Le phishing et les attaques par courrier électronique étant de plus en plus répandus, vous devez configurer vos paramètres DMARC pour renforcer vos défenses contre les cyberattaques imminentes. La mise en place du protocole DMARC (Domain-based Message Authentication Reporting and Conformance) est la première étape vers la conformité de vos messages électroniques. Le moyen le plus rapide d'y parvenir est de créer un enregistrement DNS et de le faire publier avec l'aide de votre hébergeur.
Pour configurer DMARCvous devez commencer par créer un enregistrement DMARC. Aussi compliqué que cela puisse paraître, le processus de configuration de DMARC est relativement simple !
Explication de la configuration de DMARC
Une configuration DMARC est un processus d'authentification du courrier électronique qui aide les organisations à lutter contre l'usurpation d'identité, l'hameçonnage et la fraude par courrier électronique. Pour valider l'authenticité des communications par courrier électronique, les paramètres DMARC fonctionnent de concert avec d'autres systèmes d'authentification du courrier électronique tels que SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail).
Pourquoi configurer DMARC ?
90 % des attaques par hameçonnage utilisent le courrier électronique comme vecteur, ce qui rend l'authentification du courrier électronique indispensable. Le rapport 2020 de l'Internet Crime Complaint Center du FBI (Rapport IC3 2020 du FBI) a rapporté que 28 500 plaintes ont été reçues aux États-Unis concernant des attaques par courrier électronique. Cela met immédiatement DMARC sur le devant de la scène.
Le saviez-vous ?
- 75 % des domaines d'organisations du monde entier ont été usurpés en 2020 pour envoyer des courriels d'hameçonnage à des victimes
- 74% de ces campagnes d'hameçonnage ont réussi
- La fréquence des BEC a augmenté de 15 % depuis l'année dernière.
- Selon IBM, l'année dernière, une entreprise sur cinq a été victime d'une violation de données causée par des courriels malveillants.
Vérifiez votre domaine dès maintenant pour voir à quel point vous êtes protégé contre la fraude par courriel !
Exigences pour une configuration DMARC
Si vous décidez de créer un enregistrement DMARC et de le mettre en œuvre, vous devez remplir certaines conditions préalables avant de passer à la mise en œuvre.
- Vous devez avoir accès à votre console de gestion DNS
- Assurez-vous de reconnaître tous vos expéditeurs de courriel autorisés
- Enregistrement SPF et/ou DKIM publié dans votre DNS
Éléments fondamentaux de votre configuration DMARC : Alignement de SPF et DKIM
Pour configurer votre politique politique DMARC vous devez mettre en œuvre soit Sender Policy Framework (SPF), soit DomainKeys Identified Mail (DKIM), soit les deux.
SPF indique aux serveurs de messagerie quelles adresses IP ou sources d'envoi sont autorisées à envoyer du courrier sortant de votre domaine. DKIM ajoute une signature numérique au courrier sortant afin d'empêcher toute modification du message. Cela permet d'éviter que des spams et des courriels frauduleux n'atteignent vos clients de messagerie en se faisant passer pour votre marque dans le cadre d'escroqueries par hameçonnage.
Vous pouvez configurer l'alignement de votre domaine de manière à ce que les champs d'en-tête SPF et DKIM correspondent partiellement au domaine From :, ou vous pouvez opter pour une authentification plus stricte en optant pour une correspondance exacte.
Comment configurer DMARC ? Un guide pas à pas
Pour démarrer votre installation DMARC DNS, suivez les étapes d'installation indiquées ci-dessous :
Étape 1 : Création de l'enregistrement DMARC
Vous commencez par créer un enregistrement DNS qui définit votre politique et établit la mise en œuvre.
Pour créer un enregistrement gratuit, utilisez notre générateur DMARC comme indiqué dans la capture d'écran ci-dessus. Une fois que vous aurez ouvert l'écran de l'outil, vous devrez remplir certains critères obligatoires.
Étape 2 : Choisir une politique DMARC adaptée à vos courriels
La balise p= policy est une balise obligatoire qui doit être configurée dans votre configuration DMARC. Si vous la sautez, votre enregistrement ne sera pas valide.
La balise p= policy est une balise obligatoire qui doit être configurée dans votre configuration DMARC. Si vous la sautez, votre enregistrement ne sera pas valide.
