Qu'est-ce que la politique DMARC ? Aucune, Quarantine et Rejet

Blog, DMARC

Découvrez les trois options de la politique DMARC : Aucune, Quarantine et Rejet. Apprenez à mettre en œuvre ces politiques pour protéger votre domaine contre les attaques par courrier électronique.

par Maitham Al Lawati

Temps de lecture : 9 min
Qu'est-ce que la politique DMARC ? Aucune, Quarantine et Rejet
Table des matières-

Le courrier électronique demeurant un canal de communication essentiel, la politique DMARC pour les entreprises et les particuliers ne cessera de gagner en importance. DMARC signifie Domain-based Message Authentication, Reporting, and Conformance (authentification, notification et conformité des messages basés sur un domaine). Il représente une avancée significative en matière de sécurité du courrier électronique.

DMARC fournit un cadre permettant aux propriétaires de domaines de messagerie de publier des politiques sur la manière dont leurs courriels doivent être authentifiés, contribuant ainsi à créer un écosystème de messagerie plus fiable. La mise en œuvre de DMARC permet aux entreprises de protéger de manière proactive leur marque, leurs employés et leurs clients contre les menaces liées au courrier électronique.

Bien qu'il ne s'agisse pas d'une panacée pour tous les problèmes de sécurité liés au courrier électronique, DMARC est un outil crucial dans la lutte contre les attaques de phishing et d'usurpation d'adresse électronique. Dans cet article, nous explorons la politique DMARC, comment la mettre en œuvre, les défis et les avantages, et pourquoi vous devriez opter pour notre solution DMARC hébergée pour la mise en œuvre de la politique.

Points clés à retenir

  1. DMARC est un protocole d'authentification du courrier électronique essentiel qui contribue à protéger les domaines contre l'hameçonnage et l'usurpation d'identité.
  2. Les trois options de la politique DMARC sont None (Aucune), Quarantine) et Reject (Rejet), chacune offrant des niveaux d'application différents.
  3. La mise en œuvre de DMARC peut réduire considérablement les risques d'attaques par hameçonnage, qui sont l'une des principales causes des violations de données.
  4. La configuration du DNS pour DMARC peut être complexe et sa mise en œuvre efficace peut nécessiter une expertise technique.
  5. L'utilisation de solutions automatisées telles que PowerDMARC peut rationaliser le processus de configuration de DMARC et améliorer les capacités de surveillance et de reporting.

Qu'est-ce qu'une politique DMARC ?

La politique DMARC est un système de validation des courriers électroniques qui utilise le système de noms de domaine (DNS) pour indiquer aux serveurs de messagerie destinataires comment traiter les courriers électroniques qui prétendent provenir de votre propre domaine mais qui échouent aux contrôles d'authentification. Elle est désignée par la balise "p" dans l' enregistrement DMARC qui spécifie l'action que les serveurs de messagerie doivent entreprendre si un courriel échoue à la validation DMARC.

Une politique correctement mise en œuvre peut vous aider à déterminer la rigueur avec laquelle vous souhaitez traiter les courriels qui tentent d'usurper l'identité de votre marque. Considérez cela comme un garde de sécurité pour le domaine de votre organisation. En fonction de votre identité, le garde détermine s'il vous laisse entrer dans le bâtiment (dans ce cas, la boîte de réception de votre destinataire). Il peut vous empêcher d'entrer (rejet), vous envoyer dans un endroit spécial pour un examen plus approfondiquarantine) ou vous laisser entrer (aucun).

Votre politique DMARC, lorsqu'elle est réglée sur p=reject, peut vous aider à prévenir l'usurpation d'identité, le phishing et l'abus de nom de domaine, en agissant comme un signal d'interdiction pour les mauvais acteurs qui tentent d'usurper l'identité de votre marque.

qu'est-ce qu'une politique de dmarc

Les 3 options de la politique DMARC : Aucune, Quarantine et Rejet

Les trois types de politiques DMARC sont les suivants

1. DMARC Aucun :

Une politique de "surveillance uniquement" qui ne sert à rien. Elle convient pour les premières étapes de votre déploiement. Les courriels sont délivrés mais des rapports sont générés pour les messages non authentifiés. Dans l'enregistrement DMARC , cela serait indiqué par "p=none".

2. Quarantine DMARC :

Les courriels suspects sont signalés et placés dans le dossier spam du destinataire pour examen. Dans l'enregistrement DMARC, cela serait indiqué par "quarantine".

