Posts

Avoir de multiples enregistrements DMARC sur votre domaine est un véritable non-sens, et voici pourquoi ! Nous savons que la mise en œuvre de protocoles d'authentification des e-mails comme DMARC est essentielle pour la réputation d'une organisation et la sécurité des données, et pour ce faire, les propriétaires de domaines doivent publier un enregistrement TXT dans leur DNS. Mais une question qui revient souvent dans la communauté est la suivante : "Puis-je avoir plusieurs enregistrements DMARC sur mon domaine ?" La réponse est non. Plusieurs enregistrements DMARC sur le même domaine peuvent invalider votre enregistrement et donc la politique d'authentification DMARC définie pour votre domaine ne fonctionne pas.

Comment un enregistrement DMARC est-il traité par les MTA ?

Un enregistrement DMARC publié dans le DNS de votre domaine ressemble à ceci :

TXT mydomain.com v=DMARC1 ; p=reject ; rua=mailto:[email protected]

Par conséquent, lorsqu'un domaine pour lequel DMARC est configuré envoie un courriel, le MTA qui reçoit le courriel récupère tous les enregistrements TXT qui commencent par v=DMARC1. Le MTA interroge le DNS du domaine expéditeur et peut rencontrer les scénarios suivants :

  1. Il trouve un seul enregistrement DMARC valide dans le DNS du domaine source et traite l'e-mail conformément aux spécifications de la politique DMARC.
  2. Il ne trouve pas d'enregistrement DMARC pour le domaine d'envoi et le traitement DMARC s'arrête automatiquement, le courriel est livré sans vérification de la source.
  3. Il trouve plusieurs enregistrements DMARC sur le même domaine et dans ce cas, le traitement DMARC est également interrompu et la politique appliquée ne peut être exécutée.

Enregistrements DMARC multiples : Comment y remédier ?

Lorsque vous configurez DMARC pour votre domaine et que vous définissez une politique, vous souhaitez que les MTA répondent à vos e-mails d'une manière conforme à vos intentions. C'est ainsi que DMARC peut protéger votre domaine contre l'usurpation d'identité et l'usurpation d'identité. Afin d'aider le protocole configuré à fonctionner efficacement, nous recommandons les étapes suivantes :

  • Vérifiez que vous n'avez pas publié plusieurs enregistrements DMARC pour votre domaine.
  • Assurez-vous que votre enregistrement DMARC ne contient pas d'erreurs de syntaxe.
  • Au lieu de générer manuellement votre enregistrement DMARC, utilisez des outils fiables comme notregénérateur d'enregistrement DMARC gratuit qui fera le travail pour vous.
  • Activez les rapports DMARC pour votre domaine afin de surveiller de temps en temps le flux d'e-mails et les résultats de l'authentification, de manière à pouvoir suivre les problèmes de livraison et prendre des mesures contre les sources d'envoi malveillantes.
  • Assurez-vous de rester en dessous de la limite de consultation de SPF 10 pour éviter le résultat de la permerror.

Une alternative aux différentes étapes que vous pouvez suivre pour implémenter correctement DMARC pour votre domaine et éviter les enregistrements DMARC multiples serait de vous inscrire simplement à notre analyseur DMARC.

PowerDMARC gère la plupart des complexités en arrière-plan pour automatiser votre parcours d'authentification des e-mails et vous aider à atténuer les erreurs de configuration qui peuvent causer des problèmes de délivrabilité des e-mails.

Dans cet article, nous allons démystifier les 6 principales raisons de l'échec de DMARC et comment vous pouvez les atténuer pour améliorer la délivrabilité. L'échec de DMARC pour vos messages est une source d'inquiétude si vous êtes une organisation qui dépend fortement des e-mails pour ses communications externes et internes. Il existe des méthodes et des outils que vous pouvez utiliser en ligne (gratuitement) pour empêcher l'échec DMARC de vos messages.

Avant de nous pencher sur les raisons de l'échec de DMARC, voyons ce que c'est et comment cela peut vous aider :

DMARC est une activité essentielle de votre politique d'authentification des e-mails pour empêcher les faux e-mails "usurpés" de passer les filtres anti-spam transactionnels. Mais ce n'est qu'un des piliers d'un programme anti-spam global, et tous les rapports DMARC ne sont pas créés égaux. Certains vous indiqueront les mesures exactes prises par les destinataires de chaque message, tandis que d'autres vous diront seulement si un message a réussi ou non. Il est tout aussi important de comprendre pourquoi un message a échoué que de savoir s'il a réussi.

