• Conseils de configuration DMARC avancés pour une sécurité au niveau de l'entreprise

Conseils de configuration DMARC avancés pour une sécurité au niveau de l'entreprise

Blog, DMARC

Enterprise DMARC garantit que les grandes organisations restent protégées contre le phishing, le spoofing et le BEC, et restent conformes aux normes HIPAA, GDPR et PCI DSS.

par Milena Baghdasaryan

Dernière mise à jour :
Temps de lecture : 6 min
Conseils de configuration DMARC avancés pour une sécurité au niveau de l'entreprise
Table des matières-

Points clés à retenir

  • Enterprise DMARC est essentiel pour lutter contre l'hameçonnage, l'usurpation d'identité et la compromission des courriels d'entreprise.
  • Une stratégie DMARC solide aide les grandes entreprises à gérer des écosystèmes de messagerie électronique complexes et à renforcer la sécurité dans tous les domaines et sous-domaines.
  • DMARC fournit aux entreprises une piste d'authentification vérifiable qui soutient la conformité avec des réglementations telles que HIPAA, PCI DSS et GDPR.
  • La surveillance continue, l'établissement de rapports et l'ajustement transforment DMARC en un processus permanent de sécurité de l'entreprise plutôt qu'en un déploiement ponctuel.
  • PowerDMARC permet aux entreprises de faire évoluer DMARC grâce à l'automatisation, à la création de rapports et à la gestion des règles.

Contrairement aux implémentations de base, le DMARC au niveau de l'entreprise exige un alignement précis, une intégration minutieuse de multiples sources de courrier électronique et un reporting proactif afin de rester à l'avant-garde des menaces en constante évolution. Au-delà de la sécurité, DMARC protège également la réputation de la marque, favorise la conformité réglementaireet garantit la fiabilité de l'acheminement du courrier électronique. En abordant DMARC comme un cadre évolutif et adaptable, les entreprises peuvent protéger leurs systèmes de messagerie contre des attaques sophistiquées.

Conseils avancés pour la configuration de DMARC en entreprise

Si vous souhaitez dépasser avec succès la politique de base p=nonede base, vous devez disposer de la stratégie et des outils adéquats. Ces conseils avancés visent à aider les grandes organisations à atteindre une protection totale (p=reject) à grande échelle.

Utiliser des politiques de sous-domaines

Les attaquants ciblent souvent des sous-domaines inutilisés ou oubliés pour des campagnes de spoofing. En effet, ces sous-domaines sont moins susceptibles d'être surveillés. Qui plus est, une politique DMARC sur votre domaine de premier niveau ne les protège pas automatiquement. Pour combler cette lacune, vous devez utiliser la balise de politique de sous-domaine sp.

Supposons que vous ayez identifié et configuré tous les sous-domaines d'envoi légitimes. Vous pouvez désormais définir une politique de refus par défaut dans l'enregistrement DMARC du domaine de votre organisation.

v=DMARC1 ; p=reject ; sp=reject ; rua=mailto:[email protected] ;

Cet enregistrement indique aux destinataires de rejeter le courrier provenant du domaine principal et de tout sous-domaine dont l'authentification DMARC échoue. Si un sous-domaine spécifique nécessite une politique différente, il doit avoir son propre enregistrement DMARC.

Mettre en œuvre correctement les modes d'alignement

L'alignement DMARC vérifie si le domaine dans l'en-tête « De » (ce que voit l'utilisateur) correspond au domaine validé par SPF DKIM. Il existe deux modes : assoupli et strict.

  • Alignement détendu (par défaut) : Le domaine "From" doit partager le même domaine organisationnel que les domaines validés par SPF. Par exemple, mail.yourcompany.com s'aligne sur yourcompany.com. Il s'agit d'une option d'alignement pratique pour la plupart des organisations.
  • Alignement strict (adkim=s et aspf=s) : Le domaine "From" doit correspondre exactement aux domaines validés par SPF. Cette solution offre le niveau de sécurité le plus élevé. Toutefois, n'oubliez pas qu'un alignement strict peut poser des problèmes avec certains expéditeurs tiers qui utilisent leurs propres sous-domaines pour l'envoi.

Intégrer plusieurs sources de courrier électronique

L'un des plus grands défis de la mise en place d'un DMARC avancée est de coordonner l'authentification des courriels pour les grandes organisations à travers tous les expéditeurs tiers. Vous devez :

Audit de tous les expéditeurs

Dressez un inventaire détaillé de tous les services qui envoient des courriels en votre nom.

Configurer SPF et DKIM pour chaque source

Collaborez avec chaque fournisseur pour obtenir leur SPF et les clés publiques DKIM. En effet, chaque service tiers doit être configuré avec un sélecteur DKIM unique afin d'isoler la signature et de simplifier la rotation des clés.

