DMARC pour les nuls

DMARC pour les nuls 1

Je suis sûr que vous avez entendu parler de DMARCmais savez-vous ce que c'est ? Ce guide DMARC pour les nuls s'adresse à tout le monde (techniciens et non techniciens). Il vous expliquera les bases de DMARC dans un anglais simple.

Beaucoup de gens sur Internet sont curieux du concept de sécurité de l'information et de l'authentification des e-mails, mais trouvent les protocoles difficiles à comprendre et à mettre en œuvre. Nous sommes réunis ici aujourd'hui pour faire savoir à tous combien il est facile de configurer DMARC et de démystifier certains mythes courants qui l'entourent.  

DMARC expliqué en langage clair

Qu'est-ce que DMARC ?? Si nous développons l'acronyme, le terme DMARC signifie Domain-based Message Authentication, Reporting, and Conformance (authentification, notification et conformité des messages basés sur un domaine). Il s'agit d'une politique de sécurité du courrier électronique qui permet aux expéditeurs de spécifier des règles sur la manière dont leur courrier doit être traité lorsqu'il est reçu par un serveur de réception.

Par exemple, si vous utilisez une plateforme d'automatisation du marketing, vous pouvez définir une règle qui dit : "Si l'e-mail provient de Gmail, acceptez-le." Et vous pouvez ensuite définir une autre règle qui dit : "Si l'e-mail provient de Hotmail, il faut le rejeter." De cette façon, si quelqu'un reçoit une réponse de Hotmail mais pas de Gmail, il saura que son message n'a pas été livré correctement - et il pourra prendre des mesures pour y remédier.

C'est aussi un moyen pour les organisations de se protéger contre les attaques de phishing en s'assurant que les courriels qu'elles reçoivent sont légitimes.

Comment cela fonctionne-t-il ?

 Si le courriel est faux, DMARC vous le fera savoir.

Voici comment cela fonctionne : Un domaine expéditeur (par exemple, entreprise.com) publie un enregistrement DNS auprès de son registraire de domaine qui indique quelle est sa politique : quels types d'e-mails il accepte et rejette, et où ces e-mails doivent être envoyés s'ils sont rejetés. Ensuite, lorsque quelqu'un envoie un courriel au nom de votre entreprise en utilisant DMARC, le serveur récepteur vérifie si une politique valide est en place avant de l'accepter. Si ce n'est pas le cas, le serveur de réception peut soit rejeter le message, soit le mettre en quarantaine jusqu'à ce qu'il soit vérifié par une personne de votre entreprise qui sait ce qu'il en est, soit le détruire purement et simplement !

Pourquoi devrais-je me soucier de ça ?

Si vous êtes une entreprise qui utilise le marketing par courriel, vous devez savoir comment mettre correctement en œuvre le protocole DMARC. Il permet d'éviter l'usurpation d'identité et le phishing, ce qui signifie qu'il peut protéger vos clients contre l'escroquerie. Il permet également de préserver et de maintenir la réputation de votre marque en garantissant que tous les courriels envoyés sont légitimes, afin que les gens sachent qu'ils peuvent vous faire confiance.

Pour résumer, 

  • Il empêche les courriels des usurpateurs, qui envoient des courriels en prétendant provenir de votre domaine.
  • Il contribue à protéger votre marque contre les attaques de phishing en empêchant l'usurpation d'identité par courriel.
  • Il vous permet de mieux contrôler la manière dont les courriels légitimes sont transmis aux destinataires.

Guide DMARC pour les nuls à l'intention des entreprises

Essentiels et conditions préalables de DMARC 

À un haut niveau, il y a trois choses que vous devez faire pour mettre en œuvre DMARC :

  1. Créez un enregistrement DNS qui pointe vers l'enregistrement SPF de votre serveur de messagerie.
  2. Créez un enregistrement DNS qui pointe vers l'enregistrement de clé DKIM de votre serveur de messagerie.
  3. Configurer SPF et DKIM sur votre serveur de courrier électronique

Note: Il n'est pas obligatoire de mettre en œuvre à la fois SPF et DKIM pour la configuration de DMARC. Vous pouvez mettre en œuvre l'un des deux, cependant, les deux sont recommandés pour une sécurité renforcée. Si votre domaine est hébergé par un fournisseur de messagerie comme Office 365 ou Google Apps, il est possible que l'un des enregistrements SPF requis soit déjà en place pour vous - vous pouvez vérifier auprès de lui si c'est le cas. Vous pouvez vérifier auprès d'eux si c'est le cas. Vous devrez également vous renseigner sur leur clé DKIM afin de l'ajouter à vos paramètres DNS.

Lorsque vous serez prêt à mettre en œuvre DMARC, vous devrez vous assurer que vous disposez des bons outils et de la bonne infrastructure.