3. Rejet DMARC :

L'option la plus stricte demande aux serveurs de réception de rejeter complètement les courriels non authentifiés. Dans l'enregistrement DMARC, cette option est indiquée par "p=reject".

Which one you use depends on the level of enforcement email domain owners want to establish. The main difference between these policy options is determined by the action taken by the receiving mail transfer agent when adhering to the specified policy defined by the mail sender in their DNS records.
<

Simplifiez la politique DMARC avec PowerDMARC !

15 jours d'essaiRéservez une démo
h2>1. Politique DMARC : Aucune

Boîte de réception lorsque la politique est définie sur "Aucune"

La politique DMARC none (p=none) est un mode détendu qui ne déclenche aucune action de la part du destinataire. Cette politique peut être utilisée pour surveiller l'activité du courrier électronique et est généralement utilisée pendant la phase initiale de mise en œuvre de DMARC pour la surveillance et la collecte de données.

Elle n'offre aucun niveau de protection contre les cyberattaques et permet à tous les messages d'être délivrés, quels que soient les résultats de l'authentification. Cette option est spécifiée dans l'enregistrement DMARC à l'aide de la balise "p=none".

Exemple : v=DMARC1 ; p=none ; rua= mailto :(adresse électronique) ;

Aucun Cas d'utilisation pour la mise en œuvre de la politique

  • L'objectif principal des propriétaires de domaines qui choisissent la politique "none" devrait être de rassembler des informations sur les sources d'envoi et de garder un œil sur leurs communications et leur capacité de livraison, sans être enclins à une authentification stricte. Cela peut s'expliquer par le fait qu'ils ne sont pas encore prêts à s'engager dans l'application de la loi et qu'ils prennent le temps d'analyser la situation actuelle.
  • Les systèmes de messagerie électronique récepteurs traitent les messages envoyés par les domaines configurés avec cette politique comme des messages "sans action", ce qui signifie que même si ces messages ne respectent pas la politique DMARC, aucune mesure ne sera prise pour les rejeter ou les quarantine . Ces messages parviendront à vos clients.
  • Les rapports DMARC sont toujours générés lorsque vous avez configuré "p=none". Le MTA du destinataire envoie des rapports agrégés au propriétaire du domaine organisationnel, fournissant des informations détaillées sur l'état de l' authentification du courrier électronique pour les messages qui semblent provenir de son domaine.

2. Politique DMARC : Quarantine

Boîte de réception lorsque la politique est définie sur "Quarantine"

Cette option est spécifiée dans l'enregistrement DMARC à l'aide de la balise "quarantine". quarantine offre un certain niveau de protection car le propriétaire du domaine peut demander au destinataire de renvoyer les courriels dans le dossier spam ou quarantine afin de les consulter ultérieurement en cas d'échec de DMARC.

Cette politique indique au serveur de messagerie destinataire de traiter avec méfiance les messages qui échouent à l'authentification DMARC. Elle est souvent mise en œuvre comme une étape intermédiaire entre "none" et "reject".

Exemple : v=DMARC1 ; quarantine; rua=mailto :(adresse électronique) ;

Cas d'utilisation de la mise en œuvre de la politique de Quarantine

  • Plutôt que de rejeter purement et simplement les courriels non authentifiés, la politique de "quarantine" permet aux propriétaires de domaines de maintenir la sécurité tout en offrant la possibilité d'examiner les courriels avant de les accepter, selon l'approche "vérifier puis faire confiance".
  • Le passage de votre politique DMARC à la quarantine DMARC garantit que les messages légitimes qui échouent à l'authentification DMARC ne seront pas perdus avant que vous ne les examiniez de près.
  • Cette approche peut être considérée comme intermédiaire en termes d'application et facilite une transition en douceur vers p=reject, dans laquelle les propriétaires de domaines peuvent :
    a) évaluer l'impact de DMARC sur leurs messages électroniques
    b) décider en connaissance de cause s'ils doivent ou non rejeter les messages électroniques marqués.
  • La politique de quarantine permet également de réduire l'encombrement de la boîte de réception, en veillant à ce qu'elle ne soit pas surchargée de messages dans le dossier spam.

3. Politique DMARC : Rejeter

Boîte de réception lorsque la politique est définie sur "Rejeter"

Cette option est spécifiée dans l'enregistrement DMARC à l'aide de "p=reject". Il s'agit de la politique la plus stricte, indiquant aux destinataires de rejeter les messages non authentifiés.