Contrôle via les rapports DMARC

Utilisez les rapports DMARC (en mode p=none) pour identifier les sources d'envoi non autorisées ou mal configurées que vous auriez pu manquer.

Activer les rapports légaux et agrégés

Les rapports DMARC sont votre principale source d'informations fiables pour l'authentification du courrier électronique.

  • Rapports agrégés (rua): Ces rapports XML fournissent un résumé de haut niveau de l'ensemble du trafic de courrier électronique prétendant provenir de votre domaine. Ils indiquent les adresses IP, les volumes d'envoi et les statistiques de réussite/échec SPF.
  • Rapports médico-légaux (ruf): Ces rapports fournissent des données détaillées, en temps réel, sur les courriels individuels qui échouent aux contrôles DMARC. Ils peuvent s'avérer très utiles pour enquêter sur les attaques actives d'usurpation d'identité et diagnostiquer des problèmes de configuration complexes. Il convient toutefois de noter qu'ils peuvent contenir des informations personnelles identifiables (PII) et soulever des problèmes de confidentialité.

Un enregistrement DMARC complet comprend les deux :

v=DMARC1 ; p=none ; rua=mailto:[email protected] ; ruf=mailto:[email protected] ; fo=1 ;

La balise fo=1 génère un rapport médico-légal si une partie de l'évaluation DMARC échoue.

Contrôler avant d'appliquer

Ne passez jamais directement à p=rejeter. Optez plutôt pour une approche progressive afin d'éviter de bloquer des courriels légitimes.

  1. Commencez par p=none : Ce "mode de surveillance" vous permet de collecter des rapports rua et ruf sans affecter la distribution du courrier électronique. Vous devez analyser ces rapports pendant des semaines ou des mois (en fonction de votre situation particulière) afin de détecter et de résoudre tous les problèmes d'authentification avec des expéditeurs légitimes.
  2. Déplacer vers quarantine: Cette politique indique aux serveurs de réception de déplacer les courriels défaillants vers le dossier spam ou junk. Il s'agit d'un moyen peu risqué de tester l'impact de la mise en œuvre. Elle vous permet de suivre de près les réactions des utilisateurs et les données des rapports.
  3. Appliquer avec p=rejeter: Une fois que vous êtes certain que tous les courriels légitimes sont authentifiés correctement (idéalement à plus de 99,9 %), vous pouvez passer à p=reject. p=reject demande aux destinataires de bloquer tout courriel qui échoue à DMARC.

Évolution de DMARC pour les entreprises

La gestion de DMARC dans des centaines ou des milliers de domaines nécessite des outils et des processus spécialisés.

Surveillance centralisée

L'analyse manuelle des rapports XML peut s'avérer extrêmement difficile à grande échelle. Tout comme les organisations s'appuient sur des logiciels de gestion des actifs d'entreprise pour consolider les données relatives aux actifs dans un tableau de bord centralisé, les entreprises devraient utiliser un analyseur de rapports DMARC pour analyser, visualiser et simplifier les données de rapport provenant de tous leurs domaines dans un tableau de bord unique.

Mises à jour de la politique guidée

Essayez de trouver une plateforme DMARC qui offre accès API et qui peut automatiser les mises à jour de la politique. Cela vous aidera à garantir la cohérence et à réduire les erreurs manuelles.

Travailler avec un fournisseur DMARC

Un fournisseur fournisseur DMARC dédié à l'entreprise offre l'expertise et les outils nécessaires pour gérer des déploiements complexes, contourner les limites de SPF et interpréter les données pour obtenir des informations sur les menaces.

Les pièges les plus courants et comment les éviter

Voici quelques pièges à éviter.

La (in)fameuse limite de l'enregistrement SPF 

Un enregistrement SPF ne peut pas générer plus de 10 consultations DNS. Les entreprises qui utilisent de nombreux services tiers dépassent souvent cette limite. Cela entraîne l'échec de SPF .

Pour résoudre ce problème, vérifiez votre enregistrement SPF afin de supprimer les mécanismes d'inclusion redondants ou inutiles. Vous pouvez utiliser un outil d'aplatissementSPF ou des macros pour rester automatiquement en dessous de la limite de 10 consultations DNS.

Sélecteurs DKIM mal configurés

Chaque service d'envoi doit disposer de son propre sélecteur DKIM unique (par exemple, selector1._domainkey.votreentreprise.com). Si vous utilisez des sélecteurs en double ou si vous ne publiez pas la clé publique correcte dans le DNS, ne soyez pas surpris si DKIM échoue.

