Remplacement de la politique DMARC

Cet article explique en détail ce que sont les dérogations à la politique DMARC, comment elles fonctionnent, quelle est la différence entre une dérogation à la politique DMARC et un échec de la politique DMARC, et si la dérogation aux enregistrements DMARC est légitime ou non.

Remplacement de la politique DMARC : Explication

Le remplacement de la politique DMARC se produit lorsque le serveur de messagerie récepteur remplace la politique DMARC défini par l'expéditeur. Cela se produit lorsque l'expéditeur a spécifié qu'il souhaite que son courrier électronique soit rejeté s'il ne correspond pas à la politique d'un serveur de courrier entrant, mais que le serveur de courrier électronique récepteur décide qu'il n'est pas approprié pour son propre ensemble de politiques.

Par exemple, si l'expéditeur a spécifié une politique stricte (comme "p=rejeter tous les courriers sans SPF ou DKIM") et que le serveur de messagerie récepteur a une politique plus souple (comme "accepter tous les courriers sans SPF ou DKIM"). Dans ce cas, le serveur de réception peut remplacer la politique DMARC de l'expéditeur par sa propre politique locale et délivrer le message dans la boîte de réception du destinataire même s'il échoue aux contrôles DMARC.

Comprendre le mécanisme de contournement de la politique DMARC

DMARC est utilisé pour communiquer les paramètres de la politique que les destinataires d'e-mails peuvent utiliser pour appliquer contre les e-mails envoyés depuis votre domaine.

Par exemple, vous pouvez utiliser une politique pour DMARC afin d'indiquer au serveur de messagerie du destinataire ce qu'il doit faire (p=rejeter ou p=none ou p=quarantaine) si une vérification SPF ou DKIM échoue dans les e-mails envoyés depuis votre domaine.

Cela résume bien la puissance de DMARC, non ?

Mais qu'en est-il si le serveur de messagerie récepteur possède son propre ensemble de politiques locales pour traiter les courriels reçus ? Respectera-t-il les règles DMARC définies par l'expéditeur ou remplacera-t-il les règles de l'expéditeur par ses propres règles locales ?

Eh bien...

La spécification DMARC exige que les récepteurs de courrier fassent un effort de bonne foi pour respecter les politiques DMARC publiées par les propriétaires de domaines. Ainsi, si un test des en-têtes SPF, DKIM et From de l'expéditeur échoue sur un message, cela doit déclencher ce qui est spécifié dans la politique DMARC de l'expéditeur (p), comme la quarantaine, le rejet ou NONE.

Maintenant, supposons que la situation est la suivante :

➜ Votre domaine (mypersonaldomain.org) a une politique DMARC (p=none).

➜ Le serveur de messagerie géré par le destinataire (leurdomaine.org) rejette tous les courriers qui échouent à une vérification SPF. Cela signifie que si un courriel envoyé à (leurdomaine.org) échoue à la vérification SPF, il sera rejeté. N'est-ce pas ?

Mais...

Que se passe-t-il si un courriel de votre domaine (mypersonaldomain.org) avec la politique DMARC p=none est reçu par somedomain.org et échoue la vérification SPF ?

Dans ce cas, il dépendra du serveur de messagerie récepteur (de la manière dont il est configuré) d'accepter la politique DMARC définie par l'expéditeur OU de rejeter le courriel en remplaçant la politique de l'expéditeur par des règles définies dans sa politique locale de p=rejet en cas d'échec de la vérification SPF.

Microsoft 365 en est un exemple en temps réel, puisqu'il envoie tous les courriels p=reject dans le dossier de courrier indésirable/spam de l'utilisateur au lieu de les rejeter. En effet, O365 considère qu'il est normal que le destinataire prenne la décision finale quant au sort à réserver au message.

Les cinq valeurs de la politique d'annulation de DMARC

transféré - L'e-mail a probablement été transféré, sur la base d'algorithmes locaux qui ont identifié des modèles de transfert. On peut s'attendre à ce que l'authentification échoue.

politique_locale - la politique locale du récepteur de courrier a exempté l'e-mail de l'action demandée par son propriétaire de domaine. Par exemple, lorsque la politique demandée est définie sur "rejet" mais que le contrôle ARC a réussi, un récepteur de courrier peut passer outre cette décision et choisir de ne pas rejeter un courriel.

Qu'est-ce que l'ARC ?

ARC signifie Chaîne authentifiée reçue (ARC). Avec ARC, les protocoles DKIM et SPF d'un courriel ne seront plus rompus par les transferts ou les listes de diffusion. En effet, ARC préserve les résultats de l'authentification du courrier électronique à travers les routeurs, les intermédiaires et autres systèmes ("hops") susceptibles de modifier un message lors de son passage d'un nœud à l'autre sur Internet.

Ainsi, en présence d'une chaîne ARC, le serveur de messagerie récepteur qui, sinon, rejetterait les messages, pourrait choisir d'évaluer les résultats des tests et faire une exception, permettant ainsi aux messages légitimes de ces flux de messagerie indirects d'atteindre leur destination.

mailing_list - L'email a été envoyé depuis une liste de diffusion, le programme de filtrage a donc décidé qu'il n'était probablement pas légitime.

sampled_out - Le message ne s'appliquait pas à la politique car son paramètre "pct" était défini dans l'enregistrement DMARC.

transitaire de confiance - L'échec a été anticipé par des preuves qui reliaient l'e-mail à une liste de transitaires de confiance gérée localement.

autres - Certaines politiques contiennent des exceptions qui ne sont pas prises en compte par les autres entrées de la liste.

Contournement de la politique DMARC : Est-ce autorisé ?