Raisons communes qui peuvent causer l'échec de DMARC

Identifier les raisons d'un échec de DMARC peut être compliqué. Cependant, je vais passer en revue quelques raisons typiques, les facteurs qui y contribuent, afin que vous, en tant que propriétaire du domaine, puissiez travailler à rectifier le problème plus rapidement.

Défauts d'alignement de DMARC

DMARC utilise l'alignement des domaines pour authentifier vos e-mails. Cela signifie que DMARC vérifie si le domaine mentionné dans l'adresse From (dans l'en-tête visible) est authentique en le comparant au domaine mentionné dans l'en-tête Return-path caché (pour SPF) et l'en-tête de signature DKIM (pour DKIM). Si l'un ou l'autre correspond, le courriel est accepté par DMARC, sinon, DMARC échoue.

Par conséquent, si vos courriels échouent au test DMARC, il peut s'agir d'une erreur d'alignement de domaine. En d'autres termes, les identifiants SPF et DKIM ne sont pas alignés et l'e-mail semble provenir d'une source non autorisée. Ce n'est toutefois qu'une des raisons pour lesquelles DMARC échoue.

Mode d'alignement DMARC 

Le mode d'alignement de votre protocole joue également un rôle important dans la réussite ou l'échec de vos messages DMARC. Vous pouvez choisir parmi les modes d'alignement suivants pour l'authentification SPF :

  • Relaxé : Cela signifie que si le domaine dans l'en-tête Return-path et le domaine dans l'en-tête From est simplement une correspondance organisationnelle, même alors SPF passera.
  • Strict : Cela signifie que si le domaine dans l'en-tête Return-path et le domaine dans l'en-tête From correspondent exactement, alors seulement SPF passera.

Vous pouvez choisir parmi les modes d'alignement suivants pour l'authentification DKIM :

  • Relaxé : cela signifie que si le domaine de la signature DKIM et le domaine de l'en-tête From correspondent simplement à une organisation, même DKIM passera.
  • Strict : Cela signifie que si le domaine dans la signature DKIM et le domaine dans l'en-tête From correspondent exactement, alors seulement DKIM passera.

Notez que pour que les e-mails passent l'authentification DMARC, il faut que SPF ou DKIM s'alignent.  

Ne pas configurer votre signature DKIM 

Un cas très courant d'échec de votre DMARC est que vous n'avez pas spécifié de signature DKIM pour votre domaine. Dans ce cas, votre fournisseur de services d'échange d'e-mails attribue une signature DKIM par défaut à vos e-mails sortants qui ne correspondent pas au domaine figurant dans votre en-tête From. Le MTA récepteur ne parvient pas à aligner les deux domaines et, par conséquent, DKIM et DMARC échouent pour votre message (si vos messages sont alignés à la fois sur SPF et DKIM).

Ne pas ajouter les sources d'envoi à votre DNS 

Il est important de noter que lorsque vous configurez DMARC pour votre domaine, les MTA de réception effectuent des requêtes DNS pour autoriser vos sources d'envoi. Cela signifie qu'à moins que toutes vos sources d'envoi autorisées ne soient répertoriées dans le DNS de votre domaine, vos courriels échoueront à la procédure DMARC pour les sources qui ne sont pas répertoriées puisque le récepteur ne sera pas en mesure de les trouver dans votre DNS. Par conséquent, pour vous assurer que vos courriels légitimes sont toujours livrés, assurez-vous de faire des entrées sur tous vos fournisseurs de courriel tiers autorisés à envoyer des courriels au nom de votre domaine, dans votre DNS.

En cas de transfert de courrier électronique

Lors d'un transfert d'e-mail, l'e-mail passe par un serveur intermédiaire avant d'être livré au serveur destinataire. Pendant le transfert d'un courriel, la vérification SPF échoue car l'adresse IP du serveur intermédiaire ne correspond pas à celle du serveur expéditeur, et cette nouvelle adresse IP n'est généralement pas incluse dans l'enregistrement SPF du serveur d'origine. En revanche, le transfert d'e-mails n'a généralement pas d'impact sur l'authentification DKIM, sauf si le serveur intermédiaire ou l'entité de transfert apporte certaines modifications au contenu du message.

