3 types de politiques DMARC : Aucun, Quarantaine et Rejet
L'authentification du courrier électronique est devenue une pratique importante en matière de cybersécurité, en raison de la menace croissante d'usurpation de l'identité d'organisations légitimes et bien connues. Une politique DMARC définie dans le DNS de l'expéditeur, incorporée dans un simple enregistrement TXT, peut répondre avec succès à ces préoccupations et améliorer les taux de distribution du courrier de l'expéditeur.
La politique DMARC d'un domaine contient des instructions pour les destinataires du courrier électronique sur la façon de traiter les messages qui échouent aux contrôles d'authentification. Cette politique peut spécifier trois actions possibles :
- DMARC aucun
- Quarantaine DMARC
- Rejet DMARC
La politique DMARC de "rejet" réduit considérablement le risque d'abus de domaine, d'usurpation d'identité, d'hameçonnage et d'usurpation d'identité.
DMARC pour l'authentification du courrier électronique et la protection contre le spoofing
DMARC ou Domain-based Message Authentication, Reporting and Conformance, est un protocole conçu pour authentifier les courriers électroniques à l'aide de deux autres protocoles, à savoir SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail). Les propriétaires de domaines peuvent configurer DMARC en utilisant l'un ou l'autre de ces protocoles, ou les deux, pour une protection plus solide contre les cyberattaques.
Pour lancer le processus d'installation, vous devez effectuer quelques changements de DNS et inclure des enregistrements DNS pour les protocoles. Lors de l'activation, votre enregistrement DMARC Policy valide chaque message envoyé à partir de votre nom de domaine par rapport à SPF et DKIM, afin d'établir s'il provient d'une source authentique et de décider de ce qu'il faut faire s'il ne l'est pas.
Qu'est-ce qu'une politique DMARC ?
Une politique DMARC est une instruction TXT, désignée par la balise "p" dans l'enregistrement DMARC, qui spécifie aux serveurs de messagerie destinataires l'action qu'ils doivent entreprendre si un courriel échoue à la validation DMARC. Un expéditeur peut opter pour différentes politiques en fonction de la rigueur avec laquelle il souhaite que les destinataires traitent les courriels non conformes. Par exemple, une politique DMARC appliquée telle que p=reject est un moyen efficace de réduire les menaces telles que le phishing, le spoofing et l'usurpation de nom de domaine, alors que p=none n'aura pas d'effet.
3 types de politique DMARC : p=reject, p=none, p=quarantine
En fonction du niveau d'application que les propriétaires de domaines souhaitent établir, il existe trois types principaux de politiques DMARC : aucune, quarantaine et rejet. La principale différence entre ces options de politique est déterminée par l'action prise par l'agent de transfert de courrier récepteur lorsqu'il adhère à la politique spécifiée définie par l'expéditeur du courrier dans son enregistrement DNS.
. Ici, p est le paramètre qui spécifie la politique DMARC :
- DMARC Aucun: Une politique de "surveillance uniquement" qui n'offre aucune protection - idéale pour les premières étapes de votre déploiement.
- Quarantaine DMARC: signale ou met en quarantaine les courriels non autorisés.
- Rejet DMARC: bloque l'accès à la boîte de réception des courriels non autorisés
1. DMARC Aucune politique
La politique DMARC none (p=none) est une politique DMARC assouplie qui est mise en œuvre au cours des premières étapes de la mise en œuvre de DMARC pour surveiller les activités de courrier électronique - elle convient mieux aux organisations qui commencent à peine leur parcours d'authentification. Elle ne fournit aucun niveau de protection contre les cyberattaques.
Exemple : v=DMARC1 ; p=none ; rua= mailto :(adresse électronique) ;
Principaux enseignements :
- L'objectif principal des propriétaires de domaines qui choisissent la politique "none" devrait être de rassembler des informations sur les sources d'envoi et de garder un œil sur leurs communications et leur capacité de livraison, sans être enclins à une authentification stricte. Cela peut s'expliquer par le fait qu'ils ne sont pas encore prêts à s'engager dans l'application de la loi et qu'ils prennent le temps d'analyser la situation actuelle.
- Les systèmes de messagerie électronique récepteurs traitent les messages envoyés par les domaines configurés avec cette politique comme des messages "sans action", ce qui signifie que même si ces messages échouent au test DMARC, aucune mesure ne sera prise pour les rejeter ou les mettre en quarantaine. Ces messages parviendront à vos clients.
- Les rapports DMARC sont toujours générés lorsque vous avez configuré "p=none". Les destinataires transmettent des rapports agrégés aux propriétaires de domaine, fournissant des informations détaillées sur l'état de l'authentification pour les messages qui semblent provenir de leur domaine.
2. Politique de quarantaine DMARC
p=quarantine offre un certain niveau de protection car le propriétaire du domaine peut demander au destinataire de renvoyer les courriels dans le dossier spam pour les consulter ultérieurement en cas de échec DMARC.