Pour éviter cela, vous devez toujours conserver un enregistrement clair des sélecteurs affectés aux différents fournisseurs. Utiliser des outils de validation outils de validation DKIM pour vérifier que vos enregistrements DNS sont corrects.

Ignorer l'authentification des services tiers

Si une plateforme de marketing n'est pas correctement configurée avec DKIM et incluse dans votre enregistrement SPF , ses courriels échoueront aux contrôles DMARC lorsque vous passerez à p=reject.

Pour éviter cela, effectuez un audit initial approfondi et mettez en place un processus formel pour l'intégration des nouveaux fournisseurs d'envoi d'e-mails. La conformité DMARC doit être une étape obligatoire.

PowerDMARC pour les déploiements au niveau de l'entreprise

PowerDMARC est un excellent choix pour les entreprises car :

  • Il est évolutif: PowerDMARC est conçu pour gérer des volumes d'e-mails élevés et de nombreux domaines, ce qui en fait une excellente solution DMARC pour les entreprises.
  • Il est bien organisé: PowerDMARC offre un tableau de bord centralisé et multi-tenant. Grâce à cette interface intuitive, vous pouvez facilement visualiser, contrôler et gérer votre authentification d'email dans une seule plateforme 'parapluie'.
  • C'est complet: en plus de couvrir le DMARC d'entreprise, PowerDMARC fournit également des générateurs, des vérificateurs et des services hébergés pour d'autres protocoles. Ceux-ci incluent SPF, DKIM, BIMI, MTA-STS et TLS-RPT.
  • C'est intelligent: PowerDMARC utilise le moteur de veille sur les menaces le plus récent et le plus avancé, piloté par l'IA, pour analyser les rapports DMARC complexes, détecter les problèmes et identifier les failles de sécurité.
  • C'est un soutien: PowerDMARC offre un service clientèle professionnel 24 heures sur 24, 7 jours sur 7, dans plus d'une douzaine de langues, afin d'assurer des opérations fluides et sûres.
  • C'est simple: De nombreuses ressources d'apprentissage et d'orientation sont disponibles sur PowerDMARC, de sorte que même les débutants peuvent utiliser la plateforme avec facilité.
  • On lui fait confiance: De grandes entreprises du monde entier font confiance à PowerDMARC pour leurs opérations. D'après les commentaires de vrais utilisateurs sur G2, PowerDMARC a été nommé la société de logiciels DMARC à la croissance la plus rapide de 2025.

Résumé 

Si les petites entreprises peuvent survivre avec une configuration DMARC de base, les grandes entreprises ne peuvent pas se permettre ce "luxe". Les grandes entreprises ont besoin d'une configuration DMARC avancée, telle que des politiques de sous-domaines, un alignement strict et des rapports complets. Mais le retour sur investissement en vaut vraiment la peine : vous constaterez rapidement une réduction du risque d'usurpation d'identité, une amélioration de la délivrabilité des messages électroniques et une plus grande confiance de la part de vos clients et de vos partenaires. 

N'oubliez pas que DMARC n'est pas un projet ponctuel ; il s'agit d'un processus continu de surveillance et d'ajustement pour suivre l'évolution des menaces et des réglementations. Si vous avez besoin d'aide à n'importe quelle étape de votre configuration DMARC avancée, contactez PowerDMARC dès aujourd'hui !

Foire aux questions

Quelle est la probabilité qu'une grande entreprise soit victime d'une attaque BEC ?

Les plus grandes organisations (celles qui comptent plus de 50 000 employés) ont près de 100 % de chances d'être confrontées à au moins une attaque BEC par semaine. Elles représentent le risque le plus élevé parmi toutes les organisations.

Lorsque vous dites que les grandes entreprises envoient des courriels provenant de différentes sources, que voulez-vous dire exactement ?

La messagerie électronique des grandes entreprises est composée de 

  • Serveurs de messagerie sur site
  • Fournisseurs de services en nuage (par exemple, Google Workspace ou Microsoft 365)
  • Fournisseurs tiers pour le marketing 
  • Soutien à la clientèle
  • Courriels transactionnels

Dois-je éviter complètement p=none ?

p=none peut s'avérer très utile dans la phase initiale de surveillance de la mise en œuvre du DMARC. Cependant, vous aurez finalement besoin d'une protection plus forte, telle quequarantine , de préférence, p=reject.

Derniers messages de Milena Baghdasaryan (voir tous)
Dernière mise à jour :
Les meilleures solutions de gestion de la sécurité des domaines pour protéger votre identité numériqueMeilleures solutions de gestion de la sécurité des domaines pour protéger votre identité numériqueL'agence nationale italienne de cybersécurité recommande DMARC et l'authentification...