3 types de politiques DMARC : Comment choisir la meilleure pour votre domaine ?

politique dmarc

Alors que le courrier électronique est devenu un canal de communication essentiel, tant pour les particuliers que pour les entreprises, des acteurs malveillants ont exploité ses vulnérabilités pour tromper les destinataires, distribuer des logiciels malveillants et voler des informations sensibles. DMARC répond à ces préoccupations en permettant aux propriétaires de domaines de spécifier comment les destinataires du courrier électronique doivent traiter les messages qui prétendent provenir de leurs domaines.

La politique DMARC d'un domaine contient des instructions à l'intention des destinataires d'e-mails sur la manière de traiter les e-mails qui échouent aux contrôles d'authentification. La politique DMARC peut spécifier trois actions possibles pour les courriels qui échouent : 

  • DMARC aucune politique
  • Politique de quarantaine DMARC
  • Politique de rejet DMARC 

La politique DMARC de "rejet" réduit considérablement le risque d'abus de domaine, d'usurpation d'identité, d'hameçonnage et d'usurpation d'identité.

Qu'est-ce qu'une politique DMARC ?

Une politique DMARC publiée au niveau du DNS est un ensemble d'instructions TXT qui indiquent aux destinataires des courriels comment traiter les courriels qui échouent aux contrôles d'authentification effectués à l'aide de SPF et DKIM. La politique spécifie également une adresse électronique à laquelle les destinataires peuvent signaler les résultats de ces contrôles.

Une politique DMARC a trois objectifs principaux : l'application des protocoles d'authentification du courrier électronique, la mise en place d'un mécanisme de notification et la protection de vos courriers électroniques contre les attaques. 

  1. Application de l'authentification : Votre politique DMARC permet de définir un niveau d'application pour la sécurité du courrier électronique de votre domaine. Elle permet aux propriétaires de domaines de spécifier comment les destinataires de courriels doivent traiter les courriels qui prétendent provenir de leur domaine mais qui échouent aux contrôles d'authentification (SPF et DKIM). La politique peut demander aux destinataires de mettre en quarantaine ou de rejeter ces courriels. En imposant l'authentification, DMARC aide à prévenir l'usurpation d'identité et l'usurpation de nom, car les courriels non autorisés ont moins de chances d'arriver dans les boîtes de réception des destinataires.
  2. Rapports : Un mécanisme permettant aux destinataires du courrier électronique d'envoyer des rapports aux propriétaires du domaine peut être défini dans votre enregistrement DMARC, avec des informations sur les résultats de l'authentification des courriers électroniques envoyés à partir du domaine. Ces rapports permettent de surveiller les activités suspectes et d'améliorer la délivrabilité des courriels.
  3. Protection: Votre politique DMARC peut empêcher fraude du PDGles fausses factures, les attaques BEC, la propagation des ransomwareles vols d'identifiants de connexion et diverses autres techniques de fraude par courrier électronique.

3 types de politique DMARC : p=reject, p=none, p=quarantine

Quelle politique du MARC devez-vous utiliser ?

Les différents types de politiques DMARC aident les propriétaires de domaines à déterminer le niveau d'application qu'ils souhaitent exercer en termes de traitement des courriels non autorisés. Les options de politique DMARC disponibles sont les suivantes aucune, quarantaine, et rejeteren fonction du niveau d'application de la politique DMARC que vous souhaitez adopter. Ici, p est le paramètre qui spécifie la politique DMARC :

  • DMARC Aucun: Une politique de "surveillance uniquement" qui n'offre aucune protection - idéale pour les premières étapes de votre déploiement.
  • Quarantaine DMARC: signale ou met en quarantaine les courriels non autorisés.
  • Rejet de DMARC: Bloque l'accès à la boîte de réception aux courriels non autorisés

1. DMARC Aucune politique

DMARC-None-Policy

La politique DMARC none (p=none) est une politique DMARC assouplie qui est mise en œuvre au cours des premières étapes de la mise en œuvre de DMARC pour surveiller les activités de courrier électronique. Elle n'offre aucun niveau de protection contre les cyberattaques. 

