La politique DMARC expliquée : Aucune, Quarantaine et Rejet
L'authentification des courriels est devenue une pratique importante en matière de cybersécurité. Ceci est le résultat d'une augmentation de l'usurpation de l'identité d'organisations réelles et bien connues. Selon Forbesle coût associé à la cybercriminalité devrait atteindre 10,5 billions de dollars par an d'ici à 2025.
C'est pourquoi l'adoption de protocoles d'authentification du courrier électronique tels que DMARC devient cruciale. Le protocole DMARC (Domain-based Message Authentication, Reporting, and Conformance) peut être placé dans le système de noms de domaine (DNS) d'un expéditeur de courrier électronique sous la forme d'un enregistrement textuel. Une fois activé, DMARC commence à valider et à sécuriser les courriels. Une politique DMARC a le pouvoir de prévenir le phishing, l'usurpation d'adresse électronique et les attaques de ransomware, et d'améliorer les taux de distribution des courriels.
Votre politique DMARC indique aux destinataires du courrier électronique comment traiter les messages qui échouent à l'authentification. Cette politique peut spécifier trois actions possibles :
- DMARC aucun
- Quarantaine DMARC
- Rejet DMARC
Une politique DMARC de "rejet" peut minimiser le risque d'abus de domaine, d'usurpation d'identité, d'hameçonnage et d'attaques par usurpation d'identité.
Sécuriser les courriels avec DMARC
Les courriers électroniques peuvent être facilement falsifiés, ce qui rend difficile la distinction entre un vrai et un faux dangereux. C'est là que DMARC entre en jeu. DMARC est une sorte de point de contrôle de la sécurité du courrier électronique qui vérifie l'identité de l'expéditeur avant de laisser passer les messages. En fait, Verizon rapporte que plus de 30 % de toutes les compromissions de données résultent d'attaques par hameçonnage, ce qui souligne la nécessité d'une protection puissante telle que DMARC. En utilisant DMARC, vous pouvez bloquer les tentatives d'usurpation d'identité et vous assurer que votre boîte de réception reste à l'abri des courriels frauduleux.
Selon le RFC 7489 de l'IETF, DMARC a la capacité unique de permettre aux expéditeurs de courrier électronique de définir des préférences en matière d'authentification. En l'activant, vous pouvez également obtenir des rapports sur le traitement des courriels et les abus potentiels de domaine. C'est ce qui fait que DMARC se distingue vraiment en termes de validation de domaine.
Pour lancer le processus d'installation de DMARC, vous devez apporter quelques modifications au DNS et inclure des enregistrements DNS TXT pour les protocoles. Cependant, la mise en œuvre manuelle de ce protocole peut s'avérer assez complexe pour les utilisateurs non techniques. Elle peut même s'avérer assez coûteuse si vous engagez un RSSI externe pour la gérer pour votre entreprise. L'analyseur DMARC de PowerDMARC est donc une alternative simple. Nous automatisons la mise en place de votre politique DMARC, ce qui vous permet d'économiser du temps et de l'argent.
J'ai découvert PowerDMARC après la publication des nouvelles exigences de Google et de Yahoo concernant les expéditeurs d'e-mails. PowerDMARC nous a permis de mettre en place une politique de contrôle DMARC en un rien de temps ! Il nous a aidés à passer lentement (mais sûrement) à une politique appliquée pour une meilleure protection.", a déclaré Rachel R., propriétaire d'une petite entreprise.
Qu'est-ce qu'une politique DMARC ?
Une politique DMARC est un ensemble d'instructions au niveau du DNS qui peut être configuré comme un enregistrement TXT spécial. Elle indique aux serveurs de messagerie destinataires comment traiter les courriers électroniques dont l'authentification a échoué. Elle est désignée par la balise "p" dans l'enregistrement DMARC qui spécifie l'action que les serveurs de messagerie doivent entreprendre si un courriel échoue à la validation DMARC.
La mise en pratique d'une politique DMARC peut vous aider à déterminer la rigueur avec laquelle vous souhaitez traiter les courriels susceptibles d'essayer d'usurper l'identité de votre marque. Il s'agit d'un gardien de sécurité pour votre domaine. En fonction de votre identité, le garde détermine s'il vous laisse entrer dans le bâtiment (dans ce cas, la boîte de réception de votre destinataire). Il peut vous empêcher d'entrer (rejet), vous envoyer dans un endroit spécial pour un examen plus approfondi (quarantaine) ou vous laisser entrer (aucun).
Votre politique DMARC avec p=reject peut vous aider à prévenir l'usurpation d'identité, le phishing et l'abus de nom de domaine, en agissant comme un signal d'interdiction pour les acteurs malveillants qui tentent d'usurper l'identité de votre marque.