Le rejet de la politique DMARC assure une application maximale, garantissant que les messages qui échouent aux contrôles DMARC ne sont pas délivrés du tout. Cette politique est mise en œuvre lorsque les propriétaires de domaines sont sûrs de leur système d'authentification du courrier électronique.

Exemple : v=DMARC1 ; p=reject ; rua= mailto :(adresse électronique) ;

Cas d'utilisation de la mise en œuvre de la politique de rejet

  • Le rejet de la politique DMARC renforce la sécurité de votre courrier électronique. Elle peut empêcher les attaquants de lancer des attaques par hameçonnage ou par usurpation de domaine. La politique de rejet de DMARC empêche les courriels frauduleux en bloquant les messages qui semblent suspects.
  • Si vous êtes suffisamment confiant pour ne pas quarantine messages suspects, la politique de "rejet" vous convient.
  • Il est important de procéder à des tests approfondis et de planifier avant d'opter pour le rejet DMARC.
  • Assurez-vous que les rapports DMARC sont activés pour votre domaine en cas de rejet DMARC.
  • Pour bricoler votre parcours d'application, commencez par p=none et passez progressivement à reject tout en surveillant vos rapports quotidiens.

Autres politiques DMARC

DMARC offre des paramètres de politique supplémentaires permettant d'affiner la mise en œuvre.

  1. Le paramètre pourcentage (pct=) permet un déploiement progressif de la politique en spécifiant la part des messages soumis à DMARC.
    Par exemple : pct=50 applique la politique à 50% des messages.
  2. La stratégie de sous-domaine (sp=) est un enregistrement de stratégie qui définit des règles distinctes pour les sous-domaines. Elle est utile lorsque les sous-domaines doivent être traités différemment.
    Par exemple : v=DMARC1 ; p=reject ; quarantine; rua=mailto:[email protected]`

 

Configurer la politique DMARC de la bonne façon avec PowerDMARC !

15 jours d'essaiRéservez une démo

 

L'importance de DMARC

Les courriers électroniques peuvent être facilement falsifiés, ce qui rend difficile la distinction entre un vrai et un faux dangereux. C'est là que DMARC entre en jeu. DMARC est une sorte de point de contrôle de la sécurité du courrier électronique qui vérifie l'identité de l'expéditeur avant de laisser passer les messages.

Forbes estime que le coût associé à la cybercriminalité atteindra 10,5 billions de dollars par an d'ici 2025. Par ailleurs, Verizon signale que plus de 30 % de toutes les compromissions de données résultent d'attaques par hameçonnage, ce qui souligne la nécessité d'une protection puissante telle que DMARC.

Selon la RFC 7489 de l'IETF, DMARC a la capacité unique de permettre aux expéditeurs de courrier électronique de définir des préférences en matière d'authentification. En l'activant, vous pouvez également obtenir des rapports sur le traitement des courriels et les abus potentiels de domaine. C'est ce qui fait que DMARC se distingue en termes de validation de domaine.

D'après nos dernières statistiques DMARC, un nombre important de domaines sont encore vulnérables aux attaques de phishing en raison de l'absence de mise en œuvre de DMARC.

Pour lancer le processus d'installation de DMARC, il faut modifier correctement le DNS et inclure des enregistrements DNS TXT pour les protocoles. Cependant, la mise en œuvre manuelle du protocole DMARC peut s'avérer assez complexe pour les utilisateurs non techniques. Elle peut même s'avérer assez coûteuse si vous engagez un RSSI externe fractionné pour la gérer pour votre entreprise. L' analyseur DMARC de PowerDMARC est donc une alternative simple. Avec notre analyseur DMARC, nous automatisons la mise en place de votre politique DMARC, ce qui vous permet d'économiser du temps et de l'argent.

Options de rapport DMARC

Les options de rapport pour DMARC sont les suivantes :

  • Rapports agrégés (rua=) pour des données de haut niveau sur les résultats d'authentification et les sources d'envoi.
  • Rapports médico-légaux (ruf=) pour des informations détaillées sur les échecs d'authentification.