La section 6 du RFC 7489 stipule que les serveurs de messagerie doivent respecter et traiter les messages conformément à la politique de l'expéditeur. Bien que les dérogations soient contraires à l'esprit de DMARC, les fournisseurs de boîtes aux lettres se réservent le droit de déroger à la politique de l'expéditeur. Donc oui, il est permis au serveur de réception de remplacer la politique DMARC par sa politique locale.

Cela signifie qu'un serveur de courrier électronique peut toujours délivrer un faux message même si la politique qu'il est censé suivre dit le contraire.

Devriez-vous envoyer des rapports sur le contournement de la politique DMARC ?

Le remplacement de la politique DMARC a lieu principalement lorsque :

  • l'heuristique du récepteur identifie un message qui a échoué à l'authentification mais qui pourrait avoir été envoyé par une source autorisée.
  • un fournisseur de boîtes aux lettres a un message qui a échoué au test DMARC en raison de transfert de courrier électronique mais qu'il est suffisamment confiant dans sa légitimité, il peut passer outre la politique et le livrer quand même.

Bien que les dérogations à la politique DMARC soient autorisées, les sections 6 et 7.2 du RFC 7489 stipulent que lorsqu'un récepteur choisit de s'écarter de la politique publiée par le propriétaire du domaine, il doit le signaler au propriétaire du domaine, ainsi que les raisons qui l'ont poussé à le faire (en utilisant le format de rapport de retour d'information global).

Comment est-il possible d'outrepasser la politique DMARC ?

DMARC est composé de deux parties :

Politique DMARC - Elle est mise en place par l'organisation expéditrice (sur le DNS public de l'organisation expéditrice avec SPF et DKIM) et définit la manière dont le côté récepteur doit traiter les messages qui ne sont pas conformes à ses politiques.

Vérification DMARC - Elle est utilisée par l'organisation destinataire (sur la passerelle de sécurité du courrier électronique de l'organisation destinataire) et vérifie chaque message reçu d'une organisation particulière pour les politiques répertoriées dans les enregistrements DMARC de cette entreprise. Toutefois, la possibilité de passer outre l'application de la politique DMARC d'une organisation émettrice est également valable pour les organisations réceptrices.

Configuration d'une politique DMARC est une "DEMANDE, PAS UNE OBLIGATION"Cela signifie essentiellement que vous demander aux serveurs de messagerie d'indiquer comment ils doivent traiter les messages électroniques envoyés depuis votre domaine ou usurpant votre identité.

Toutefois, les destinataires de courriels ne sont pas tenus de suivre un ensemble de directives strictes lorsqu'ils traitent les courriels entrants. Ils peuvent élaborer leurs propres politiques concernant les messages qu'ils acceptent ou rejettent et appliquer ces normes en conséquence.

Par exemple, si le récepteur du courrier électronique considère que le message est valide. Ainsi, si un courriel échoue à un contrôle DMARC, le destinataire peut toujours appliquer sa politique locale et le transmettre aux boîtes de réception. En outre, la politique du destinataire du courrier électronique peut prévaloir sur celle du propriétaire du domaine.

Comment une organisation destinataire peut-elle passer outre ma politique DMARC ?

D'autres organisations peuvent remplacer la configuration de votre politique DMARC par leurs propres outils de vérification DMARC et décider de leur propre ensemble de politiques sur la manière de traiter les messages entrants. Selon le système, un utilisateur disposant de privilèges d'administrateur peut être en mesure de passer outre tous les domaines ou seulement certains d'entre eux.

Il est à noter que les politiques DMARC sont définies par le propriétaire du domaine, et que chaque politique ne s'applique qu'aux domaines de cette organisation. Une politique DMARC ne peut donc pas affecter les adresses d'autres organisations ou leurs messages.

Échec de la politique DMARC et contournement de la politique DMARC : Quelle est la différence ?

Échec de DMARC On parle d'échec DMARC lorsqu'un serveur de messagerie n'implémente pas correctement DMARC, ce qui entraîne un échec de la vérification SPF et DKIM chez le destinataire. L'incapacité à vérifier votre légitimité peut conduire les boîtes de réception à vous marquer comme spam ou à rejeter vos messages. Dans ce cas, le serveur de messagerie récepteur respecte la politique de l'expéditeur et ne remplace pas cette politique par sa politique locale.

Le remplacement de la politique DMARC se produit lorsque le serveur de messagerie récepteur ne respecte pas la politique de l'expéditeur. Au lieu de cela, il remplace la politique DMARC de l'expéditeur par sa politique locale. Cela signifie que si le message de l'expéditeur est soumis à une politique stricte de p=reject sans vérification SPF ou DKIM, le serveur de courrier récepteur passera outre la politique et délivrera quand même le message dans la boîte de réception.

Gardez une trace correcte des dérogations à la politique DMARC avec PowerDMARC

Rester à jour sur les dérogations à la politique DMARC est un élément essentiel de la prévention de l'usurpation d'identité et de l'usurpation de courrier électronique. Cependant, la plupart des entreprises n'ont ni le temps ni les ressources nécessaires pour assurer le suivi des dérogations à leur politique DMARC.

Vous ne pouvez pas empêcher les dérogations à la politique DMARC, mais vous pouvez en garder la trace grâce à notre service DMARC. Nous vous fournirons des rapports complets sur les organisations qui passent outre le mode de votre politique et sur le type de messages provenant de ces organisations, ainsi que sur les courriels qui ont été autorisés du côté du destinataire. Cela permettra à l'expéditeur d'assurer le suivi et de prendre les mesures nécessaires en cas d'usurpation d'identité ou d'usurpation d'identité.

Inscrivez-vous à notre Essai gratuit de DMARC aujourd'hui et testez-le vous-même !

Derniers messages de Ahona Rudra (voir tous)