Alerte importante : Google et Yahoo exigeront DMARC à partir d'avril 2024.

Comment fonctionne DMARC ?

DMARC, ou Domain-based Message Authentication Reporting and Conformance, est un protocole d'authentification du courrier électronique créé dans le but de protéger les domaines d'activité et les marques des attaques par usurpation d'identité. 

Les attaquants peuvent se faire passer pour votre organisation afin d'envoyer des courriels de phishing à vos clients, à vos partenaires commerciaux et même à vos propres employés. La fraude par courriel est l'un des moyens les plus courants par lesquels les organisations perdent des données sensibles et de l'argent au profit de cybercriminels. 

LeDMARC est conçu pour lutter contre l'usurpation de domaine en agissant comme un moyen pour les serveurs de courrier électronique de réception de vérifier si un message entrant est authentique ou non. Comprenons comment cela fonctionne exactement.

powerdmarc, le courrier électronique sécurisé

Comment fonctionne DMARC ?

Le DMARC combine deux technologies existantes pour authentifier le courrier électronique provenant de votre domaine. SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail) sont les deux composantes de base de la DMARC. Examinons les deux.

SPF

Lorsque vous mettre en œuvre le SPF pour votre domaine, vous publiez un enregistrement SPF dans votre DNS. Lorsqu'un destinataire reçoit un courrier électronique de votre domaine, il compare l'adresse IP de l'expéditeur avec la liste des IP autorisées stockées dans votre enregistrement SPF. Si le serveur de réception reçoit un courrier électronique provenant d'une adresse IP ne figurant pas dans cette liste, le message échouera dans le SPF.

Si le SPF peut être très efficace, il présente certaines limites qui en font une solution d'authentification incomplète.

PowerDMARC MSSP est différent
  • Le SPF est une liste blanche basée sur l'adresse IP, ce qui signifie que si quelqu'un transfère le courriel, il ne contiendra pas l'adresse IP autorisée de l'expéditeur original.
  • Le SPF ne fournit pas de retour d'information. Contrairement au DMARC, il n'y a aucun moyen de savoir si un courriel a échoué à l'authentification SPF.
  • Le SPF authentifie le domaine "mailfrom" caché, et non le domaine "from" que les destinataires verront lorsqu'ils liront le courrier électronique. Les attaquants peuvent donc toujours usurper un courriel. 
  • Les courriers électroniques en cas de défaillance du SPF peuvent toujours arriver dans la boîte de réception du destinataire, la manière dont les courriers électroniques en cas de défaillance du SPF sont traités varie en fonction de l'ATM de réception 

DKIM

En attendant, DKIM joint une signature numérique aux courriels autorisés. Lorsqu'un expéditeur non autorisé tente d'envoyer un courrier électronique depuis votre domaine, ou falsifie vos courriers électroniques, le serveur de réception peut le détecter et empêcher la livraison du courrier électronique.

Pour qu'un message soit approuvé par DMARC, il doit être authentifié par SPF ou DKIM. Si un message échoue à ces deux authentifications, le serveur vérifie votre politique DMARC pour savoir ce qu'il doit faire ensuite. Votre politique peut être définie dans votre enregistrement DMARC comme l'une des trois options suivantes :

  • p=none - Même les courriels dont l'authentification échoue sont envoyés dans la boîte de réception du destinataire.

  • p=quarantaine - Les courriers électroniques non authentifiés vont dans le dossier des spams.

  • p=reject - Les courriels qui échouent au DMARC ne sont pas livrés au destinataire.

PowerDMARC MSSP est différent

Vous devez mettre en place une politique de quarantaine ou de rejet afin d'appliquer correctement le DMARC.

Processus d'authentification DMARC

Pour décrire le courrier électronique sans authentification DMARC, examinons d'abord le courrier électronique sans DMARC:

PowerDMARC MSSP est différent
  • Un courrier électronique est envoyé de business.com à receiver.com

  • L'agent de transfert de courrier (MTA) de receiver.com ne dispose d'aucun mécanisme pour authentifier l'expéditeur du courrier électronique (business.com)

  • Tous les courriels envoyés depuis business.com sont livrés dans la boîte de réception des destinataires sans être validés.

