Posts

L'authentification des e-mails est un aspect crucial du travail d'un fournisseur d'e-mails. L'authentification des e-mails, également connue sous les noms de SPF et DKIM, vérifie l'identité d'un fournisseur d'e-mails. DMARC ajoute au processus de vérification d'un e-mail en vérifiant si un e-mail a été envoyé à partir d'un domaine légitime par le biais de l'alignement, et en spécifiant aux serveurs de réception comment répondre aux messages qui échouent aux contrôles d'authentification. Aujourd'hui, nous allons examiner les différents scénarios qui répondront à votre question : pourquoi DMARC échoue-t-il ?

DMARC est une activité essentielle de votre politique d'authentification des e-mails pour empêcher les faux e-mails "usurpés" de passer les filtres anti-spam transactionnels. Mais ce n'est qu'un des piliers d'un programme anti-spam global et tous les rapports DMARC ne sont pas créés égaux. Certains vous indiqueront l'action exacte des destinataires de chaque message, tandis que d'autres vous diront seulement si un message a réussi ou non. Il est tout aussi important de comprendre pourquoi un message a échoué que de savoir s'il a réussi. L'article suivant explique les raisons pour lesquelles les messages échouent aux contrôles d'authentification DMARC. Il s'agit des raisons les plus courantes (dont certaines peuvent être facilement corrigées) pour lesquelles les messages peuvent échouer aux contrôles d'authentification DMARC.

Raisons courantes pour lesquelles les messages peuvent échouer à DMARC

Identifier les raisons d'un échec de DMARC peut être compliqué. Cependant, je vais passer en revue quelques raisons typiques, les facteurs qui y contribuent, afin que vous, en tant que propriétaire du domaine, puissiez travailler à rectifier le problème plus rapidement.

Défauts d'alignement de DMARC

DMARC utilise l'alignement des domaines pour authentifier vos e-mails. Cela signifie que DMARC vérifie si le domaine mentionné dans l'adresse From (dans l'en-tête visible) est authentique en le comparant au domaine mentionné dans l'en-tête Return-path caché (pour SPF) et l'en-tête de signature DKIM (pour DKIM). Si l'un ou l'autre correspond, le courriel est accepté par DMARC, sinon DMARC échoue.

Par conséquent, si vos courriels échouent au test DMARC, il peut s'agir d'une erreur d'alignement de domaine. En d'autres termes, les identifiants SPF et DKIM ne sont pas alignés et l'e-mail semble provenir d'une source non autorisée. Ce n'est toutefois qu'une des raisons pour lesquelles DMARC échoue.

Mode d'alignement DMARC 

Le mode d'alignement de votre protocole joue également un rôle important dans la réussite ou l'échec de vos messages DMARC. Vous pouvez choisir parmi les modes d'alignement suivants pour l'authentification SPF :

  • Relaxé : Cela signifie que si le domaine dans l'en-tête Return-path et le domaine dans l'en-tête From est simplement une correspondance organisationnelle, même alors SPF passera.
  • Strict : Cela signifie que si le domaine dans l'en-tête Return-path et le domaine dans l'en-tête From correspondent exactement, alors seulement SPF passera.

Vous pouvez choisir parmi les modes d'alignement suivants pour l'authentification DKIM :

  • Relaxé : Cela signifie que si le domaine dans la signature DKIM et le domaine dans l'en-tête From sont simplement une correspondance organisationnelle, même alors DKIM passera.
  • Strict : Cela signifie que si le domaine dans la signature DKIM et le domaine dans l'en-tête From correspondent exactement, alors seulement DKIM passera.

Notez que pour que les e-mails passent l'authentification DMARC, il faut que SPF ou DKIM s'alignent.  

Ne pas configurer votre signature DKIM 

Un cas très courant d'échec de votre DMARC est que vous n'avez pas spécifié de signature DKIM pour votre domaine. Dans ce cas, votre fournisseur de services d'échange d'e-mails attribue une signature DKIM par défaut à vos e-mails sortants qui ne correspond pas au domaine figurant dans votre en-tête From. Le MTA récepteur ne parvient pas à aligner les deux domaines et, par conséquent, DKIM et DMARC échouent pour votre message (si vos messages sont alignés à la fois sur SPF et DKIM).

Ne pas ajouter les sources d'envoi à votre DNS 

Il est important de noter que lorsque vous configurez DMARC pour votre domaine, les MTA de réception effectuent des requêtes DNS pour autoriser vos sources d'envoi. Cela signifie qu'à moins que toutes vos sources d'envoi autorisées ne soient répertoriées dans le DNS de votre domaine, vos courriels échoueront à la procédure DMARC pour les sources qui ne sont pas répertoriées, puisque le récepteur ne sera pas en mesure de les trouver dans votre DNS. Par conséquent, pour vous assurer que vos courriels légitimes sont toujours livrés, assurez-vous de faire des entrées sur tous vos fournisseurs de courriel tiers autorisés à envoyer des courriels au nom de votre domaine, dans votre DNS.

