Posts

Le Business Email Compromise ou BEC est une forme de violation de la sécurité du courrier électronique ou d'attaque par usurpation d'identité qui touche les entreprises commerciales, les gouvernements, les organisations à but non lucratif, les petites entreprises et les start-ups ainsi que les multinationales et les entreprises pour extraire des données confidentielles qui peuvent influencer négativement la marque ou l'organisation. Les attaques de harponnage, les escroqueries aux factures et les attaques d'usurpation d'identité sont autant d'exemples de CEB.

Les cybercriminels sont des magouilleurs experts qui ciblent intentionnellement des personnes spécifiques au sein d'une organisation, en particulier celles qui occupent des positions autoritaires comme le PDG ou une personne similaire, ou même un client de confiance. L'impact financier mondial dû aux BEC est énorme, en particulier aux États-Unis, qui sont devenus la principale plaque tournante. En savoir plus sur le volume mondial d'escroquerie BEC. La solution ? Passez à DMARC!

Qu'est-ce que le DMARC ?

DMARC (Domain-based Message Authentication, Reporting and Conformance) est une norme industrielle pour l'authentification du courrier électronique. Ce mécanisme d'authentification indique aux serveurs récepteurs comment répondre aux courriels qui échouent aux contrôles d'authentification SPF et DKIM. DMARC peut réduire considérablement les risques que votre marque devienne la proie d'attaques BEC et contribuer à protéger sa réputation, ses informations confidentielles et ses actifs financiers.

Notez qu'avant de publier un enregistrement DMARC, vous devez implémenter SPF et DKIM pour votre domaine puisque l'authentification DMARC utilise ces deux protocoles d'authentification standard pour valider les messages envoyés au nom de votre domaine.

Vous pouvez utiliser gratuitement notre générateur d'enregistrements SPF et notre générateur d'enregistrements DKIM pour générer des enregistrements à publier dans le DNS de votre domaine.

Comment optimiser votre dossier DMARC pour vous protéger contre la CEB ?

Afin de protéger votre domaine contre le Business Email Compromise, ainsi que de permettre un mécanisme de reporting étendu pour surveiller les résultats d'authentification et obtenir une visibilité complète de votre écosystème de messagerie, nous vous recommandons de publier la syntaxe d'enregistrement DMARC suivante dans le DNS de votre domaine :

v=DMARC1 ; p=rejet ; rua=mailto:[email protected] ; ruf=mailto:[email protected] ; fo=1 ;

Comprendre les balises utilisées lors de la génération d'un enregistrement DMARC :

v (obligatoire)Ce mécanisme précise la version du protocole.
p (obligatoire)Ce mécanisme précise la politique de la DMARC en vigueur. Vous pouvez définir votre politique DMARC sur :

p=non (DMARC au contrôle seulement, où les courriels échouant aux contrôles d'authentification atterriront quand même dans les boîtes de réception des destinataires). p=quarantaine (DMARC au contrôle, où les courriels échouant aux contrôles d'authentification seront mis en quarantaine ou placés dans le dossier des pourriels).

p=rejet (DMARC au maximum, où les courriels qui échouent aux contrôles d'authentification seront rejetés ou ne seront pas livrés du tout).

Pour les novices en matière d'authentification, il est recommandé de commencer par une politique de surveillance uniquement (p=none), puis de passer progressivement à l'application. Toutefois, pour les besoins de ce blog, si vous souhaitez protéger votre domaine contre le BEC, il est recommandé d'adopter la politique p=reject afin d'assurer une protection maximale.

sp (facultatif)Cette balise spécifie la politique de sous-domaines qui peut être définie à sp=non/quarantine/rejeter demandant une politique pour tous les sous-domaines dans lesquels les courriels échouent à l'authentification DMARC.

Cette balise n'est utile que si vous souhaitez définir une politique différente pour votre domaine principal et vos sous-domaines. Si ce n'est pas le cas, la même politique sera appliquée par défaut à tous vos sous-domaines.

adkim (facultatif)Ce mécanisme spécifie le mode d'alignement de l'identifiant DKIM qui peut être réglé sur s (strict) ou r (relâché).

L'alignement strict spécifie que le champ d= dans la signature DKIM de l'en-tête du courriel doit s'aligner et correspondre exactement au domaine trouvé dans l'en-tête from.

Toutefois, pour un alignement assoupli, les deux domaines doivent partager le même domaine organisationnel uniquement.

aspf (facultatif) Ce mécanisme spécifie le mode d'alignement de l'identifiant du SPF qui peut être réglé sur s (strict) ou r (relâché).

L'alignement strict spécifie que le domaine dans l'en-tête "Return-path" doit s'aligner et correspondre exactement au domaine trouvé dans l'en-tête "from".