3 types de politiques DMARC : p=reject, p=none, p=quarantine
En fonction du niveau d'application que les propriétaires de domaines de messagerie souhaitent mettre en place, il existe trois principaux types de politiques DMARC : aucune, quarantaine et rejet. La principale différence entre ces options de politique est déterminée par l'action prise par l'agent de transfert de courrier récepteur lorsqu'il adhère à la politique spécifiée définie par l'expéditeur du courrier dans son enregistrement DNS.
Vous trouverez ci-dessous un bref aperçu des trois types de politiques DMARC, ainsi que des explications détaillées :
- DMARC Aucun: Une politique de "surveillance uniquement" qui n'offre aucune protection - idéale pour les premières étapes de votre déploiement.
- Quarantaine DMARC: signale ou met en quarantaine les courriels non autorisés.
- Rejet de DMARC: Bloque l'accès à la boîte de réception aux courriels non autorisés
1. DMARC Aucune politique
La politique DMARC none (p=none) est un mode détendu qui ne déclenche aucune action de la part du destinataire. Cette politique peut être utilisée pour surveiller l'activité du courrier électronique. Elle n'offre aucun niveau de protection contre les cyberattaques.
Aucun Cas d'utilisation pour la mise en œuvre de la politique
Exemple : v=DMARC1 ; p=none ; rua= mailto :(adresse électronique) ;
- L'objectif principal des propriétaires de domaines qui choisissent la politique "none" devrait être de rassembler des informations sur les sources d'envoi et de garder un œil sur leurs communications et leur capacité de livraison, sans être enclins à une authentification stricte. Cela peut s'expliquer par le fait qu'ils ne sont pas encore prêts à s'engager dans l'application de la loi et qu'ils prennent le temps d'analyser la situation actuelle.
- Les systèmes de messagerie électronique récepteurs traitent les messages envoyés par les domaines configurés avec cette politique comme des messages "sans action", ce qui signifie que même si ces messages échouent au test DMARC, aucune mesure ne sera prise pour les rejeter ou les mettre en quarantaine. Ces messages parviendront à vos clients.
- Les rapports DMARC sont toujours générés lorsque vous avez configuré "p=none". Le MTA du destinataire envoie des rapports agrégés au propriétaire du domaine, fournissant des informations détaillées sur l'état de l'authentification du courrier électronique pour les messages qui semblent provenir de son domaine.
2. Politique de quarantaine DMARC
p=quarantine offre un certain niveau de protection car le propriétaire du domaine peut demander au destinataire de renvoyer les courriels dans le dossier spam afin de les consulter plus tard au cas oùDMARC échoue.
Cas d'utilisation de la mise en œuvre de la politique de quarantaine
Exemple : v=DMARC1 ; p=quarantine ; rua=mailto :(adresse électronique) ;
- Plutôt que de rejeter purement et simplement les courriels non authentifiés, la politique de "quarantaine" permet aux propriétaires de domaines de maintenir la sécurité tout en offrant la possibilité d'examiner les courriels avant de les accepter, selon l'approche "vérifier puis faire confiance".
- Modifier votre politique DMARC en quarantaine DMARC garantit que les messages légitimes qui échouent à l'authentification DMARC ne seront pas perdus avant que vous ne les examiniez de près.
- Cette approche peut être considérée comme intermédiaire en termes d'application et facilite une transition en douceur vers p=reject, dans laquelle les propriétaires de domaines peuvent a) évaluer l'impact de DMARC sur leurs messages électroniques et b) décider en connaissance de cause s'ils doivent ou non rejeter les messages marqués.
- La politique de quarantaine permet également de réduire l'encombrement de la boîte de réception, en évitant qu'elle ne soit surchargée de messages non sollicités.
3. Politique de rejet DMARC
Enfin, la politique de rejet de DMARC (p=reject) est une politique d'application. Elle garantit que les messages qui ne sont pas authentifiés par DMARC sont rejetés. Le rejet DMARC permet une application maximale en rejetant les courriels non autorisés par vous.
Cas d'utilisation de la mise en œuvre de la politique de rejet
Exemple : v=DMARC1 ; p=reject ; rua= mailto :(adresse électronique) ;
- Le rejet DMARC renforce la sécurité de votre courrier électronique. Il peut empêcher les attaquants de lancer des attaques par hameçonnage ou par usurpation de domaine. La politique de rejet DMARC empêche les courriels frauduleux en bloquant les messages qui semblent suspects.
- Si vous êtes suffisamment confiant pour ne pas mettre en quarantaine les messages suspects, la politique de "rejet" vous convient.
- Il est important de procéder à des tests approfondis et de planifier avant d'opter pour le rejet DMARC.
- Assurez-vous que le reporting est activé pour votre domaine en cas de rejet DMARC.