Pour éviter que vos courriels ne soient usurpés, vous devez configurer une politique politique DMARC de p=quarantine ou plus. Cependant, vous pouvez choisir une politique "none" si vous souhaitez surveiller vos courriels avant de vous engager dans une mise en œuvre complète.
Étape 3 : Activer les rapports et cliquer sur "Générer"
Les autres critères ne sont pas obligatoires. Toutefois, si vous souhaitez mettre en place des flexibilités d'alignement pour DKIM et SPF ou activer les rapports DMARC, vous pouvez le faire. Les rapports RUA et RUF peuvent vous aider à suivre votre flux de courrier et vos résultats d'authentification afin de détecter rapidement les incohérences.
Enfin, cliquez sur le bouton "générer" pour finaliser vos paramètres DMARC et terminer le processus de création de votre enregistrement.
Étape 4 : Publier et valider la configuration de l'enregistrement
Une fois que vous avez créé l'enregistrement TXT, utilisez le bouton "copy" pour copier directement la syntaxe et allez ensuite dans votre console de gestion DNS. Collez l'enregistrement sur votre DNS pour terminer votre configuration DMARC.
Lisez notre guide détaillé sur la publication d'un enregistrement enregistrement DMARC sur votre DNS pour en savoir plus.
Exemple de configuration DMARC
Voici un exemple de configuration DMARC typique :
v=DMARC1 ; p=rejet ; adkim=s ; aspf=s ; rua=mailto:mymail@domain.com ; ruf=mailto:mymail@domain.com ; pct=100 ; fo=0 ;
Remarque : au début de votre démarche d'authentification du courrier électronique, vous pouvez maintenir votre politique DMARC (p) à aucun au lieu de rejeter, afin de surveiller votre flux de courrier électronique et de résoudre les problèmes avant de passer à une politique stricte.
Démystifier la syntaxe de l'enregistrement
La syntaxe de votre configuration DMARC est la partie la plus importante de votre mise en œuvre, car elle détermine la manière dont vos courriels seront authentifiés et l'action qui sera entreprise après la vérification. Examinons quelques mécanismes primaires :
- Le champ "v" détermine la version du protocole DMARC, c'est-à-dire DMARC1.
- Le champ "p" est le champ obligatoire de la politique DMARC qui peut être défini sur none/reject/quarantine policy.
- Les champs "rua" aggregate feedback et "ruf" forensic reports sont des options de rapport DMARC qui aident les ESP destinataires à fournir un retour d'information sur les courriels envoyés à vos destinataires, qui seraient envoyés à votre adresse électronique définie ou à votre boîte aux lettres dédiée.
Il ne s'agit là que de quelques exemples, vous pouvez en savoir plus dans notre blog détaillé sur les balises DMARC.
Vérification de la configuration de l'enregistrement DMARC
Après avoir mis en place DMARC, vous devez vérifier vos configurations pour vous assurer que le protocole fonctionne selon vos besoins. En l'absence de vérifications et de contrôles appropriés, l'authentification de vos messages électroniques peut s'avérer très difficile et conduire à des faux positifs ou à des échecs, ce qui a un impact sur les performances de distribution de votre courrier.
Pour vérifier votre configuration, vous pouvez utiliser gratuitement l'outil de vérification DMARC de PowerDMARC. Il s'agit d'un outil instantané et efficace pour valider votre enregistrement DNS TXT qui non seulement indique l'état de validité de votre enregistrement, mais met également en évidence les erreurs et suggère des améliorations pour atteindre la conformité plus rapidement !
Pour l'utiliser :
- Saisissez votre nom de domaine dans la case de destination (par exemple, si l'URL de votre site web est https://company.com votre nom de domaine sera entreprise.com)
- Cliquez sur le bouton "Recherche".
- Voir vos résultats affichés à l'écran
Nous recommandons cette méthode de vérification comme alternative à la vérification manuelle pour une expérience plus rapide, plus précise et sans tracas.
Peut-on configurer DMARC sans DKIM ou SPF ?
Non. Vous devez configurer l'un ou l'autre pour vous assurer que vos courriels sont authentifiés. Vous pouvez choisir de configurer les deux, ce qui est l'approche recommandée pour une sécurité maximale, mais c'est tout à fait facultatif.
