Posts

Saviez-vous que vous pouvez recevoir des rapports DMARC en dehors de votre propre domaine ? Oui, il est possible d'envoyer vos rapports DMARC à une adresse e-mail qui ne fait pas partie de votre propre domaine grâce à la vérification de destination externe DMARC. Si vous possédez le domaine compagnie.comvous pouvez envoyer vos rapports à une adresse (exemple) [email protected]où company.com n'a aucune autorité sur mailreports.net et ce sont deux domaines complètement séparés.

Cependant, pour y parvenir, le domaine recevant le rapport (mailreports.net) doit donner son accord pour recevoir des rapports contenant les données DMARC de votre domaine (société.com). (entreprise.com).

La méthode qui rend cela possible est appelée "vérification de domaine externe". Aujourd'hui, nous allons voir en quoi elle consiste et comment elle vous aide dans votre démarche d'authentification. 

Vérification de domaine externe DMARC - Expliqué

Disons que vous possédez le domaine compagnie.com et que vous avez activé DMARC pour votre domaine. Vous voulez maintenant recevoir des informations sur vos sources d'envoi d'e-mails par le biais de rapports agrégés DMARC, mais pour éviter de spammer la boîte de réception de vos domaines et sous-domaines internes, vous voulez rediriger ces rapports vers une destination externe, disons par exemple mailreports.net.

Il s'agit d'une tactique courante utilisée par les entreprises qui ont plusieurs domaines enregistrés, des tiers et un flux important d'informations vers et depuis leurs domaines. 

Pour ce faire, votre enregistrement DMARC suivant ressemblerait à ceci : 

v=DMARC1 ; p=quarantaine ; rua=mailto:[email protected]

[Pour créer gratuitement votre enregistrement personnalisé, utilisez notre générateur d'enregistrements DMARC outil]

La balise rua spécifie l'adresse électronique sur laquelle vous recevrez vos rapports DMARC. Notez maintenant que ce n'est pas parce que vous avez un enregistrement publié sur votre DNS demandant que vos données soient envoyées à mailreports.net, qu'il en sera ainsi. Ce n'est pas si simple.

Le domaine recevant les rapports doit fournir un consentement numérique pour recevoir les rapports de entreprise.comsinon ils ne peuvent pas être envoyés. C'est ce que l'on appelle la vérification du domaine externe ou la vérification de la destination externe (comme indiqué dans le document RFC 7489 7.1).

Pourquoi la vérification externe de la destination est-elle nécessaire ? Menaces et vulnérabilités potentielles

Les raisons suivantes peuvent vous inciter à opter pour la vérification externe de domaine :

  • Vous êtes propriétaire d'un domaine qui n'exploite pas de serveurs de messagerie.
  • Sans vérification du domaine externe, les cyberattaquants peuvent facilement créer un enregistrement DMARC mentionnant un domaine externe (d'une victime) pour recevoir des rapports. Les rapports de tous les mauvais courriels envoyés par l'attaquant inondent alors la boîte de réception de la victime. 

Grâce à la vérification de la destination externe, les acteurs de la menace peuvent être empêchés d'accomplir leurs actes malveillants, et les propriétaires de domaines peuvent acheminer les rapports vers un domaine externe qui exploite des serveurs de messagerie. 

Comment fonctionne la vérification externe de domaine ?

Vérification des destinations des rapports externes 

Lorsqu'un domaine pour lequel un enregistrement DMARC a été publié envoie un courriel, le serveur de réception du courriel vérifie si le domaine organisationnel pour lequel l'enregistrement a été publié correspond exactement au domaine organisationnel mentionné dans la balise rua (ou ruf) de l'enregistrement DMARC. 

S'il n'y a pas de correspondance, et si un domaine externe a été spécifié pour recevoir les rapports, le processus de vérification est lancé. 

Pour ce faire, le DNS de l'hôte recevant le rapport est interrogé pour vérifier s'il a consenti à recevoir les rapports. Si un enregistrement DMARC l'attestant est trouvé dans son DNS, la vérification passe et les rapports sont envoyés au domaine externe. Si elle échoue, les rapports ne sont pas envoyés. 