En cas de transfert de courrier électronique

Lors d'une redirection d'e-mail, l'e-mail passe par un serveur intermédiaire avant d'être livré au serveur destinataire. La vérification SPF échoue alors car l'adresse IP du serveur intermédiaire ne correspond pas à celle du serveur expéditeur, et cette nouvelle adresse IP n'est généralement pas incluse dans l'enregistrement SPF du serveur d'origine. En revanche, le transfert d'e-mails n'a généralement pas d'impact sur l'authentification DKIM, sauf si le serveur intermédiaire ou l'entité de transfert apporte certaines modifications au contenu du message.

Comme nous savons que SPF échoue inévitablement lors du transfert d'un courriel, si la source d'envoi est neutre par rapport à DKIM et qu'elle se fie uniquement à SPF pour la validation, le courriel transféré sera rendu illégitime lors de l'authentification DMARC. Pour résoudre ce problème, vous devez immédiatement opter pour une conformité DMARC totale au sein de votre organisation en alignant et en authentifiant tous les messages sortants à la fois par rapport à SPF et DKIM, car pour qu'un courriel passe l'authentification DMARC, il doit passer l'authentification et l'alignement SPF ou DKIM.

Votre domaine fait l'objet d'une usurpation d'identité

Si les protocoles DMARC, SPF et DKIM sont correctement configurés pour votre domaine, que vos politiques sont appliquées et que les enregistrements sans erreur sont valides, et que le problème n'est pas l'un des cas mentionnés ci-dessus, la raison la plus probable pour laquelle vos courriels échouent au protocole DMARC est que votre domaine est usurpé ou falsifié. Cela se produit lorsque des usurpateurs d'identité et des acteurs de la menace essaient d'envoyer des courriels qui semblent provenir de votre domaine en utilisant une adresse IP malveillante.

Selon desstatistiques récentes sur la fraude par courrier électronique, les cas d'usurpation d'identité par courrier électronique sont en augmentation ces derniers temps et constituent une très grande menace pour la réputation de votre organisation. Dans de tels cas, si DMARC est mis en œuvre dans le cadre d'une politique de rejet, il échouera et l'e-mail usurpé ne sera pas délivré dans la boîte de réception de votre destinataire. L'usurpation de domaine peut donc être la réponse à la question de savoir pourquoi DMARC échoue dans la plupart des cas.

Nous vous recommandons de vous inscrire à notre analyseur DMARC gratuit et de commencer votre parcours de reporting et de surveillance DMARC.

  • Avec une politique de non-délivrance, vous pouvez surveiller votre domaine à l'aide de rapports globaux DMARC (RUA) et garder un œil sur vos courriels entrants et sortants, ce qui vous aidera à répondre à tout problème de livraison indésirable.
  • Ensuite, nous vous aidons à mettre en place une politique qui vous permettra de vous immuniser contre les attaques par usurpation de domaine et par hameçonnage.
  • Vous pouvez supprimer les adresses IP malveillantes et les signaler directement à partir de la plateforme PowerDMARC pour éviter de futures attaques d'usurpation d'identité, avec l'aide de notre moteur de renseignements sur les menaces.
  • Les rapports DMARC (RUF) Forensic de PowerDMARC vous permettent d'obtenir des informations détaillées sur les cas où vos e-mails ont échoué au test DMARC, afin que vous puissiez aller à la racine du problème et le résoudre.

Empêchez l'usurpation de domaine et surveillez votre flux d'e-mails avec PowerDMARC, dès aujourd'hui !

Lorsqu'un courrier électronique est envoyé du serveur d'envoi, directement au serveur de réception, SPF et DKIM (s'ils sont configurés correctement) authentifient normalement le courrier électronique et le valident généralement comme étant légitime ou non autorisé. Toutefois, ce n'est pas le cas si le courrier électronique passe par un serveur de courrier intermédiaire avant d'être remis au destinataire, comme dans le cas des messages transférés. Ce blog est destiné à vous faire découvrir l'impact de la redirection de courrier électronique sur les résultats de l'authentification DMARC.

Comme nous le savons déjà, la DMARC utilise deux protocoles d'authentification de courrier électronique standard, à savoir SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail), pour valider les messages entrants. Examinons-les brièvement pour mieux comprendre leur fonctionnement avant de passer à la question de savoir comment le transfert peut les affecter.