- Pour bricoler votre parcours d'application, commencez par p=none et passez progressivement à reject tout en surveillant vos rapports quotidiens.
- Idéalement, optez pour notre solution DMARC hébergée pour bénéficier de l'assistance d'un expert. Nos professionnels vous guident dans la mise en œuvre de DMARC et tout au long de votre parcours de mise en application.
Avantages de l'application de votre politique DMARC
Examinons les avantages de la mise en place d'une politique DMARC stricte pour votre domaine :
1. Protection directe contre le phishing et le BEC
Lors du rejet de DMARC (lors de l'application de DMARC enforcement), les courriels provenant de sources non authentifiées sont rejetés. Cela empêche les courriels frauduleux d'atteindre la boîte de réception de votre destinataire. Il offre donc une protection directe contre les attaques de phishing, de spoofing, de BEC et de fraude au PDG.
Cela est d'autant plus important que :
- Le rapport d'enquête sur les violations de données de Verizon 2023 de Verizon a révélé que 36 % de toutes les atteintes à la protection des données sont dues à l'hameçonnage (phishing).
- Le rapport 2023 de Fortra conclut que les cybercriminels aiment se faire passer pour des marques connues.
2. La première ligne de défense contre les logiciels malveillants
Les ransomwares et les malwares sont souvent diffusés par le biais de faux courriels envoyés à partir de noms de domaine usurpés. Ils peuvent s'infiltrer dans votre système d'exploitation et en prendre complètement le contrôle. Une politique de rejet DMARC garantit que les courriels non authentifiés sont bloqués hors de la boîte de réception de vos clients. Cela empêche automatiquement vos clients de cliquer sur des pièces jointes nuisibles. Et minimise les risques de téléchargement involontaire d'un ransomware ou d'un logiciel malveillant dans leur système. Votre politique DMARC agit comme une ligne de défense élémentaire contre ces attaques.
3. Surveiller vos canaux de courrier électronique
Si vous souhaitez simplement contrôler les transactions de vos messages et les sources d'envoi, un DMARC à p=none est suffisant. Cela ne vous protégera toutefois pas contre les cyberattaques.
4. Examiner les courriels suspects avant leur envoi
Si vous ne souhaitez pas bloquer purement et simplement les messages électroniques non autorisés, vous pouvez les mettre en quarantaine. Il vous suffit d'utiliser la politique DMARC de quarantaine pour examiner les messages suspects avant de les accepter. Les messages seront ainsi placés dans votre dossier de quarantaine plutôt que dans votre boîte de réception.
Quel est le meilleur type de politique DMARC et pourquoi ?
DMARC reject est la meilleure politique DMARC si vous souhaitez maximiser vos efforts en matière de sécurité du courrier électronique et activer la fonction "blue tick" de Gmail.. En effet, lorsqu'ils sont en mode p=reject, les propriétaires de domaines bloquent activement les messages non autorisés dans les boîtes de réception de leurs clients. Votre politique DMARC offre un degré élevé de protection contre les cyberattaques. Il s'agit notamment de l'usurpation de domaine direct, du phishing et d'autres formes de menaces d'usurpation d'identité. Elle constitue donc également une politique efficace de lutte contre l'hameçonnage.
Lors de l'application de DMARC, vous pouvez également mettre en œuvre BIMI. BIMI vous permet d'activer des coches bleues pour vos courriels dans les boîtes de réception de Gmail et Yahoo - ce qui est plutôt cool !
Briser les mythes courants sur la politique DMARC
Les politiques DMARC font l'objet de nombreuses idées fausses. Certaines d'entre elles peuvent avoir des conséquences terribles sur la distribution du courrier. Voyons de quoi il s'agit et quelle est la vérité qui se cache derrière :
1. DMARC Aucun ne peut empêcher le spoofing
DMARC none est une politique de "non-action" et ne peut pas protéger votre domaine contre les cyber-attaques. Les attaquants exploitent souvent la politique p=none pour usurper l'identité de domaines.
Au fil des ans, plusieurs propriétaires de domaines ont contacté PowerDMARC, expliquant qu'ils étaient victimes d'usurpation d'identité malgré l'application de DMARC. Après un examen plus approfondi, nos experts ont découvert que la politique DMARC de la plupart d'entre eux était configurée sur "none".
2. Vous ne recevrez pas de rapports DMARC à p=none
Même avec p=none, vous pouvez continuer à recevoir des rapports DMARC quotidiens en spécifiant simplement une adresse électronique valide pour l'expéditeur.
3. La "quarantaine" DMARC n'est pas importante
Souvent négligée, la politique de quarantaine de DMARC est extrêmement utile pour les phases de transition. Les propriétaires de domaines peuvent la déployer pour passer en douceur d'une absence d'action à une application maximale.