Pour commencer, vous aurez besoin :

  1. Un bureau d'enregistrement de nom de domaine (comme GoDaddy)
  2. Un fournisseur de DNS (comme AWS Route 53)
  3. Un serveur de messagerie qui prend en charge SPF et DKIM (comme Amazon SES)

Modes de configuration et de politique 

DMARC pour les nuls

Pour établir l'authentification des e-mails avec DMARC dans votre organisation, vous devez avoir un enregistrement de politique en place sur votre DNS après avoir pris soin des conditions préalables mentionnées ci-dessus. 

Vous trouverez ci-dessous un exemple d'un tel enregistrement : 

Nom : _dmarc

Valeur : v=DMARC1 ; pct=100 ; p=none ; rua=mailto:[email protected] ;

Chacune de ces balises est significative et renvoie à des instructions spécifiques pour les serveurs. Décortiquons les quelques balises mentionnées ici : la balise "v" indique la version du protocole utilisée, pct fait référence au pourcentage d'e-mails authentifiés (100% dans ce cas), p est le mode ou la politique d'échec DMARC en jeu et la balise rua est l'adresse e-mail à laquelle les rapports agrégés doivent être envoyés par les domaines de rapport. 

Vous pouvez créer un enregistrement spécifique à votre domaine, manuellement, si vous êtes familier avec la syntaxe. Sinon, vous pouvez utiliser un générateur d'enregistrement DMARC pour vous aider dans ce processus.

Lors de la création de votre enregistrement, vous DEVEZ mentionner un mode de politique (sous la balise "p="). Il existe 3 politiques DMARC parmi lesquelles vous pouvez choisir : 

  • Aucun: Vous demandez à vos destinataires d'accepter tous les e-mails provenant de votre domaine, qu'ils échouent ou réussissent l'alignement du domaine. Cette option est idéale pour les novices qui débutent dans l'authentification des e-mails.
  • Quarantaine: Vous donnez l'ordre à vos destinataires de mettre en quarantaine les courriels qui ne respectent pas l'alignement du domaine afin qu'ils puissent être examinés ultérieurement.
  • Rejeter: Vous donnez l'ordre à vos destinataires de rejeter tout courriel dont l'alignement échoue. Si vous voulez vous protéger contre les attaques par usurpation d'identité et par hameçonnage, c'est la politique à adopter.

Suivi et rapport sur les échecs de livraison des e-mails 

Le reporting dans DMARC est une fonctionnalité qui vous permet de suivre l'état d'authentification de vos e-mails et les échecs de livraison. Il s'agit d'une excellente fonction qui permet une analyse DMARC en extrayant les informations de l'en-tête du courriel. Elle peut également vous aider à identifier l'endroit où vos e-mails sont transférés et le type de réponses que vous obtenez du destinataire.

Vous trouverez ci-dessous une partie d'un rapport DMARC pour vous donner une idée de ce à quoi il peut ressembler.  

DMARC pour les nuls

En faisant défiler le rapport, vous devriez pouvoir voir les résultats de l'authentification SPF et DKIM classés par ordre chronologique : 

DMARC pour les nuls

Chaque rapport est envoyé sous la forme d'un fichier XMLce qui signifie que vous devez avoir une bonne connaissance du langage de balisage extensible pour lire les données. Vous pouvez choisir d'éviter ces tracas en utilisant un analyseur de rapports DMARC qui analyse automatiquement les rapports pour vous afin de les rendre lisibles par l'homme.

Pour activer les rapports, vous devez ajouter la balise "rua" à votre enregistrement, en précisant l'adresse électronique sur laquelle vous souhaitez recevoir ces rapports. Assurez-vous que l'adresse électronique relève de votre propre domaine et qu'elle est spécifiquement créée à cette fin pour éviter d'encombrer les données.

Soutien de l'industrie et protection contre le spam 

Parmi les ESP qui prennent en charge DMARC figurent des géants du secteur tels que Google, Microsoft, Amazon, MailChimp, etc. Les leaders et les experts du secteur considèrent l'authentification des e-mails comme une méthode éprouvée pour réduire les attaques par usurpation de nom de domaine et par hameçonnage. Toutefois, cela ne peut se faire que par l'application d'une politique. 

Il est également important de noter que DMARC ne remplace PAS vos solutions antivirus ou pare-feu. Il s'agit simplement d'une couche de sécurité supplémentaire qui peut mieux protéger votre organisation contre les attaques de fraude par courriel. Pour une protection complète, il est indispensable de coupler DMARC avec votre logiciel antivirus ou votre pare-feu préféré !

DMARC pour les nuls

Derniers messages de Ahona Rudra (voir tous)
/par
Le courrier non authentifié DMARC est interdit [SOLVÉ]Le courrier non authentifié DMARC est interditPowerDMARC aide l'université intelligente Hamdan Bin Mohammed à surmonter les problèmes de sécurité de sa messagerie.PowerDMARC aide l'université intelligente Hamdan Bin Mohammed à surmonter ses problèmes de sécurité de messagerie...