les maux de tête liés au fait que des courriels légitimes atterrissent dans des spams. 
  2. Vérifiez et mettez régulièrement à jour vos enregistrements DNS pour SPF, DKIM et DMARC. Vous vous assurerez ainsi que tous les expéditeurs légitimes sont couverts. 
  3. Testez toujours votre configuration à l'aide de vérificateurs DMARC avant d'appliquer des politiques strictes telles que p=reject. Outre l'utilisation de vérificateurs en ligne, veillez également à examiner attentivement les rapports afin d'identifier toute erreur ou lacune.
  4. Évitez les adresses IP dynamiques (vous savez déjà pourquoi !). 
  5. Collaborer avec fournisseurs tiers (tels que les CRM et les ESP) pour s'assurer que leurs pratiques d'envoi sont conformes à DMARC et autorisées pour votre domaine.

Résumé 

Les faux positifs peuvent être vraiment ennuyeux, mais en réalité, ils sont plus faciles à résoudre que vous ne l'imaginez. Un alignement correct, une surveillance attentive et une mise en œuvre progressive des politiques DMARC peuvent vous aider à les détecter et à les prévenir à temps. N'oubliez pas non plus d'auditer vos rapports DMARC et d'ajuster les configurations pour une mise en œuvre du DMARC et une livraison ou une délivrabilité des courriels sans problème. 

Commencer à utiliser PowerDMARC l'analyseur DMARC gratuit de PowerDMARC pour surveiller tous les protocoles d'authentification de votre courrier électronique sous un même toit et vous débarrasser des faux positifs !

CTA

Derniers messages de Ahona Rudra (voir tous)
Le gouvernement néo-zélandais rend obligatoire l'utilisation de DMARC dans le cadre du nouveau système de messagerie électronique sécuriséeCourrier électronique sécurisé du gouvernementÉtude de cas DMARC MSP : Comment PrimaryTech a simplifié la sécurité du domaine client avec...