dmarc contre spf

Si vous n'avez pas suivi le débat sur la norme DMARC et SPF, essayons de comprendre ce qu'ils sont et comment ils peuvent vous aider. Si vous êtes novice en matière d'authentification des e-mails, il y a de fortes chances que vous ayez rencontré des termes éphémères comme DMARC et SPF et que vous souhaitiez mieux les comprendre pour décider lequel vous convient le mieux.

Sender Policy Framework, alias SPF, vous permet de mettre en cache une liste d'adresses IP autorisées à envoyer des courriels à vos clients en votre nom(RFC 4408). D'autre part, DMARC permet de spécifier une politique pour les courriels dont l'authentification échoue, aidant ainsi les propriétaires de domaines à contrôler l'austérité de leurs protocoles de sécurité mis en œuvre. Cela dit, examinons de plus près la différence entre DMARC et SPF. 

J'ai déployé SPF, ai-je encore besoin de DMARC ?

SPF ne fournit pas aux propriétaires de domaines un mécanisme permettant d'envoyer des rapports sur les échecs de livraison et les tentatives d'usurpation d'identité. C'est là que DMARC entre en jeu. Si vous activez la fonction de rapport DMARC pour vos domaines, vous pourrez recevoir des notifications sur les résultats de votre authentification SPF, ce qui inclut, sans s'y limiter, les échecs de livraison et les tentatives d'usurpation. Il s'agit d'une fonction importante qui devrait être un ajout indispensable à votre suite de sécurité du courrier électronique, même si vous n'avez déployé que SPF pour vos domaines.

La surveillance de vos domaines peut être utile pour traiter les informations sur les performances de vos courriels et mesurer le taux de réussite de vos campagnes de marketing par courriel. Elle vous aide également à répondre plus rapidement aux attaques et à mettre sur liste noire les adresses d'expéditeurs suspectes. 

Puis-je déployer DMARC sans DKIM ?

Oui. Il est possible de publier un enregistrement DMARC même sans la présence d'un enregistrement DKIM dans votre DNS. En effet, pour que vos courriels soient considérés comme conformes à la norme DMARC, ils doivent passer l'authentification SPF ou DKIM, mais pas les deux. Si vous n'avez pas d'enregistrement DKIM en place, les MTA de réception vérifient uniquement l'alignement SPF qui détermine l'authenticité des messages, tandis que DKIM échoue automatiquement pour chaque message.

Cependant, ce n'est pas une situation idéale. Voyons pourquoi :

Le problème de la redirection des e-mails et des listes de diffusion

Dans le cas des e-mails transférés, votre message passe par un serveur intermédiaire avant d'atterrir dans la boîte de réception de votre destinataire. Ce serveur a une adresse IP différente qui peut ne pas être incluse dans l'enregistrement SPF de votre domaine. Par conséquent, les courriels transférés ne respectent pas le SPF du côté du destinataire.

Si vous n'avez pas d'enregistrement DKIM, un échec du SPF se traduirait essentiellement par un échec du DMARC. Dans le cas d'une politique de rejet, vos courriels légitimes envoyés par le biais de listes de diffusion ne parviendraient pas du tout à vos destinataires. C'est pourquoi l'implémentation de SPF et DKIM pour votre domaine et l'obtention d'une conformité DMARC complète en alignant vos courriels sur les deux protocoles sont les meilleurs moyens d'assurer une bonne délivrabilité.

DMARC Vs SPF : Pour résumer

 

Pour résumer la discussion sur DMARC vs SPF, notre recommandation est de commencer par publier un enregistrement TXT pour SPF et un enregistrement DMARC en maintenant la politique à zéro tout en permettant la création de rapports agrégés. De cette façon, vous pouvez garder un œil sur le volume d'e-mails qui sont transférés ou envoyés via des listes de diffusion. Une politique "none" n'aura aucun effet sur la délivrabilité de vos e-mails et vous permettra de surveiller efficacement vos domaines.

Toutefois, pour améliorer vos défenses contre les attaques de phishing et les usurpations d'identité imminentes, vous devez appliquer une politique plus stricte (p=rejeter/quarantaine) pour DMARC. La seule mise en œuvre du SPF n'offre aucune protection contre la fraude par courriel, pour laquelle une politique DMARC est impérative.

Avantages d'une solution logicielle DMARC

Nous recommandons l'utilisation de l'analyseur de rapports DMARC de PowerDMARC. analyseur de rapport DMARC pour obtenir des conseils d'experts et tirer le meilleur parti de vos normes d'authentification des e-mails dès aujourd'hui. Cela vous aidera :

  • Passez à une politique de rejet à la vitesse du marché, sans affecter votre capacité de livraison. 
  • Obtenez une conformité DMARC à 100 % pour vos courriels sortants.
  • Surveillez vos canaux de messagerie lorsque vous êtes en mode p=none pour avoir une idée précise du volume d'e-mails transférés. 
  • Prenez plus rapidement des décisions concernant les modes et les configurations de votre politique de protocole et profitez d'un déploiement sans heurts de vos normes d'authentification des e-mails.