Les 10 règles DMARC les plus importantes à respecter en 2022
Si vous êtes novice en matière d'authentification des e-mails et de analyseur DMARCil y a quelques règles DMARC que vous devez suivre dès aujourd'hui et qui peuvent changer la donne dans votre parcours d'authentification des e-mails. Pour résumer quelques-unes des règles les plus fondamentales :
1. N'utilisez pas une politique qui n'autorise aucune authentification.
4. Créez également des enregistrements SPF pour votre ou vos domaines.
5. Configurer la signature DKIM pour votre/vos domaine(s)
Approfondissons maintenant et explorons ces règles DMARC ainsi que d'autres, afin de vous aider à renforcer votre infrastructure d'authentification globale.
Nous avons tous entendu parler de DMARC, mais qu'est-ce que c'est ?
DMARC signifie Domain-based Message Authentication, Reporting & Conformance (authentification des messages basés sur le domaine, rapports et conformité). Il s'agit d'un protocole de sécurité du courrier électronique qui permet de s'assurer que le courrier électronique est authentifié avant d'être délivré afin de réduire au minimum la falsification de domaine. Il a été créé dans le but de prévenir les attaques par hameçonnage et autres attaques par courrier électronique en vérifiant que l'expéditeur d'un courrier électronique est bien celui qu'il prétend être.
Comment utiliser DMARC ?
C'est simple ! Tout d'abord, vous configurez les enregistrements DNS de votre domaine pour indiquer que vous souhaitez utiliser DMARC. Ensuite, si quelqu'un essaie d'envoyer un courriel à partir de votre domaine sans utiliser DMARC, il ne pourra pas l'envoyer à moins d'avoir une clé publique associée à son domaine, ce qui n'est possible que s'il est autorisé. Cela garantit que seuls les e-mails légitimes atteignent les boîtes de réception des destinataires, tout en permettant aux gens de configurer des notifications pour les messages provenant de l'extérieur de leur réseau.
Le processus se déroule comme suit :
- Un expéditeur crée un enregistrement DMARC pour son domaine avec un enregistrement SPF et active la signature DKIM (facultatif mais recommandé) dans ses enregistrements DNS.
- Lorsqu'un courriel est envoyé à partir de ce domaine, il contient un en-tête contenant des informations sur les paramètres utilisés et leur valeur. Cet en-tête peut être utilisé par des récepteurs tels que Gmail pour vérifier si le message a été envoyé selon le format attendu ou non.
- Si l'un de ces paramètres pose problème, le message sera signalé comme étant en échec ou en échec partiel, selon que l'expéditeur l'a fait intentionnellement ou non ; si c'est le cas, il peut choisir de l'ignorer jusqu'à ce qu'il ait corrigé la cause du problème.
Ce que nous apprécions le plus dans DMARC, c'est sa facilité de mise en place, qui peut se faire en quelques étapes seulement !
Règles DMARC 101 pour les entreprises
Lorsque vous mettez en place une politique DMARCil y a quelques règles à respecter. Voici une liste des 5 règles DMARC les plus importantes :
- La politique doit être un enregistrement TXT, et elle doit être publiée sur votre DNS. Si vous n'avez pas d'enregistrement TXT dans votre DNS, vous n'avez pas mis en œuvre le protocole.
- La politique doit être p=reject ou p=quarantine si vous voulez bloquer les messages qui ne sont pas authentifiés.
- Si vous utilisez plusieurs politiques et configurez différents niveaux d'authentification pour chacune d'entre elles (par exemple, "ma marque" ou "mon organisation"), assurez-vous qu'elles possèdent toutes des enregistrements SPF et des signatures DKIM uniques ! Sinon, elles seront toutes regroupées sous une seule règle et ne pourront pas être synchronisées.
- DMARC exige également que vous mettiez en place des enregistrements SPF et/ou DKIM pour votre domaine. Cette règle est obligatoire même si vous ne souhaitez pas utiliser DMARC, car elle permet de prévenir les attaques par usurpation d'identité, un pirate pouvant utiliser l'adresse électronique ou le nom de domaine de quelqu'un d'autre pour envoyer des courriels d'hameçonnage qui semblent légitimes mais qui ne proviennent pas d'une source autorisée.
- Une autre règle DMARC importante vous oblige à publier un enregistrement DMARC contenant votre adresse électronique afin que d'autres organisations puissent signaler tout problème lié à vos courriels en utilisant ce système. C'est ce qu'on appelle les rapports DMARC.
Règles DMARC supplémentaires pour une protection renforcée
- Envisagez de mettre en place une politique DMARC pour vos domaines parqués (domaines inactifs), car même ces derniers peuvent être usurpés par des pirates qui parviennent à se faire passer pour votre marque.
- La création de plusieurs enregistrements SPF ou DMARC pour le même domaine est strictement déconseillée. Un seul domaine ne doit contenir qu'un seul enregistrement SPF et DMARC. Cependant, vous pouvez choisir de configurer plus d'un enregistrement DKIM pour le même domaine afin de permettre une rotation périodique des clés pour une meilleure protection.
- Vous pouvez ignorer la mise en place d'une politique pour vos sous-domaines, à moins que vous ne souhaitiez mettre en œuvre un mode d'application différent pour eux. En effet, les politiques DMARC de votre domaine principal sont automatiquement héritées par les sous-domaines.
- Si vous souhaitez recevoir des rapports DMARC en dehors de votre domaine (sur une adresse électronique externe qui ne relève pas de votre propre domaine), vous devez activer la vérification du domaine externe pour indiquer aux serveurs que le domaine externe consent à recevoir ces rapports.
- Enfin, il est important de noter que DMARC n'est pas une solution miracle et ne vous protège pas contre toutes les attaques. Vous devez disposer d'un antivirus et d'un pare-feu fiables en plus de DMARC pour renforcer votre sécurité.
À quel stade de votre processus d'authentification devez-vous mettre en œuvre ces règles DMARC ?
Si vous débutez, il n'est pas nécessaire de respecter toutes les règles DMARC mentionnées ci-dessus au tout début de votre processus d'authentification. Par exemple, une politique p=reject pour commencer peut entraîner des complications au niveau de la délivrabilité. Il est plutôt recommandé de commencer par une politique "none" pour surveiller vos canaux de messagerie avant de vous engager dans la mise en œuvre.
C'est ici que les choses peuvent se compliquer un peu. Il est essentiel que vous déterminiez le rythme qui vous convient le mieux, à vous et à votre entreprise. Commencez lentement en mettant en œuvre des politiques détendues pour vos protocoles afin d'en avoir le contrôle total jusqu'à ce que vous soyez prêt à opter pour l'application.
- DMARC Black Friday : Protégez vos courriels pendant les fêtes de fin d'année - 23 novembre 2023
- Google et Yahoo ont mis à jour les exigences d'authentification des courriels pour 2024 - 15 novembre 2023
- Comment trouver le meilleur fournisseur de solutions DMARC pour votre entreprise ? - 8 novembre 2023