Exemple : v=DMARC1 ; p=quarantine ; rua=mailto :(adresse électronique) ;
Plutôt que de rejeter purement et simplement les courriels non authentifiés, la politique de "quarantaine" permet aux propriétaires de domaines de maintenir la sécurité tout en offrant la possibilité d'examiner les courriels avant de les accepter, selon l'approche "vérifier puis faire confiance".
Cela garantit que les messages légitimes qui échouent à l'authentification DMARC ne seront pas perdus avant que vous ne les examiniez de près. Cette approche peut être considérée comme intermédiaire en termes d'application et facilite une transition en douceur vers p=reject, dans laquelle les propriétaires de domaines peuvent a) évaluer l'impact du DMARC sur leurs messages électroniques et b) décider en connaissance de cause s'ils doivent ou non rejeter les messages marqués.
3. Politique de rejet DMARC
Enfin, la politique de rejet de DMARC (p=reject) est une politique de mise en œuvre qui garantit que les messages échouant à l'authentification DMARC sont rejetés et écartés par le serveur de messagerie du destinataire, ce qui permet une mise en œuvre maximale.
Exemple : v=DMARC1 ; p=reject ; rua= mailto :(adresse électronique) ;
Le rejet DMARC peut empêcher les attaques de phishing, l'usurpation de domaine direct et d'autres courriels frauduleux, en bloquant les messages qui semblent suspects. Si vous êtes suffisamment confiant pour ne pas laisser de marge de manœuvre aux courriels non autorisés en les détournant vers un dossier distinct pour examen, la politique de "rejet" vous convient.
Toutefois, il convient de garder à l'esprit les points suivants :
- Testez et planifiez minutieusement avant d'opter pour le rejet DMARC
- Assurez-vous que les rapports sont activés pour votre domaine
- Idéalement, optez pour une solution DMARC hébergée afin de bénéficier de l'assistance d'un expert lors de la mise en œuvre de DMARC et tout au long de votre parcours de mise en application.
Avantages de l'application de votre politique DMARC
Examinons les avantages de la mise en place d'une politique DMARC stricte pour votre domaine :
1. Protection directe contre le phishing et le BEC
Lorsque vous êtes en rejet DMARC, les courriels provenant de sources non authentifiées sont automatiquement rejetés avant d'arriver dans la boîte de réception de votre destinataire - ce qui offre une protection directe contre les attaques par hameçonnage, la compromission des courriels d'entreprise et la fraude des chefs d'entreprise.
2. La première ligne de défense contre les rançongiciels et les logiciels malveillants
Les rançongiciels et les logiciels malveillants sont souvent diffusés par de faux courriels envoyés à partir de noms de domaine usurpés et peuvent s'infiltrer dans votre système d'exploitation et en prendre complètement le contrôle. Une politique de rejet DMARC garantit que les courriels authentiques sont bloqués hors de la boîte de réception de vos clients avant qu'ils n'aient la possibilité de cliquer sur des pièces jointes nuisibles et de télécharger sans le savoir des ransomwares ou des logiciels malveillants dans leur système - agissant ainsi comme une ligne de défense élémentaire contre ces attaques.
Meilleur type de politique DMARC
DMARC reject est la meilleure politique DMARC si vous voulez maximiser vos efforts en matière de sécurité du courrier électronique.. En effet, lorsqu'ils sont en mode p=reject, les propriétaires de domaines bloquent activement les messages non autorisés dans les boîtes de réception de leurs clients. Cela offre un degré élevé de protection contre l'usurpation de domaine direct, l'hameçonnage et d'autres formes de menaces d'usurpation d'identité, ce qui en fait une politique anti-hameçonnage efficace.
- Pour surveiller vos canaux de messagerie: Si vous souhaitez simplement contrôler les transactions de vos messages et les sources d'envoi, un DMARC à p=none est suffisant. Cela ne vous protégera toutefois pas contre les cyberattaques.
- Pour se protéger contre les attaques de phishing et de spoofing: Si vous souhaitez protéger votre domaine contre les attaques par hameçonnage et l'usurpation de domaine direct, il est impératif d'utiliser DMARC p=reject. Il fournit le plus haut niveau d'application de DMARC et minimise efficacement les attaques par usurpation d'identité.
- Examiner les courriels suspects avant qu'ils ne soient livrés : Si vous ne souhaitez pas bloquer purement et simplement les courriels non autorisés, vous pouvez permettre à vos destinataires de les examiner dans leur dossier de quarantaine. quarantaine à l'aide d'une quarantaine DMARC est la meilleure solution.