4. Les rejets DMARC ont un impact sur la délivrabilité
Même en cas de rejet DMARC, vous pouvez vous assurer que vos courriels légitimes sont délivrés de manière transparente. Le suivi et l'analyse des activités de vos expéditeurs peuvent vous aider. Vous devez également examiner vos résultats d'authentification pour détecter plus rapidement les échecs.
Dépannage des erreurs de politique DMARC
Voici quelques erreurs courantes de politique DMARC que vous pouvez rencontrer :
Erreurs de syntaxe
Vous devez être attentif à toute erreur de syntaxe lors de la mise en place de votre enregistrement pour vous assurer que votre protocole fonctionne correctement.
Erreurs de configuration
Les erreurs lors de la configuration de la politique DMARC sont fréquentes et peuvent être évitées en utilisant un vérificateur DMARC DMARC.
Politique en matière de DMARC
Si vous configurez une politique de rejet DMARC, mais que vous configurez vos politiques de sous-domaines, vous devez vous assurer qu'elles sont bien appliquées. politiques de sous-domaines aucune, vous ne pourrez pas vous mettre en conformité. Cela est dû à une annulation de la politique sur vos courriels sortants.
Erreur "DMARC Policy Not Enabled" (Politique DMARC non activée)
Si vous rencontrez ce message d'erreur dans vos rapports, cela signifie qu'il manque une politique de domaine DMARC dans votre DNS ou qu'elle est réglée sur "none". Modifiez votre enregistrement pour y incorporer p=reject/quarantine et le problème devrait être résolu.
Un moyen plus sûr de mettre à jour, d'appliquer et d'optimiser votre politique DMARC
L'analyseur DMARC analyzer vous aide à mettre en place le protocole DMARC sans effort. Utilisez notre interface cloud-native pour surveiller et optimiser vos enregistrements en quelques clics. Explorons ses principaux avantages :
- PowerDMARC offre 7 vues et mécanismes de filtrage pour vos rapports DMARC Aggregate. Chaque vue est conçue pour surveiller efficacement vos flux de courrier électronique dans n'importe quel mode de politique DMARC.
- Les rapports agrégés sont faciles à lire, conviviaux et exportables.
- Les rapports médico-légaux peuvent être cryptés pour masquer les informations privées.
- Notre fonction DMARC hébergée vous permet de mettre à jour facilement les modes de votre politique DMARC. Vous pouvez passer à p=reject et contrôler votre protocole efficacement et en temps réel. Vous n'aurez pas besoin d'entrer dans votre console de gestion DNS pour cela.
- Notre équipe d'assistance active 24 heures sur 24 vous aidera à passer en douceur d'une politique DMARC détendue à une politique DMARC appliquée. Cela vous permettra de maximiser votre sécurité tout en garantissant la délivrabilité de vos messages.
- Vous pouvez configurer des alertes personnalisées par courrier électronique pour détecter toute activité malveillante et prendre des mesures contre les menaces plus rapidement.
- Nous prenons en charge la multi-location et les traductions en plusieurs langues sur la plateforme. Cela inclut l'anglais, le français, l'allemand, le japonais, le néerlandais, l'italien, l'espagnol, le russe, le norvégien, le suédois et le chinois simplifié.
Contactez nous dès aujourd'hui pour mettre en place une politique DMARC et suivre vos résultats facilement !
FAQ sur la politique DMARC
Comment savoir si mon courrier électronique est conforme à DMARC ?
Les clients de PowerDMARC peuvent facilement évaluer leur conformité en consultant le résumé du tableau de bord. Ils peuvent également analyser leur position actuelle en matière de sécurité à l'aide de PowerAnalyzer.
Comment corriger ma politique DMARC ?
Vous pouvez corriger manuellement votre politique en entrant dans votre gestion DNS. Une fois entré, vous devez éditer votre enregistrement DMARC TXT. Une solution plus simple consiste à utiliser notre solution hébergée pour apporter des modifications à votre politique en un seul clic.
Quelle est la politique DMARC par défaut ?
Si vous utilisez notre outil générateur DMARC pour ajouter votre politique, nous attribuons "none" comme mode par défaut. Lors de l'implémentation manuelle, vous devez définir votre politique dans le champ "p=". Sinon, votre enregistrement sera considéré comme invalide.
Notre processus d'examen du contenu et de vérification des faits
Ce contenu a été rédigé par un expert en cybersécurité. Il a été méticuleusement revu par notre équipe de sécurité interne afin d'en garantir l'exactitude technique et la pertinence. Tous les faits ont été vérifiés par rapport à la documentation officielle de l'IETF. Des références à des rapports et des statistiques étayant les informations sont également mentionnées.