Le courrier électronique est l'un des moyens de communication les plus couramment utilisés. Mais il est très susceptible d'être attaqué par des pirates et des spammeurs. C'est pourquoi la mise en œuvre du SPF, DKIMet DMARC protègent vos conversations électroniques et empêchent les acteurs de la menace de les détourner. Ce blog a pour but de présenter les principaux paramètres DMARC qui vous aideront à démarrer le processus.
Qu'est-ce que le DMARC ?
Pour comprendre quels paramètres doivent être associés à DMARC, vous devez d'abord savoir ce qu'est DMARC et comment il fonctionne.
DMARC est l'abréviation de Domain-based Message Authentication Reporting and Conformance. Il s'agit d'un protocole d'authentification des e-mails qui vous permet de créer et de publier une politique de sécurité spécifique autour de votre processus d'authentification des e-mails. Il indique à la boîte aux lettres du destinataire comment traiter les e-mails non authentiques envoyés depuis votre domaine officiel.
Comment fonctionne DMARC ?
DMARC est mis en œuvre conjointement avec SPF et DKIM. Le propriétaire du domaine crée et publie un enregistrement DNS DMARC auprès de son fournisseur DNS. Lorsqu'un courriel est envoyé à partir de ce domaine (soit par vous et vos employés, soit par des cybercriminels), le serveur de messagerie du destinataire en valide l'authenticité en vérifiant si le domaine dispose d'un enregistrement DMARC publié sur le DNS.
En outre, le serveur du destinataire effectue des contrôles DKIM et SPF pour savoir si l'expéditeur est bien celui qu'il prétend être. Les contrôles suivants sont effectués :
- Si le message a une signature DKIM valide?
- Si l'adresse IP de l'expéditeur correspond aux expéditeurs autorisés dans l'enregistrement SPF ?
- Les en-têtes de message passent-ils les tests d'alignement de domaine ?
Une fois que les résultats SPF et DKIM sont sortis, le serveur de messagerie applique la politique. À la fin, un rapport appelé DMARC Aggregate Report est envoyé à l'adresse électronique spécifiée pour recevoir les rapports.
Politiques DMARC
L'un des principaux paramètres DMARC est celui des trois politiques DMARC. Vous pouvez les surveiller pendant un certain temps, puis décider de la manière dont vous souhaitez que les boîtes aux lettres des destinataires traitent les e-mails non authentifiés envoyés depuis votre domaine. Voici les trois politiques :
Politique de surveillance : p=none
Ce site politique DMARC indique aux serveurs de messagerie de délivrer des rapports à l'adresse mentionnée dans la balise rua ou ruf de votre enregistrement DMARC. Il s'agit d'une politique de surveillance uniquement, mise en œuvre au stade initial de la conformité DMARC pour analyser l'activité de votre canal de messagerie.
Il offre un aperçu du canal de messagerie mais n'indique pas aux serveurs de réception comment traiter les courriels qui échouent aux contrôles DMARC.
Politique de quarantaine : p=quarantine
Ce paramètre d'enregistrement DMARC indique aux serveurs de réception de placer dans le dossier spam les courriels qui n'ont pas passé le test d'authentification DMARC. Les courriels qui passent le test d'authentification atterriront dans la boîte de réception. Cela minimise les risques que vous adressiez accidentellement un courriel d'hameçonnage, mais les courriels malveillants de ce type se retrouveront toujours dans le dossier spam.
Politique de rejet : p=rejet
Le paramètre p=reject DMARC donne l'ordre aux serveurs de messagerie de rejeter complètement l'entrée des courriels qui échouent aux contrôles d'authentification DMARC. Tous les courriels acceptés sont livrés à la boîte de réception. Cependant, il existe des risques de faux échecs, ce qui signifie que des courriels significatifs et authentiques peuvent parfois ne pas atteindre les destinataires prévus.
Les types de balises DMARC et leurs fonctions
Les balises DMARC spécifient des aspects des paramètres DMARC et elles ne sont pas toutes aussi importantes et utilisées que les autres. Elles sont divisées en trois catégories.
- Requis: Ce sont des balises obligatoires. Chaque enregistrement DMARC TXT doit commencer par la balise obligatoire 'v' ou version et ajouter sa valeur comme 'DMARC1'.