  • Si l'un des courriers électroniques provenant de business.com a été envoyé par un attaquant se faisant passer pour lui, ces courriers électroniques frauduleux ont également été livrés à receiver.com.

Voyons maintenant comment fonctionne le courrier électronique avec le DMARC:

PowerDMARC MSSP est différent
  • Un courrier électronique est envoyé de business.com à receiver.com

  • L'agent de transfert de courrier (MTA) de receiver.com recherche les enregistrements SPF, DKIM et DMARC de business.com (sur leur DNS) pour authentifier l'expéditeur

  • Si l'expéditeur est authentifié, le courriel est livré au destinataire. Sinon, le courriel est soit mis en quarantaine (envoyé au spam), soit rejeté (non délivré).

  • Les rapports DMARC sont générés par le MTA récepteur et sont envoyés à PowerDMARC

Qu'est-ce qui rend le DMARC meilleur ?

Vous vous demandez peut-être pourquoi quelqu'un voudrait mettre en œuvre la DMARC au lieu de se contenter d'utiliser SPF et DKIM. Après tout, il faut que les deux soient configurés pour utiliser la DMARC. Mais il leur manque deux fonctionnalités clés qui rendent DMARC incroyablement puissant.

Alignement 

  • Le SPF et le DKIM n'offrent à eux seuls qu'une protection limitée car ils fonctionnent de manière indépendante. La DMARC, cependant, exploite les deux technologies pour une sécurité maximale.

  • Lorsque votre courriel est envoyé, le "domaine de départ" contient votre nom de domaine. De plus, votre domaine apparaît également dans votre signature DKIM. 

  • Si ces deux éléments correspondent, ils sont considérés comme alignés. Avec le DMARC, si les deux noms de domaine ne sont pas alignés, le courriel ne sera pas authentifié.

Rapports et visibilité

  • Lorsque vous mettez en œuvre le DMARC, vous recevez des rapports quotidiens agrégés qui vous indiquent quels e-mails transitant par votre domaine passent ou échouent au DMARC. 

  • La DMARC ne se contente pas de défendre passivement votre domaine, elle peut être utilisée pour éliminer activement les problèmes de livraison et les menaces à la sécurité.

Vous vous demandez si votre domaine est protégé contre l'usurpation d'identité ? Faites ce test pour connaître l'état de santé de votre domaine.

Avantages de la DMARC

Éliminer les menaces

Détecter et traiter rapidement les attaques de spoofing, trouver et mettre sur liste noire les IP abusives 

Maximiser la livraison

Comprendre immédiatement les problèmes de délivrabilité et les résoudre rapidement

Boostez votre marque

En les protégeant du phishing, vos clients feront davantage confiance à votre marque

Pourquoi le DMARC est-il bon pour votre marque ?

  • Jusqu'à présent, il est assez clair que le DMARC vous aide à protéger vos canaux de courrier électronique contre l'usurpation de domaine et le phishing. Mais offre-t-elle vraiment suffisamment d'avantages majeurs pour justifier sa mise en œuvre ?

  • Imaginez un scénario où un Un hacker se fait passer pour votre marque pour envoyer des e-mails de phishing à tous vos clients. Lorsque des centaines de clients finissent par divulguer des données personnelles sensibles à un cybercriminel, ils commencent à associer votre marque à cette escroquerie de phishing. Aujourd'hui, votre nom fait la une des journaux pour un crime dont vous n'êtes pas responsable, et des problèmes juridiques peuvent s'ensuivre.

  • Vous ne pourrez jamais empêcher chaque employé ou client d'ouvrir un faux courriel. Mais c'est exactement ce que fait la DMARC.

  • En éliminant les courriers électroniques frauduleux avant même qu'ils n'entrent dans les boîtes de réception des gens, il empêche l'apparition d'une escroquerie par hameçonnage. Et par conséquent, vous êtes toujours en contrôle des courriels que les gens voient. Vous êtes toujours en contrôle de votre marque.

powerdmarc, le courrier électronique sécurisé

Réservez une démo maintenant !