Ces paramètres permettent aux organisations de recueillir des informations précieuses sur les résultats de l'authentification DMARC, en donnant un aperçu du nombre d'e-mails qui échouent ou réussissent l'authentification DMARC. Un rapport DMARC est également utile :

  1. Identifier les problèmes potentiels et les schémas d'abus
  2. Détecter les erreurs de configuration de leur messagerie électronique
  3. Obtenir des informations sur le comportement des courriels et les flux d'e-mails
  4. Examiner les résultats de l'authentification pour les protocoles SPF et DKIM

Avantages et défis communs de la mise en œuvre de DMARC

Alors que DMARC offre des avantages significatifs pour la sécurité du courrier électroniqueles organisations sont souvent confrontées à plusieurs défis lors de la mise en œuvre. C'est la raison pour laquelle la plupart des gens optent pour notre DMARC hébergé-un service qui vous aide à configurer, surveiller et mettre à jour votre solution solution DMARC facilement sur une plateforme en nuage.

La mise en œuvre des politiques DMARC dans un scénario réel suit généralement une approche progressive. Cette méthode permet aux organisations de renforcer progressivement la sécurité de leur courrier électronique tout en minimisant le risque de perturber le flux de courrier légitime.

Vous pouvez suivre notre guide sur comment mettre en œuvre DMARC en tant qu'application bricolée de la politique. Cependant, dans l'idéal, nous vous recommandons d'opter pour notre solution DMARC hébergée afin de bénéficier de l'assistance d'un expert. Nos professionnels vous guident dans la mise en œuvre du DMARC et tout au long de votre parcours de mise en application.

Dépannage des erreurs de politique DMARC

Lors de l'utilisation de DMARC, vous pouvez rencontrer un message d'erreur. Voici quelques erreurs courantes liées à la politique DMARC :

  • Erreurs de syntaxe : Vous devez vous méfier des erreurs de syntaxe lors de la création de votre enregistrement afin de vous assurer que votre protocole fonctionne correctement.
  • Erreurs de configuration : Les erreurs lors de la configuration de la politique DMARC sont fréquentes et peuvent être évitées en utilisant un outil de vérification DMARC.
  • Politique de rejet DMARC : Si vous configurez une politique de rejet DMARC, mais que vous ne configurez aucune politique de sous-domaine, vous ne pourrez pas vous mettre en conformité. Cela est dû à une annulation de la politique sur vos courriels sortants.
  • Erreur "DMARC Policy Not Enabled" (Politique DMARC non activée) : Si votre domaine signale cette erreur, cela signifie qu'il manque une politique de domaine DMARC dans votre DNS ou qu'elle est réglée sur "none". Modifiez votre enregistrement pour y incorporer quarantine et le problème devrait être résolu.

Application de la politique DMARC avec PowerDMARC

La plateforme d' analyse DMARC de PowerDMARC vous aide à mettre en place le protocole DMARC sans effort. Utilisez notre interface cloud-native pour surveiller et optimiser vos enregistrements en quelques clics. Contactez-nous dès aujourd'hui pour mettre en place une politique DMARC et suivre vos résultats en toute simplicité !

FAQ sur la politique DMARC

Les clients de PowerDMARC peuvent facilement évaluer leur conformité en consultant le résumé du tableau de bord. Ils peuvent également analyser leur position de sécurité actuelle à l'aide de PowerAnalyzer.

Vous pouvez corriger manuellement votre politique en entrant dans votre gestion DNS. Une fois entré, vous devez éditer votre enregistrement DMARC TXT. Une solution plus simple consiste à utiliser notre solution hébergée pour apporter des modifications à votre politique en un seul clic.

Si vous utilisez notre outil générateur DMARC pour ajouter votre politique, nous attribuons "none" comme mode par défaut. Lors de l'implémentation manuelle, vous devez définir votre politique dans le champ "p=". Sinon, votre enregistrement sera considéré comme invalide.

Notre processus d'examen du contenu et de vérification des faits

Ce contenu a été rédigé par un expert en cybersécurité. Il a été méticuleusement revu par notre équipe de sécurité interne afin d'en garantir l'exactitude technique et la pertinence. Tous les faits ont été vérifiés par rapport à la documentation officielle de l'IETF. Des références à des rapports et des statistiques étayant les informations sont également mentionnées.

Derniers messages de Maitham Al Lawati (voir tous)
Comment corriger 550 SPF Check Failed [SOLVED] (en anglais)Comment corriger l'échec de la vérification de 550 SPFÉchec du DKIMComment remédier à l'échec de DKIM