LES ENREGISTREMENTS DMARC lorsqu'ils sont configurés correctement, peuvent vous être utiles à plus d'un titre. Il s'agit d'un nouveau domaine de la sécurité du courrier électronique qui offre aux propriétaires de domaines une mine d'informations sur leurs sources d'envoi de courrier électronique et sur leurs performances. La vulnérabilité DMARC fait référence à des erreurs très courantes commises par les utilisateurs lors de la mise en œuvre du protocole ou de son application.

Les vulnérabilités de votre système d'authentification des e-mails peuvent aller d'erreurs simples, comme une mauvaise syntaxe, à des erreurs plus complexes. Quoi qu'il en soit, si vous ne résolvez pas ces problèmes et ne configurez pas correctement votre protocole, vos efforts en matière de sécurité des e-mails risquent d'être réduits à néant. 

Avant d'analyser les vulnérabilités possibles que vous pourriez rencontrer dans votre parcours d'authentification des e-mails, rappelons rapidement quelques concepts de base. Ces concepts sont les suivants :

1. Qu'est-ce que l'authentification des e-mails ?
2. Comment DMARC authentifie-t-il vos e-mails ?
3. L'impact des vulnérabilités DMARC sur la délivrabilité de vos messages

Qu'est-ce que l'authentification des courriers électroniques ?

Les cybercriminels peuvent obtenir des avantages financiers en interceptant les communications par courrier électronique ou en utilisant l'ingénierie sociale pour escroquer des victimes peu méfiantes. 

L'authentification des e-mails fait référence à des systèmes de vérification spécifiques que les propriétaires de domaines peuvent configurer pour établir la légitimité des e-mails envoyés depuis leur domaine. Cela peut se faire au moyen de signatures numériques placées dans le corps du message, de la vérification des adresses de retour (Return-path) et/ou de l'alignement des identifiants. 

Une fois que les contrôles d'authentification ont confirmé la légitimité du message, le courriel est déposé dans la boîte de réception du destinataire. 

Comment DMARC authentifie-t-il vos e-mails ?

Lorsqu'une entreprise envoie un message à ses utilisateurs, le courriel passe du serveur d'envoi au serveur de réception pour achever son parcours de délivrabilité. Ce message comporte un en-tête Mail From : (De) qui est l'en-tête visible affichant l'adresse électronique à partir de laquelle le message a été envoyé et un en-tête Return-path qui est un en-tête caché contenant l'adresse du chemin de retour.

Un pirate peut usurper le domaine de l'entreprise pour envoyer des messages électroniques à partir du même nom de domaine, mais il lui est beaucoup plus difficile de masquer l'adresse du chemin de retour. 

Jetons un coup d'oeil à cet email suspect :

Alors que l'adresse électronique associée au message semble provenir de dereksmith@company.com ce qui semble authentique, l'inspection de l'adresse du chemin de retour permet d'établir rapidement que l'adresse de rebond n'a aucun lien avec compagnie.com et a été envoyée depuis un domaine inconnu.

Cette adresse de rebond (également appelée adresse de chemin de retour) est utilisée par les serveurs de réception des courriers électroniques pour vérifier l'identité de l'expéditeur dans le cadre du programme SPF de l'expéditeur lors de la vérification DMARC. Si le DNS de l'expéditeur contient l'adresse IP qui correspond à l'adresse IP de l'e-mail envoyé, l'enregistrement SPF et, par conséquent, l'enregistrement DMARC sont acceptés, sinon ils échouent. En fonction de la politique DMARC configurée par le domaine d'envoi, le message peut être rejeté, mis en quarantaine ou délivré.

Par ailleurs, DMARC peut également vérifier les éléments suivants DKIM pour vérifier l'authenticité d'un courriel.

L'impact des vulnérabilités DMARC sur la délivrabilité de vos messages

La probabilité que vos messages soient remis à vos clients dépend fortement de la précision de la configuration de votre protocole. Les vulnérabilités existantes dans le dispositif de sécurité du courrier électronique de votre organisation peuvent affaiblir les chances de livraison de vos messages. 

Voici quelques indications claires de failles dans votre système d'authentification DMARC :

• Problèmes de délivrabilité des e-mails
• Des messages légitimes sont marqués comme spam 
• Messages d'erreur DMARC lors de l'utilisation d'outils en ligne 

Types de vulnérabilités DMARC 

Vulnérabilité DMARC #1 : erreurs syntaxiques dans les enregistrements DNS

Un enregistrement DMARC est un enregistrement TXT avec des mécanismes séparés par des points-virgules qui spécifient certaines instructions aux MTA recevant des courriels. Voici un exemple : 

v=DMARC1 ; p=rejet ; rua=mailto:reports@domain.com ; pct=100 ;

De petits détails tels que les séparateurs de mécanisme ( ;) jouent un rôle important pour déterminer si votre enregistrement est valide, et ne peuvent donc pas être négligés. C'est pourquoi, pour ne plus avoir à deviner, nous vous recommandons d'utiliser notre générateur d'enregistrements DMARC pour créer un enregistrement TXT précis pour votre domaine.

