Le Business Email Compromise (BEC) est une forme de violation de la sécurité du courrier électronique ou d'attaque par usurpation d'identité qui affecte les organisations commerciales, gouvernementales et à but non lucratif, les petites entreprises et les startups ainsi que les multinationales et les entreprises pour extraire des données confidentielles susceptibles d'avoir une influence négative sur la marque ou l'organisation. Les attaques de spear phishing, les escroqueries à la facture et les attaques par usurpation d'identité sont autant d'exemples de BEC.
Les cybercriminels sont des magouilleurs experts qui ciblent intentionnellement des personnes spécifiques au sein d'une organisation, en particulier celles qui occupent des positions autoritaires comme le PDG ou une personne similaire, ou même un client de confiance. L'impact financier mondial dû aux BEC est énorme, en particulier aux États-Unis, qui sont devenus la principale plaque tournante. En savoir plus sur le volume mondial d'escroquerie BEC. La solution ? Passez à DMARC!
Qu'est-ce que le DMARC ?
La norme DMARC (Domain-based Message Authentication, Reporting and Conformance) est une norme industrielle pour l'authentification du courrier électronique. Ce mécanisme d'authentification indique aux serveurs de réception comment répondre aux courriels qui échouent aux contrôles d'authentification SPF et DKIM. DMARC peut réduire considérablement les risques que votre marque devienne la proie d'attaques BEC et contribuer à protéger sa réputation, ses informations confidentielles et ses actifs financiers.
Notez qu'avant de publier un enregistrement DMARC, vous devez mettre en œuvre SPF et DKIM pour votre domaine, car l'authentification DMARC utilise ces deux protocoles d'authentification standard pour valider les messages envoyés au nom de votre domaine.
Vous pouvez utiliser gratuitement notre générateur d'enregistrements SPF et notre générateur d'enregistrements DKIM pour générer des enregistrements à publier dans le DNS de votre domaine.
Comment optimiser votre dossier DMARC pour vous protéger contre la CEB ?
Afin de protéger votre domaine contre le Business Email Compromise, ainsi que de permettre un mécanisme de reporting étendu pour surveiller les résultats d'authentification et obtenir une visibilité complète de votre écosystème de messagerie, nous vous recommandons de publier la syntaxe d'enregistrement DMARC suivante dans le DNS de votre domaine :
v=DMARC1 ; p=rejet ; rua=mailto:[email protected] ; ruf=mailto:[email protected] ; fo=1 ;
Comprendre les balises utilisées lors de la génération d'un enregistrement DMARC :
v (obligatoire) | Ce mécanisme précise la version du protocole. |
p (obligatoire) | Ce mécanisme spécifie la Politique DMARC en cours d'utilisation. Vous pouvez définir votre politique DMARC de la manière suivante :
p=none (DMARC au niveau de la surveillance uniquement, les courriels échouant aux contrôles d'authentification arrivant quand même dans les boîtes de réception des destinataires). p=quarantine (DMARC au niveau de l'application, les courriels échouant aux contrôles d'authentification étant mis en quarantaine ou placés dans le dossier "spam"). p=rejet (DMARC au maximum, où les courriels qui échouent aux contrôles d'authentification seront rejetés ou ne seront pas livrés du tout). Pour les novices en matière d'authentification, il est recommandé de commencer par une politique de surveillance uniquement (p=none), puis de passer progressivement à l'application. Toutefois, pour les besoins de ce blog, si vous souhaitez protéger votre domaine contre le BEC, il est recommandé d'adopter la politique p=reject afin d'assurer une protection maximale. |
sp (facultatif) | Cette balise spécifie la politique de sous-domaines qui peut être définie à sp=non/quarantine/rejeter demandant une politique pour tous les sous-domaines dans lesquels les courriels échouent à l'authentification DMARC.
Cette balise n'est utile que si vous souhaitez définir une politique différente pour votre domaine principal et vos sous-domaines. Si ce n'est pas le cas, la même politique sera appliquée par défaut à tous vos sous-domaines. |
adkim (facultatif) | Ce mécanisme spécifie le mode d'alignement de l'identifiant DKIM qui peut être réglé sur s (strict) ou r (relâché).
L'alignement strict spécifie que le champ d= dans la signature DKIM de l'en-tête de l'e-mail doit être aligné et correspondre exactement au domaine trouvé dans l'en-tête from. Toutefois, pour un alignement assoupli, les deux domaines doivent partager le même domaine organisationnel uniquement. |
aspf (facultatif) | Ce mécanisme spécifie le mode d'alignement de l'identifiant du SPF qui peut être réglé sur s (strict) ou r (relâché).