Parfois, en raison d'un dépassement de délai DNS et d'autres problèmes mineurs, une erreur temporaire peut se produire, empêchant les serveurs de réception de terminer temporairement le processus de vérification de la destination externe. Ce processus est toutefois réessayé ultérieurement. 

Configurations de la vérification des destinations externes pour des domaines (et sous-domaines) spécifiques 

Reprenons notre exemple précédent pour déterminer comment faire en sorte que votre processus de vérification des destinations externes ne renvoie pas un résultat d'erreur pour vos domaines et sous-domaines spécifiques.  

Exemple de nom de domaine : company.com 

Exemple de domaine de réception de rapport externe : mailreports.net 

Un enregistrement DNS DMARC avec les informations suivantes doit être publié sur le domaine mailreports.net : 

Champ  Description Valeur
Hôte C'est ici que vous publiez l'enregistrement sur société.com._report._dmarc.mailreports.net
Valeur La valeur de votre enregistrement TXT v=DMARC1 ;

Note: Remplacez les noms de domaine par votre propre domaine et tout domaine externe sur lequel vous souhaitez recevoir vos rapports. Cet enregistrement ne doit PAS être publié sur votre domaine, mais sur le domaine externe auquel vous voulez envoyer vos rapports.

Et le tour est joué ! Lors de la vérification de la destination externe, les serveurs de réception d'e-mails seront informés que votre domaine externe préféré mentionné dans la balise rua ou ruf consent en fait à recevoir des rapports DMARC au nom de votre domaine. 

Configurations optionnelles pour la vérification des destinations externes

Au lieu de publier l'enregistrement susmentionné pour donner l'autorisation à des domaines spécifiques d'envoyer des rapports à leur adresse, les domaines externes utilisent souvent un enregistrement de type enregistrement joker (qui commence par un astérisque "*").

Il s'agit simplement d'un raccourci pour éviter tout effort supplémentaire, car un enregistrement joker indique essentiellement que le domaine externe consent à recevoir des rapports DMARC pour TOUT domaine. domaine externe consent à recevoir des rapports DMARC de N'IMPORTE QUEL domaine (et pas seulement le vôtre). (et pas seulement de votre domaine spécifique).

Voici la syntaxe (exemple) d'un enregistrement joker utilisé pour la vérification d'un domaine externe : 

Champ  Description Valeur d'enregistrement du joker
Hôte C'est ici que vous publiez l'enregistrement sur *._report._dmarc.domain.com
Valeur La valeur de votre enregistrement TXT v=DMARC1 ;

Risques potentiels liés à l'utilisation de caractères génériques

L'utilisation d'entrées joker pour la vérification de domaines externes n'est pas une pratique recommandée et comporte des risques potentiels. En effet, lorsqu'un domaine consent à recevoir des rapports de n'importe quel domaine, des acteurs malveillants peuvent s'en servir pour spammer des comptes de messagerie avec des rapports en masse provenant de domaines malveillants sans qu'aucun mécanisme ne soit en place pour réguler ou filtrer les rapports. Cette situation peut être potentiellement préjudiciable au domaine qui reçoit les rapports, mais aussi vous causer des problèmes si vous utilisez ce domaine pour recevoir vos propres rapports. 

Comment gérons-nous la vérification des domaines externes à PowerDMARC ?

Pour les clients qui ont créé un compte PowerDMARC et qui reçoivent des rapports sur l'analyseur de rapports analyseur de rapports DMARC le tableau de bord n'a pas à se soucier de la vérification du domaine externe, car nous nous en chargeons pour vous. Tous les rapports envoyés par les récepteurs sont automatiquement acheminés et envoyés à notre plateforme, soigneusement analysés et organisés pour que vous puissiez les consulter sans que vous ayez à publier des enregistrements afin de rationaliser le processus de vérification des destinations externes. Il vous suffit de spécifier notre adresse rua (ou ruf) personnalisée dans votre enregistrement DMARC.

Inscrivez-vous dès maintenant pour que la validation de votre destination externe et le processus de mise en œuvre de DMARC se fassent sans effort grâce à un essai gratuit de DMARC. essai DMARC gratuit.