- Facultatif mais recommandé: Il n'est pas nécessaire d'ajouter ces balises, cependant, elles aident à générer des rapports.
- En option: Vous pouvez ignorer complètement ces balises.
Fonctions des balises DMARC
Il y a un total de 11 balises importantes pour les paramètres d'enregistrement DMARC et les balises "v" et "p" sont obligatoires. Voyons quelle est la fonction de chaque balise.
| Nom du tag DMARC | Type | Fonction |
| v (version) | Requis | Cette balise DMARC spécifie la version. Il n'y a qu'une seule version pour le moment, donc sa valeur est fixée à v=DMARC1. |
| p (politique) | Requis | Le paramètre DMARC indique le mode de la politique DMARC. Il indique au destinataire de signaler, mettre en quarantaine ou rejeter les courriels qui échouent aux contrôles d'authentification. |
| adkim | En option | C'est l'abréviation de "DKIM alignment mode". Sa valeur peut être soit Strict (s) soit Relaxed (r).
En mode relaxé, la validation affiche un résultat positif si l'enregistrement DKIM vérifié adresse à un domaine d=sample.com, et que l'adresse électronique de l'expéditeur appartient à la catégorie email@news.sample.com. En mode strict, la validation donne un résultat positif lorsque l'e-mail provient d'une adresse du domaine sample.com. Les sous-domaines ne sont pas validés. |
| aspf | En option | Ce paramètre DMARC correspond au mode d'alignement SPF. Sa valeur peut être soit Strict (s) soit Relaxed (r). La valeur par défaut est Relaxed "r". |
| sp (politique des sous-domaines) | En option | La balise DMARC sp spécifie la politique du sous-domaine. Le mode de politique est configuré pour votre domaine principal (p). |
| fo (rapport d'échec) | En option | La valeur par défaut de la balise DMARC fo est 0. Elle correspond aux options de rapport d'échec que les propriétaires de domaine peuvent choisir.
Les options disponibles sont les suivantes : fo=0 : un rapport d'échec DMARC/forensique vous est envoyé si votre courriel échoue à la fois l'alignement SPF et DKIM. fo=1 : un rapport d'échec DMARC/forensique vous est envoyé lorsque votre courriel échoue l'alignement SPF ou DKIM. fo=d : un rapport d'échec DKIM est envoyé si la signature DKIM de l'e-mail échoue à la validation, quel que soit l'alignement. fo=s : un rapport d'échec SPF est envoyé si le courriel échoue à l'évaluation SPF, quel que soit l'alignement. |
| ruf (rapport d'échec RUI) | Facultatif mais recommandé | Il précise où le rapport DMARC forensic ruf doit être envoyé. Actuellement, seules quelques entreprises conformes à la norme DMARC l'envoient. |
| rua (rapport d'agrégation RUI) | Facultatif mais recommandé | Tandis que les paramètres DMARC sont expliqués, la balise rua affiche l'adresse électronique ou le serveur Web auquel les entreprises déclarantes doivent le livrer. |
| rf (format de rapport) | En option | La valeur par défaut de cette balise DMARC est "afrf". Il enregistre les formats de rapports médico-légaux. |
| pct (pourcentage) | En option | Sa valeur par défaut est '100'. Cette balise indique le pourcentage d'e-mails pour lesquels le mode de politique est essayé.
Par exemple, "pct = 40" filtrera 40 % des e-mails. |
| ri (intervalle de rapport) | En option | La valeur par défaut de la balise ri est '86400'. Il spécifie l'intervalle de temps en secondes entre deux rapports agrégés consécutifs. |
Résumé
Les paramètres DMARC fonctionnent ensemble pour vous aider à prévenir les attaques de phishing et d'usurpation d'identité tentées au nom de votre marque. Il fonctionne en conjonction avec SPF et DKIM où les politiques DMARC sont appliquées pour indiquer au serveur récepteur comment traiter les courriels qui échouent aux contrôles de validation. Les trois balises sont p= none (aucune mesure n'est prise à l'égard des courriels qui ont échoué), p=quarantine (les courriels qui ont échoué atterrissent dans le dossier des pourriels au lieu de la boîte de réception) et p=reject (les courriels qui ont échoué sont totalement interdits d'accès aux boîtes aux lettres des destinataires).
