Les propriétaires de domaines commettent souvent l'erreur de penser que leur parcours d'authentification des courriels s'arrête à l'application de la loi. Ils sont loin de se douter que la vie après p=reject est une phase importante qui détermine la force globale de la posture de sécurité de leur domaine. Pour une protection continue contre les attaques de spoofing et de phishing, il est impératif de formuler une stratégie de sécurité de la messagerie qui ne commence qu'après l'application de la loi.
Qu'est-ce que P=Rejeter ?
Le site politique DMARC a 3 modes définitifs d'application que l'on peut déployer, ils sont :
- p=none (aucune action entreprise)
- p=quarantine (met en quarantaine les courriels qui ne répondent pas aux critères DMARC)
- p=reject (rejette les emails en cas de échec de DMARC)
Le rejet étant la politique maximale d'application de DMARC, il aide les propriétaires de domaines à bloquer les courriels usurpés ou d'hameçonnage avant qu'ils n'atteignent les boîtes de réception des clients. Ceux qui souhaitent tirer parti de DMARC pour protéger leurs domaines contre les vecteurs d'attaque basés sur le courrier électronique peuvent trouver que p=reject est un mode de politique approprié.
Comment atteindre le mode P=Reject ?
Le plus souvent, les propriétaires de domaines essaient de se précipiter dans le processus de déploiement de leur protocole et espèrent obtenir une mise en application le plus rapidement possible. Ce n'est toutefois pas recommandé. Nous allons vous expliquer pourquoi :
Risques liés au rejet de DMARC
- Le passage à l'application à un rythme très rapide peut entraîner des problèmes de délivrabilité des e-mails
- Cela peut conduire à la perte de messages électroniques légitimes.
- Cela peut entraîner des échecs DMARC pour les courriels envoyés en dehors de votre propre domaine.
Quelle est la pratique recommandée ?
Bien que la politique de rejet s'accompagne de son propre ensemble d'avertissements et de clauses de non-responsabilité, son efficacité dans la prévention de diverses attaques de fraude par courrier électronique est indéniable. Examinons donc maintenant les moyens de passer au rejet en toute sécurité :
- Commencez avec p=none
Au lieu de commencer par une politique imposée, il est fortement recommandé de commencer par quelque chose qui offre plus de flexibilité et de liberté : et c'est exactement ce que fait p=none. Cette politique, bien qu'elle ne fasse pas grand-chose en termes de protection, peut servir d'excellent outil de surveillance pour vous aider dans votre parcours de mise en œuvre.
- Activer les rapports DMARC
La surveillance de vos canaux de messagerie peut vous aider à éviter les échecs de livraison indésirables dus à des protocoles mal configurés. Elle peut vous permettre de visualiser et de détecter les erreurs, et de les dépanner plus rapidement.
Les rapports DMARC peuvent vous aider à identifier l'efficacité de votre politique d'authentification des e-mails.
Bien que l'authentification des e-mails ne soit pas une solution miracle, elle peut être un outil efficace dans votre arsenal de sécurité. Grâce aux rapports DMARC, vous pouvez voir si vos efforts sont efficaces et où vous devez ajuster votre stratégie.
Il existe deux types de rapports :
- Aggregate (RUA) est conçu pour vous aider à suivre vos sources d'envoi d'e-mails, les adresses IP des expéditeurs, les domaines organisationnels et les géolocalisations.
- Forensic (RUF) est conçu pour fonctionner comme des rapports d'alerte d'incident lorsqu'un événement forensique comme l'usurpation d'identité a lieu.
- Configurer à la fois SPF et DKIM avec DMARC
Trop de cuisiniers ne gâtent pas le bouillon lorsqu'il s'agit de la mise en œuvre de DMARC. Les experts en sécurité recommandent plutôt de coupler DMARC avec SPF et DKIM pour renforcer la protection et réduire les risques de faux positifs. Cela peut également éviter les échecs DMARC non désirés.
DMARC nécessite soit SPF ou DKIM pour passer l'authentification.
Cela joue un rôle essentiel pour vous aider à mettre en œuvre en toute sécurité une politique de rejet, en garantissant que même si SPF échoue et que DKIM passe ou vice versa, MARC passera pour le message prévu.
- Incluez toutes vos sources d'envoi
L'omission des sources d'envoi dans votre enregistrement SPF peut être particulièrement préjudiciable lorsque vous essayez d'éviter les échecs DMARC indésirables. Il est important de dresser une liste de toutes vos sources d'envoi d'e-mails (y compris les fournisseurs d'e-mails et de services tiers tels que Gmail, Microsoft O365, Yahoo Mail, Zoho, etc.)
Ceci est particulièrement important si vous n'utilisez SPF qu'en combinaison avec DMARC. Chaque fois que vous ajoutez ou supprimez une source d'envoi, votre enregistrement SPF doit refléter les mêmes changements.
Pour résumer votre vie après le p=rejet
La surveillance de vos protocoles d'authentification de courrier électronique est une partie essentielle de la vie après le rejet. Elle permet non seulement de garantir l'efficacité de vos mesures de sécurité, mais aussi de mieux comprendre leurs fonctionnalités afin de déterminer ce qui fonctionne le mieux pour vous. A analyseur DMARC vous permet de passer en douceur de p=none à reject, d'éviter les problèmes de délivrabilité, de surveiller vos canaux de messagerie, de mettre à jour les politiques de protocole et de résoudre les problèmes sur une seule et même plateforme, en toute simplicité.