Briser les mythes courants sur la politique DMARC
Il existe quelques idées fausses sur les politiques DMARC, dont certaines peuvent avoir des conséquences terribles sur la distribution de votre courrier. Voyons de quoi il s'agit et quelle est la vérité qui se cache derrière :
1. DMARC none peut empêcher l'usurpation d'identité : DMARC none est une politique de "non-action" et ne peut pas protéger votre domaine contre les cyberattaques.
Quelle politique DMARC empêche l'usurpation d'identité ?
Une politique DMARC p=reject est la seule politique DMARC qui soit efficace pour prévenir les attaques par usurpation d'identité. En effet, le rejet DMARC empêche les courriels non autorisés d'atteindre la boîte de réception de votre destinataire, l'empêchant ainsi d'accepter, d'ouvrir et de lire les mauvais courriels.
2. Vous ne recevrez pas de rapports DMARC si vous êtes sur p=none : Même lorsque vous êtes sur p=none, vous pouvez continuer à recevoir des rapports DMARC quotidiens en spécifiant simplement une adresse électronique valide pour l'expéditeur.
3. La "quarantaine" DMARC n'est pas importante: Souvent négligée, la politique de quarantaine de DMARC est extrêmement utile pour les propriétaires de domaines qui souhaitent passer en douceur de l'inaction à l'application maximale.
4. Le rejet DMARC a un impact sur la délivrabilité : Même en cas de rejet DMARC, vous pouvez vous assurer que vos messages sont délivrés sans problème en surveillant et en analysant les activités de vos expéditeurs et en examinant les résultats de l'authentification.
Étapes de la mise en place d'une politique DMARC
Étape 1 : Activez SPF ou DKIM pour votre domaine en générant votre enregistrement gratuit.
Etape 2 : Créez un enregistrement DMARC à l'aide de notre générateur DMARC de notre générateur DMARC. Veillez à remplir le paramètre DMARC p= pour définir votre politique DMARC, comme dans l'exemple ci-dessous :
v=DMARC1 ; pct=100 ; p=reject ; rua=mailto:[email protected] ;
Etape 3 : Publier cet enregistrement sur votre DNS
Dépannage des erreurs de politique DMARC
Erreurs de syntaxe
Vous devez être attentif à toute erreur de syntaxe lors de la mise en place de votre enregistrement pour vous assurer que votre protocole fonctionne correctement.
Erreurs de configuration
Les erreurs lors de la configuration de la politique DMARC sont fréquentes et peuvent être évitées en utilisant un vérificateur DMARC DMARC.
Politique en matière de DMARC
Si vous configurez une politique de rejet DMARC, mais que vous configurez vos politiques de sous-domaines, vous devez vous assurer qu'elles ne sont pas trop complexes. politiques de sous-domaines à aucune, vous ne pourrez pas vous mettre en conformité en raison d'une annulation de la politique sur vos courriels sortants.
Erreur "DMARC policy not enabled" (politique DMARC non activée)
Si vous rencontrez ce message d'erreur dans vos rapports, cela signifie qu'il manque une politique de domaine DMARC dans votre DNS ou qu'elle est réglée sur "none". Modifiez votre enregistrement pour y incorporer p=reject/quarantine et le problème devrait être résolu.
Un moyen plus sûr de mettre à jour, d'appliquer et d'optimiser votre politique DMARC
L'analyseur DMARC analyzer est conçue pour vous aider à mettre en place le protocole DMARC sans effort, tout en fournissant une interface native pour surveiller et optimiser votre enregistrement en quelques clics. Examinons ses principaux avantages :
Un passage en douceur de p=none à p=reject
Le mécanisme de reporting étendu de PowerDMARC offre 7 vues et mécanismes de filtrage pour votre DMARC. Regroupez les rapports sur le tableau de bord de l'analyseur DMARC pour contrôler efficacement vos flux de courrier électronique lorsque DMARC n'existe pas.
Mettez à jour et modifiez les modes de votre politique DMARC
Notre fonction DMARC hébergée vous permet de mettre à jour les modes de votre politique DMARC, de passer à p=reject et de surveiller votre protocole efficacement et en temps réel sans entrer dans votre console de gestion DNS.
Un soutien sans faille
Notre équipe d'assistance active 24 heures sur 24 aide à orchestrer une transition en douceur d'une politique DMARC assouplie à une politique DMARC appliquée, afin de maximiser votre sécurité tout en garantissant la délivrabilité.
Alertes personnalisées
Définir des alertes personnalisées par courrier électronique pour détecter toute activité malveillante et prendre des mesures contre les menaces plus rapidement.
Contactez nous dès aujourd'hui pour mettre en place une politique DMARC et suivre vos résultats facilement !
- Sécurité Web 101 - Meilleures pratiques et solutions - 29 novembre 2023
- Qu’est-ce que le cryptage des e-mails et quels sont ses différents types ? - 29 novembre 2023
- Qu'est-ce que MTA-STS ? Définir la bonne politique MTA-STS - 25 novembre 2023