Ces deux approches sont traitées en profondeur dans notre base de connaissances.
Avantages et utilisations d'une configuration DMARC
Une configuration DMARC peut être utile dans les situations suivantes :
- Pour s'assurer que seuls les expéditeurs autorisés peuvent envoyer des courriels au nom de votre domaine de messagerie
- Pour prévenir les attaques de phishing et d'usurpation de domaine direct par courrier électronique
- Pour visualiser les adresses IP ou les sources qui envoient des courriels en votre nom
- Pour empêcher les messages indésirables d'atteindre vos destinataires
- Améliorer la délivrabilité des courriers électroniques légitimes.
Quels sont les meilleurs paramètres DMARC ?
Le meilleur paramètre DMARC, si vous souhaitez une protection maximale contre les attaques par courrier électronique, est p=reject (où p est le mécanisme utilisé pour spécifier votre politique d'enregistrement). Le choix d'un paramètre DMARC approprié dépend du degré d'application que vous souhaitez (la rigueur avec laquelle vous voulez que les destinataires traitent les courriels qui échouent au test DMARC).
Pour la surveillance uniquement, vous pouvez configurer DMARC avec une politique "none", tandis que vous pouvez configurer "quarantine" si vous souhaitez examiner les courriels non autorisés dans votre quarantaine ou votre dossier spam avant de les rejeter ou de les accepter.
Tirer parti de DMARC pour empêcher l'usurpation de domaine
Notez que si vous souhaitez configurer DMARC pour empêcher que votre domaine ne soit spolié et tenir à distance les attaques de phishing et de BEC, nous vous recommandons de sélectionner le critère suivant lors de la création de votre enregistrement DMARC :
Définissez votre politique DMARC comme suit p=rejet
Qu'est-ce que cela signifie ?
Lorsque vous configurez l'application de DMARC au sein de votre organisation en choisissant des paramètres DMARC "rejetés", cela signifie que chaque fois qu'un message électronique envoyé depuis votre domaine échoue à l'authentification DMARC, l'e-mail malveillant est instantanément rejeté par le serveur de messagerie destinataire, au lieu d'être délivré dans la boîte de réception de votre destinataire d'e-mail.
Comment désactiver DMARC ?
Il est important de garder à l'esprit que la désactivation de l'authentification du courrier électronique pour vos domaines n'est ni recommandée ni encouragée, car elle rend vos domaines vulnérables à un large éventail de cyber-attaques et permet aux cybercriminels d'usurper l'identité de votre domaine. Cela dit, si vous souhaitez tout de même désactiver le protocole, vous pouvez suivre les étapes ci-dessous :
- Accédez à la console de gestion de votre bureau d'enregistrement DNS
- Accédez à l'éditeur DNS avancé pour modifier vos paramètres DNS.
- Localisez le domaine pour lequel vous voulez désactiver DMARC
- Supprimer l'enregistrement DMARC TXT
- Sauvegarder les modifications et attendre un certain temps pour que les modifications soient prises en compte.
Vous pouvez également contacter votre registraire de domaine pour qu'il vous aide à supprimer l'enregistrement au cas où vous n'auriez pas accès à la console.
La suppression de l'entrée DNS pour DMARC désactivera automatiquement le protocole pour le domaine concerné. Toutefois, si vous avez plusieurs domaines pour lesquels DMARC est activé, vous devez supprimer manuellement les entrées DNS pour ces domaines afin de les désactiver pour votre organisation.
Configurer DMARC facilement avec PowerDMARC
Lorsque vous créez un compte sur PowerDMARC, nous nous occupons de la mise en œuvre et de l'installation du protocole pour vous. Nous gérons et surveillons également la santé de votre domaine et de vos emails, analysons vos rapports agrégés et organisons vos résultats d'authentification sur un tableau de bord dédié.
Si vous ne voulez pas subir les inconvénients d'une installation manuelle, vous pouvez automatiser le processus en faisant un essai gratuit de 15 jours avec nous. Pour profiter des avantages de l'authentification des courriels et configurer DMARC de manière à protéger efficacement votre domaine, inscrivez-vous auprès de DMARC analyzer dès aujourd'hui !