L'alignement strict spécifie que le domaine dans l'en-tête "Return-path" doit s'aligner et correspondre exactement au domaine trouvé dans l'en-tête "from". Toutefois, pour un alignement assoupli, les deux domaines doivent partager le même domaine organisationnel uniquement. |
rua (facultatif mais recommandé) | Cette balise spécifie les rapports agrégés DMARC qui sont envoyés à l'adresse spécifiée après le champ mailto :, fournissant un aperçu des courriels qui passent et qui échouent en DMARC. |
ruf (facultatif mais recommandé) | Cette balise spécifie les rapports médico-légaux DMARC qui doivent être envoyés à l'adresse spécifiée après le champ mailto :. Les rapports de police scientifique sont des rapports au niveau du message qui fournissent des informations plus détaillées sur les échecs d'authentification. Comme ces rapports peuvent contenir du contenu de courrier électronique, leur cryptage est la meilleure pratique. |
pct (facultatif) | Cette balise précise le pourcentage de courriels auxquels s'applique la politique du DMARC. La valeur par défaut est fixée à 100. |
fo (facultatif mais recommandé) | Les options médico-légales pour votre dossier DMARC peuvent être réglées sur
->DKIM et SPF ne passent pas ou ne s'alignent pas (0) ->DKIM ou SPF ne passent pas ou ne s'alignent pas (1) ->DKIM ne passe pas ou ne s'aligne pas (d) ->SPF ne passe pas ou ne s'aligne pas (s) Le mode recommandé est fo=1, qui précise que des rapports d'expertise doivent être générés et envoyés à votre domaine lorsque des courriels échouent aux contrôles d'authentification DKIM ou SPF. |
Vous pouvez générer votre enregistrement DMARC avec le générateur d'enregistrements DMARC gratuit de PowerDMARC dans lequel vous pouvez sélectionner les champs en fonction du niveau d'application que vous souhaitez.
Notez que seule une politique de rejet peut minimiser le BEC et protéger votre domaine contre les attaques d'usurpation d'identité et de phishing.
Bien que DMARC puisse être une norme efficace pour protéger votre entreprise contre le BEC, sa mise en œuvre correcte nécessite des efforts et des ressources. Que vous soyez un novice ou un aficionado de l'authentification, PowerDMARC, pionnier de l'authentification par email, est une plateforme SaaS unique d'authentification par email qui combine toutes les meilleures pratiques d'authentification par email telles que DMARC, SPF, DKIM, BIMI, MTA-STS et TLS-RPT, sous le même toit pour vous. Nous vous aidons :
- Passer de la surveillance à l'application en un rien de temps pour tenir la CEB à distance
- Nos rapports agrégés sont générés sous forme de graphiques et de tableaux simplifiés pour vous aider à les comprendre facilement sans avoir à lire des fichiers XML complexes
- Nous cryptons vos rapports de police scientifique pour protéger la confidentialité de vos informations
- Visualisez vos résultats d'authentification dans 7 formats différents (par résultat, par source d'envoi, par organisation, par hôte, statistiques détaillées, rapports de géolocalisation, par pays) sur notre tableau de bord convivial pour une expérience utilisateur optimale.
- Obtenez une conformité à 100 % avec la norme DMARC en alignant vos courriels sur les normes SPF et DKIM afin que les courriels qui échouent à l'un ou l'autre des points de contrôle d'authentification ne parviennent pas dans la boîte de réception de vos destinataires
Comment le DMARC protège-t-il contre la CEB ?
Dès que vous réglez votre politique DMARC sur l'application maximale (p=rejet), DMARC protège votre marque contre la fraude par courrier électronique en réduisant les risques d'attaques par usurpation d'identité et d'abus de domaine. Tous les messages entrants sont validés par les contrôles d'authentification SPF et DKIM afin de s'assurer qu'ils proviennent de sources valides.
SPF est présent dans votre DNS sous la forme d'un enregistrement TXT, affichant toutes les sources valides qui sont autorisées à envoyer des courriels depuis votre domaine. Le serveur de messagerie du destinataire valide l'e-mail par rapport à votre enregistrement SPF pour l'authentifier. DKIM attribue une signature cryptographique, créée à l'aide d'une clé privée, pour valider les e-mails dans le serveur de réception, où le récepteur peut récupérer la clé publique à partir du DNS de l'expéditeur pour authentifier les messages.
Avec votre politique de rejet, les courriels ne sont pas délivrés du tout à la boîte aux lettres de votre destinataire lorsque les contrôles d'authentification échouent, indiquant que votre marque est usurpée. En définitive, cela permet d'éviter les attaques de type spoofing et phishing.
Le plan de base de PowerDMARC pour les petites entreprises
Notre plan de base commence à seulement 8 USD par mois, donc les petites entreprises et les start-ups qui essaient d'adopter des protocoles sécurisés comme le DMARC peuvent facilement en bénéficier. Les avantages que vous aurez à votre disposition avec ce plan sont les suivants :
- Économisez 20% sur votre plan annuel
- Jusqu'à 2 000 000 de courriels conformes à la norme DMARC
- Jusqu'à 5 domaines
- Historique des données sur 1 an
- 2 utilisateurs de la plate-forme
- Hébergé par BIMI
- Hébergement MTA-STS
- TLS-RPT
Inscrivez-vous à PowerDMARC dès aujourd'hui et protégez le domaine de votre marque en minimisant les risques de compromission des courriels d'affaires et de fraude par courriel !
- PowerDMARC nommé leader G2 des logiciels DMARC pour la quatrième fois en 2024 - 6 décembre 2024
- Fuite de données et hameçonnage par courriel dans l'enseignement supérieur - 29 novembre 2024
- Qu'est-ce que la redirection DNS et quels sont ses 5 principaux avantages ? - 24 novembre 2024