Exemple : v=DMARC1 ; p=none ; rua=mailto:[email protected];

  • Surveillance: Les propriétaires de domaines qui choisissent la politique "none", qui indique un manque d'inclination pour une authentification stricte du courrier électronique, ont pour objectif de recueillir des informations. Ils ne sont pas encore prêts à appliquer de telles mesures car ils veulent vérifier l'état actuel de l'authentification du courrier électronique dans le cyberespace.
  • Aucune action: Les systèmes de réception du courrier électronique qui appliquent la politique "none" s'abstiennent d'utiliser les résultats du DMARC pour modifier la livraison ou le traitement du courrier électronique. Cette politique est généralement appliquée au début de la mise en œuvre de DMARC, car les propriétaires de domaines cherchent à évaluer l'effet de leurs paramètres DMARC sans prendre le risque que des courriels authentiques soient refusés ou retenus.
  • Rapports: Malgré l'absence d'application, les rapports DMARC sont générés par la politique "none". Les destinataires des courriels transmettent des rapports agrégés aux propriétaires de domaines, fournissant des informations détaillées sur l'état de l'authentification pour les courriels qui semblent provenir de leur domaine.

Les propriétaires de domaines reçoivent ces rapports afin de mieux comprendre le domaine de l'authentification du courrier électronique et de déterminer les sources possibles d'abus ou de mauvaise configuration.

2. Politique de quarantaine DMARC

Politique DMARC-Quarantine

La politique de quarantaine (p=quarantine) offre un certain niveau de protection car le propriétaire du domaine peut demander au destinataire de renvoyer les courriels dans le dossier spam pour les consulter ultérieurement en cas de échec DMARC.

Exemple : v=DMARC1 ; p=quarantine ; rua=mailto:[email protected] ;

Plutôt que de rejeter uniquement les courriels non authentifiés, la politique de "quarantaine" permet aux propriétaires de domaines de maintenir la sécurité tout en tenant compte de la possibilité de faux positifs. Les messages légitimes qui échouent à l'authentification DMARC ne seront pas perdus, mais placés dans un endroit séparé pour être examinés de plus près par le destinataire. Cette approche diffère de la méthode stricte du "rejet" qui renvoie les courriels non authentifiés à l'expéditeur.

Les courriels non authentifiés sont traités par diverses organisations à l'aide de la politique intermédiaire de "quarantaine" avant de passer éventuellement à la politique plus stricte de "rejet". Cette politique permet d'évaluer l'impact de DMARC sur l'acheminement du courrier électronique et d'apporter les modifications nécessaires avant de rejeter complètement ces courriels.

3. Politique de rejet DMARC

Politique de rejet DMARC

Enfin, la politique de rejet de DMARC (p=reject) garantit que les courriels qui échouent à l'authentification DMARC sont rejetés et mis au rebut par le MTA du destinataire, ce qui permet une application maximale. 

Exemple : v=DMARC1 ; p=reject ; rua=mailto:[email protected];

Le rejet DMARC peut prévenir les attaques par hameçonnage et autres activités frauduleuses, et vise à renforcer la sécurité du courrier électronique. Les courriels non authentifiés sont rejetés, ce qui réduit le risque que les destinataires reçoivent des courriels malveillants. Le propriétaire du domaine joue un rôle clé dans la réduction de ces risques.

Plutôt que de laisser une marge de manœuvre aux courriels non authentifiés en les redirigeant vers un dossier distinct, comme dans le cas de la politique de "quarantaine", la politique de "rejet" adopte une position stricte. Tous les courriels qui ne répondent pas aux exigences d'authentification DMARC sont purement et simplement interdits de livraison.

Des tests et une planification approfondis sont nécessaires pour mettre en œuvre une politique de "rejet" afin de bloquer les courriels nuisibles. Une authentification correcte des courriers électroniques légitimes est essentielle pour éviter le blocage involontaire de communications valides. Par conséquent, il est important que les propriétaires de domaines testent leur configuration DMARC et suivent les rapports DMARC afin de détecter et de résoudre tout problème.

 

politique de dmarc

Quel est le meilleur type de politique DMARC et pourquoi ?

DMARC reject est la meilleure politique DMARC si vous voulez maximiser vos efforts en matière de sécurité du courrier électronique.. En effet, lorsqu'ils sont en mode p=reject, les propriétaires de domaines bloquent activement les courriels non autorisés dans la boîte de réception de leurs clients. Cela offre un degré élevé de protection contre l'usurpation de domaine direct, l'hameçonnage et d'autres formes de menaces d'usurpation d'identité.