Vulnérabilité DMARC #2 : Aucun enregistrement DMARC trouvé / vulnérabilité d'enregistrement DMARC manquant

Les propriétaires de domaines peuvent souvent rencontrer un message lors de l'utilisation d'outils en ligne, leur indiquant qu'il manque un enregistrement DMARC à leur domaine. Cela peut se produire si vous n'avez pas d'enregistrement valide publié sur votre DNS. 

DMARC vous aide à protéger votre domaine et votre organisation contre un large éventail d'attaques, notamment le phishing et l'usurpation directe de domaine. Dans un monde numérique où les acteurs de la menace tentent d'intercepter les communications par courrier électronique à chaque étape, nous devons faire preuve de prudence et mettre en œuvre des mesures préventives pour stopper ces attaques. DMARC contribue à ce processus afin de promouvoir un environnement de messagerie plus sûr.

Nous avons couvert un article détaillé sur la correction du problème aucun enregistrement DMARC trouvé que vous pouvez consulter en cliquant sur le lien.

Vulnérabilité DMARC #3 : Politique à zéro : surveillance uniquement

Les utilisateurs pensent souvent à tort qu'une politique DMARC à p=none est suffisante pour protéger leur domaine contre les attaques. En réalité, seule une politique de rejet/quarantaine peut vous aider à renforcer vos défenses contre l'usurpation d'identité. 

Une politique plus souple peut toutefois s'avérer fructueuse si vous souhaitez uniquement surveiller vos canaux de messagerie, sans imposer de protection. Il est toutefois recommandé de passer rapidement à p=rejet une fois que vous êtes sûr de vous. 

Nous l'avons placé dans la catégorie des vulnérabilités DMARC en nous basant sur le critère que la plupart des utilisateurs mettent en œuvre DMARC pour obtenir un plus haut degré de protection contre les attaques. Par conséquent, une politique dont l'application est nulle ne peut leur être d'aucune utilité.

Vulnérabilité DMARC #4 : Politique DMARC non activée

Comme pour la vulnérabilité précédente, cette invite d'erreur est souvent due à l'absence de politique DMARC. Si vous avez configuré votre domaine avec une politique "none", ce qui le rend vulnérable aux attaques de phishing, il est recommandé de passer à p=reject/quarantine dès que possible. Pour ce faire, il vous suffit d'apporter une petite modification à votre enregistrement DNS existant pour modifier et mettre à niveau votre mode de politique. 

Nous avons couvert un document détaillé sur la façon de résoudre la Politique DMARC non activée que vous pouvez consulter en cliquant sur le lien.

Dépannage des vulnérabilités DMARC en temps réel

Pour résoudre ces problèmes, vous pouvez envisager de mettre en œuvre les étapes suivantes dans votre organisation :

1. Dressez une liste de toutes vos sources d'envoi de courrier électronique autorisées et configurez un outil de surveillance DMARC pour les suivre quotidiennement ou de temps à autre.
2. Discutez avec vos fournisseurs de messagerie pour savoir s'ils prennent en charge les pratiques d'authentification des e-mails.
3. Apprenez à connaître en détail SPF, DKIM et DMARC avant de passer aux étapes suivantes.
4. Assurez-vous que votre enregistrement SPF est dépourvu de Perte de confiance SPF en mettant en œuvre un outil d'aplatissement du SPF
5. Faites en sorte que votre processus de mise en œuvre du protocole soit transparent grâce aux conseils des spécialistes DMARC en vous inscrivant à un analyseur DMARC gratuit. Celui-ci peut vous aider à passer à p=reject en toute sécurité avec une détection en temps réel des vulnérabilités et des attaques.

La protection de votre domaine est l'une des premières mesures à prendre pour préserver votre réputation et maintenir votre crédibilité. Intégrez dès aujourd'hui la sécurité du courrier électronique dans votre dispositif de sécurité !

• À propos de
• Derniers messages

Maitham Al Lawati

Maitham est un entrepreneur technologique, expert en cybersécurité, PDG et fondateur de PowerDMARC avec plus de 15 ans d'expérience dans l'industrie. Maitham est titulaire d'un Global MBA de l'Université de Manchester et de diverses certifications professionnelles, notamment CISSP, CISM, CRISC et ISC2 CCSP.

Derniers messages de Maitham Al Lawati (voir tous)

• Corriger l'erreur SPF : Surmonter la limite de trop de consultations DNS de SPF - 26 avril 2024
• Comment publier un enregistrement DMARC en 3 étapes ? - 2 avril 2024
• Pourquoi DMARC échoue-t-il ? Corriger l'échec de DMARC en 2024 - 2 avril 2024