Toutefois, pour un alignement assoupli, les deux domaines doivent partager le même domaine organisationnel uniquement.

rua (facultatif mais recommandé)Cette balise spécifie les rapports agrégés DMARC qui sont envoyés à l'adresse spécifiée après le champ mailto :, fournissant un aperçu des courriels qui passent et qui échouent en DMARC.
ruf (facultatif mais recommandé)Cette balise spécifie les rapports médico-légaux DMARC qui doivent être envoyés à l'adresse spécifiée après le champ mailto :. Les rapports de police scientifique sont des rapports au niveau du message qui fournissent des informations plus détaillées sur les échecs d'authentification. Comme ces rapports peuvent contenir du contenu de courrier électronique, leur cryptage est la meilleure pratique.
pct (facultatif)Cette balise précise le pourcentage de courriels auxquels s'applique la politique du DMARC. La valeur par défaut est fixée à 100.
fo (facultatif mais recommandé)Les options médico-légales pour votre dossier DMARC peuvent être réglées sur

->DKIM et SPF ne passent pas ou ne s'alignent pas (0)

->DKIM ou SPF ne passent pas ou ne s'alignent pas (1)

->DKIM ne passe pas ou ne s'aligne pas (d)

->SPF ne passe pas ou ne s'aligne pas (s)

Le mode recommandé est fo=1, qui précise que des rapports d'expertise doivent être générés et envoyés à votre domaine lorsque des courriels échouent aux contrôles d'authentification DKIM ou SPF.

Vous pouvez générer votre enregistrement DMARC avec le générateur d'enregistrements DMARC gratuit de PowerDMARC dans lequel vous pouvez sélectionner les champs en fonction du niveau d'application que vous souhaitez.

Notez que seule une politique de rejet peut minimiser le BEC et protéger votre domaine contre les attaques d'usurpation d'identité et de phishing.

Bien que le DMARC puisse être une norme efficace pour protéger votre entreprise contre le CEB, sa mise en œuvre correcte nécessite des efforts et des ressources. Que vous soyez novice ou passionné d'authentification, en tant que pionnier de l'authentification du courrier électronique, PowerDMARC est une plate-forme SaaS unique d'authentification du courrier électronique qui réunit pour vous toutes les meilleures pratiques d'authentification du courrier électronique telles que DMARC, SPF, DKIM, BIMI, MTA-STS et TLS-RPT, sous un même toit. Nous vous aidons :

  • Passer de la surveillance à l'application en un rien de temps pour tenir la CEB à distance
  • Nos rapports agrégés sont générés sous forme de graphiques et de tableaux simplifiés pour vous aider à les comprendre facilement sans avoir à lire des fichiers XML complexes
  • Nous cryptons vos rapports de police scientifique pour protéger la confidentialité de vos informations
  • Visualisez vos résultats d'authentification dans 7 formats différents (par résultat, par source d'envoi, par organisation, par hôte, statistiques détaillées, rapports de géolocalisation, par pays) sur notre tableau de bord convivial pour une expérience utilisateur optimale.
  • Obtenez une conformité à 100 % avec la norme DMARC en alignant vos courriels sur les normes SPF et DKIM afin que les courriels qui échouent à l'un ou l'autre des points de contrôle d'authentification ne parviennent pas dans la boîte de réception de vos destinataires

Comment le DMARC protège-t-il contre la CEB ?

Dès que vous définissez votre politique DMARC pour une application maximale (p=rejet), DMARC protège votre marque contre la fraude par courriel en réduisant les risques d'attaques d'usurpation d'identité et d'abus de domaine. Tous les messages entrants sont validés par des contrôles d'authentification SPF et DKIM pour s'assurer qu'ils proviennent de sources valides.

SPF est présent dans votre DNS sous la forme d'un enregistrement TXT, affichant toutes les sources valides qui sont autorisées à envoyer des courriels depuis votre domaine. Le serveur de messagerie du destinataire valide l'e-mail par rapport à votre enregistrement SPF pour l'authentifier. DKIM attribue une signature cryptographique, créée à l'aide d'une clé privée, pour valider les e-mails dans le serveur de réception, où le récepteur peut récupérer la clé publique à partir du DNS de l'expéditeur pour authentifier les messages.

Avec votre politique de rejet, les courriels ne sont pas délivrés du tout à la boîte aux lettres de votre destinataire lorsque les contrôles d'authentification échouent, indiquant que votre marque est usurpée. En définitive, cela permet d'éviter les attaques de type spoofing et phishing.

Le plan de base de PowerDMARC pour les petites entreprises

Notre plan de base commence à seulement 8 USD par mois, donc les petites entreprises et les start-ups qui essaient d'adopter des protocoles sécurisés comme le DMARC peuvent facilement en bénéficier. Les avantages que vous aurez à votre disposition avec ce plan sont les suivants :

  • Économisez 20% sur votre plan annuel
  • Jusqu'à 2 000 000 de courriels conformes à la norme DMARC
  • Jusqu'à 5 domaines
  • Historique des données sur 1 an
  • 2 utilisateurs de la plate-forme
  • Hébergé par BIMI
  • Hébergement MTA-STS
  • TLS-RPT

Inscrivez-vous à PowerDMARC dès aujourd'hui et protégez le domaine de votre marque en minimisant les risques de compromission des courriels d'affaires et de fraude par courriel !