  • Pour surveiller vos canaux de messagerie: Si vous souhaitez simplement surveiller vos canaux de courrier électronique, une politique DMARC avec p=none est suffisante. Cette politique ne vous protégera toutefois pas contre les cyberattaques.
  • Pour se protéger contre les attaques de phishing et de spoofing: Si vous souhaitez protéger vos courriels contre les attaques de phishing et l'usurpation de domaine direct, il est impératif d'adopter une politique DMARC de p=reject. Elle offre le plus haut niveau d'application du DMARC et minimise efficacement les attaques par usurpation d'identité.
  • Examiner les courriels suspects avant qu'ils ne soient envoyés : Si vous ne souhaitez pas bloquer purement et simplement les courriels non autorisés, permettez à vos destinataires d'examiner les courriels dont l'authentification a échoué dans leur dossier de dossier de quarantaine, a quarantaine DMARC est la meilleure solution.

Quelle politique DMARC empêche l'usurpation d'identité ?

Une politique DMARC p=reject est la seule politique DMARC qui soit efficace pour prévenir les attaques par usurpation d'identité. En effet, le rejet DMARC empêche les courriels non autorisés d'atteindre la boîte de réception de votre destinataire, l'empêchant ainsi d'accepter, d'ouvrir et de lire les mauvais courriels.

Étapes de la mise en place d'une politique DMARC

Étape 1 : Activez SPF ou DKIM pour votre domaine en générant votre enregistrement gratuit.

Etape 2 : Créez un enregistrement DMARC à l'aide de notre générateur d'enregistrements DMARC pour créer un enregistrement DMARC. Veillez à remplir le paramètre DMARC p= pour définir votre politique DMARC, comme dans l'exemple ci-dessous :

v=DMARC1 ; pct=100 ; p=reject ; rua=mailto:[email protected] ;

Etape 3 : Publier cet enregistrement sur votre DNS

Dépannage des erreurs de politique DMARC

Erreurs de syntaxe 

Vous devez être attentif à toute erreur de syntaxe lors de la mise en place de votre enregistrement pour vous assurer que votre protocole fonctionne correctement.

Erreurs de configuration

Les erreurs lors de la configuration de la politique DMARC sont fréquentes et peuvent être évitées en utilisant un vérificateur DMARC DMARC.

Politique en matière de DMARC

Si vous configurez une politique de rejet DMARC, mais que vous configurez vos politiques de sous-domaines, vous devez vous assurer qu'elles sont bien appliquées. politiques de sous-domaines aucune, vous ne serez pas en mesure d'assurer la conformité de tous vos courriels sortants.

Mise en place d'une politique DMARC avec PowerDMARC

Un passage en douceur de la politique DMARC p=none à p=reject

Le mécanisme de rapport étendu de PowerDMARC offre 7 vues et mécanismes de filtrage pour votre DMARC Rapports agrégés sur l'analyseur de analyseur DMARC afin de surveiller efficacement vos canaux d'e-mails lorsque DMARC n'existe pas.

Mettez à jour et modifiez les modes de votre politique DMARC

Notre fonction DMARC hébergée vous permet de mettre à jour les modes de votre politique DMARC, de passer à p=reject et de surveiller votre protocole efficacement et en temps réel sans entrer dans votre console de gestion DNS.

Un soutien sans faille

Notre équipe d'assistance active 24 heures sur 24 aide à orchestrer une transition en douceur d'une politique DMARC assouplie à une politique DMARC appliquée, afin de maximiser votre sécurité tout en garantissant la délivrabilité.

Contactez nous dès aujourd'hui pour mettre en place une politique DMARC et suivre vos résultats en toute simplicité !

politique de dmarc

Derniers messages de Ahona Rudra (voir tous)
/par
Vous pourriez également aimer
La politique dmarc n'est pas activéeComment réparer le message "La politique DMARC n'est pas activée" en 2023 ?
publier le blog dmarc recordComment publier un enregistrement DMARC en 3 étapes ?
DMARC PCI DSS : une exigence obligatoire pour la version 4.0DMARC PCI DSSListe des bureaux d'enregistrement des marques pour le VMCListe des bureaux d'enregistrement des marques pour les MVC - Mise à jour