Cadre politique de l'expéditeur

Le SPF est présent dans votre DNS sous la forme d'un enregistrement TXT, affichant toutes les sources valides autorisées à envoyer des courriels à partir de votre domaine. Chaque courrier électronique qui quitte votre domaine possède une adresse IP qui identifie votre serveur et le fournisseur de services de courrier électronique utilisé par votre domaine qui est inscrit dans votre DNS comme un enregistrement SPF. Le serveur de messagerie du destinataire valide le courrier électronique par rapport à votre enregistrement SPF pour l'authentifier et, en conséquence, marque le courrier électronique comme SPF pass or fail.

Courrier identifié DomainKeys

DKIM est un protocole standard d'authentification du courrier électronique qui attribue une signature cryptographique, créée à l'aide d'une clé privée, pour valider les courriers électroniques dans le serveur de réception, dans lequel le récepteur peut récupérer la clé publique du DNS de l'expéditeur pour authentifier les messages. Tout comme le SPF, la clé publique DKIM existe également sous la forme d'un enregistrement TXT dans le DNS du propriétaire du domaine.

L'impact de la redirection de courrier électronique sur vos résultats d'authentification DMARC

Lors de la transmission du courrier électronique, le courrier passe par un serveur intermédiaire avant d'être finalement livré au serveur de réception. Tout d'abord, il est important de comprendre que la redirection de courrier électronique peut se faire de deux manières : soit les courriers électroniques peuvent être transmis manuellement, ce qui n'affecte pas les résultats de l'authentification, soit ils peuvent être transmis automatiquement, auquel cas la procédure d'authentification est perturbée si le domaine ne dispose pas de l'enregistrement de la source d'envoi intermédiaire dans son SPF.

Naturellement, la vérification du SPF échoue généralement lors de la transmission du courrier électronique, car l'adresse IP du serveur intermédiaire ne correspond pas à celle du serveur d'envoi, et cette nouvelle adresse IP n'est généralement pas incluse dans l'enregistrement SPF du serveur d'origine. Au contraire, la redirection de courriers électroniques n'a généralement pas d'incidence sur l'authentification DKIM, à moins que le serveur intermédiaire ou l'entité de redirection n'apporte certaines modifications au contenu du message.

Il est à noter que pour qu'un courriel passe l'authentification DMARC, il doit passer l'authentification et l'alignement SPF ou DKIM. Comme nous savons que le SPF échoue inévitablement lors de la transmission du courrier électronique, si la source d'envoi est neutre par rapport au DKIM et ne s'appuie que sur le SPF pour la validation, le courrier électronique transmis sera rendu illégitime lors de l'authentification DMARC.

La solution ? Simple. Vous devez immédiatement opter pour une conformité totale au DMARC dans votre organisation en alignant et en authentifiant tous les messages entrants à la fois sur SPF et DKIM !

Obtenir la conformité du DMARC avec PowerDMARC

Il est important de noter que pour être conformes aux normes DMARC, les courriers électroniques doivent être authentifiés soit par SPF, soit par DKIM, soit par les deux. Cependant, à moins que les messages transférés ne soient validés par rapport au DKIM, et ne reposent que sur le SPF pour l'authentification, le DMARC échouera inévitablement, comme nous l'avons vu dans la section précédente. C'est pourquoi PowerDMARC vous aide à atteindre une conformité complète avec DMARC en alignant et en authentifiant efficacement les courriers électroniques avec les protocoles d'authentification SPF et DKIM. De cette façon, même si les messages authentiques transférés échouent SPF, la signature DKIM peut être utilisée pour le valider comme légitime et le courriel passe l'authentification DMARC, pour ensuite atterrir dans la boîte de réception du destinataire.

Cas exceptionnels : L'échec de DKIM et comment le résoudre ?

Dans certains cas, l'entité de transmission peut modifier le corps du courrier en procédant à des ajustements dans les limites MIME, en mettant en œuvre des programmes antivirus ou en réencodant le message. Dans ce cas, l'authentification SPF et DKIM échoue et les courriels légitimes ne sont pas distribués.

En cas de défaillance des deux systèmes SPF et DKIM, PowerDMARC est en mesure d'identifier et d'afficher que dans nos vues globales détaillées et des protocoles comme Authenticated Received Chain peuvent être exploités par les serveurs de messagerie pour authentifier ces courriels. Dans ARC, l'en-tête Authentication-Results peut être transmis au prochain "saut" dans la ligne de livraison du message, afin d'atténuer efficacement les problèmes d'authentification lors de la transmission du courrier électronique.

Dans le cas d'un message transféré, lorsque le serveur de messagerie du destinataire reçoit un message dont l'authentification DMARC a échoué, il tente de valider le courrier électronique une seconde fois, par rapport à la chaîne de réception authentifiée fournie pour le courrier électronique en extrayant les résultats d'authentification ARC du saut initial, pour vérifier s'il a été validé comme étant légitime avant que le serveur intermédiaire ne le transmette au serveur de réception.

Alors, inscrivez-vous à PowerDMARC dès aujourd'hui, et obtenez la conformité au DMARC dans votre organisation !