Comme nous savons que SPF échoue inévitablement lors du transfert d'un courriel, si la source d'envoi est neutre par rapport à DKIM et qu'elle se fie uniquement à SPF pour la validation, le courriel transféré sera rendu illégitime lors de l'authentification DMARC. Pour résoudre ce problème, vous devez immédiatement opter pour une conformité DMARC totale au sein de votre organisation en alignant et en authentifiant tous les messages sortants à la fois par rapport à SPF et DKIM, car pour qu'un courriel passe l'authentification DMARC, il doit passer l'authentification et l'alignement SPF ou DKIM.

Votre domaine fait l'objet d'une usurpation d'identité

Si les protocoles DMARC, SPF et DKIM sont correctement configurés pour votre domaine, que vos politiques sont appliquées et que les enregistrements sans erreur sont valides, et que le problème n'est pas l'un des cas mentionnés ci-dessus, la raison la plus probable pour laquelle vos courriels échouent au protocole DMARC est que votre domaine est usurpé ou falsifié. Cela se produit lorsque des usurpateurs d'identité et des acteurs de la menace essaient d'envoyer des courriels qui semblent provenir de votre domaine en utilisant une adresse IP malveillante.

Selon desstatistiques récentes sur la fraude par courriel, les cas d'usurpation d'identité par courriel sont en augmentation ces derniers temps et constituent une menace très importante pour la réputation de votre organisation. Dans de tels cas, si DMARC est mis en œuvre dans le cadre d'une politique de rejet, il échouera et l'e-mail usurpé n'arrivera pas dans la boîte de réception de votre destinataire. L'usurpation de domaine peut donc être la réponse à la question de savoir pourquoi DMARC échoue dans la plupart des cas.

Pourquoi DMARC échoue-t-il pour les fournisseurs de boîtes aux lettres tiers ? (Gmail, Mailchimp, Sendgrid, etc.)

Si vous utilisez des fournisseurs de boîtes aux lettres externes pour envoyer des courriels en votre nom, vous devez activer DMARC, SPF et/ou DKIM pour eux. Vous pouvez le faire soit en les contactant et en leur demandant de gérer la mise en œuvre pour vous, soit en prenant les choses en main et en activant manuellement les protocoles. Pour ce faire, vous devez avoir accès au portail de votre compte hébergé sur chacune de ces plateformes (en tant qu'administrateur).

Si vos messages Gmail échouent au test DMARC, passez à l'enregistrement SPF de votre domaine et vérifiez si vous y avez inclus _spf.google.com. Si ce n'est pas le cas, cela peut expliquer pourquoi les serveurs de réception ne parviennent pas à identifier Gmail comme votre source d'envoi autorisée. Il en va de même pour vos e-mails envoyés par Mailchimp, Sendgrid et d'autres.

Comment réparer l'échec de DMARC ?

Pour remédier à l'échec de DMARC, nous vous recommandons de vous inscrire à notre analyseur DMARC gratuit et de commencer votre parcours de reporting et de surveillance DMARC.

#Étape 1: Si vous n'avez pas de politique, vous pouvez commencer par surveiller votre domaine à l'aide des rapports globaux DMARC (RUA) et garder un œil sur vos courriels entrants et sortants, ce qui vous aidera à répondre à tout problème de livraison indésirable.

#Étape 2: Après cela, nous vous aidons à mettre en œuvre une politique qui vous permettra de vous immuniser contre l'usurpation de domaine et les attaques de phishing.

#Étape 3: Détruire les adresses IP malveillantes et les signaler directement à partir de la plateforme PowerDMARC pour éviter de futures attaques d'usurpation d'identité, avec l'aide de notre moteur de renseignements sur les menaces.

#Étape 4 : Activer les rapports d'expertise DMARC (RUF) pour obtenir des informations détaillées sur les cas où vos courriels ont échoué à la norme DMARC, afin de pouvoir remonter à la source du problème et le résoudre plus rapidement.

Nous espérons avoir pu répondre à la question de savoir pourquoi DMARC échoue pour votre domaine et fournir une solution pour résoudre le problème facilement. Pour empêcher l'usurpation de domaine et surveiller votre flux d'e-mails avec PowerDMARC, dès aujourd'hui !