Posts

Dans le cadre de DMARC, il existe une politique de quarantaine avec la balise p=quarantine, ce qui signifie que les courriels sont considérés comme du spam et sont ensuite transmis au propriétaire du domaine pour examen. Cela permet de détecter à l'avance la plupart des domaines usurpateurs. Ce guide est conçu pour vous aider à comprendre ce qu'est la quarantaine DMARC et comment DMARC fonctionne avec la politique p=quarantine.

Qu'est-ce que la quarantaine DMARC ?

DMARC Quarantine est l'une des trois politiques DMARC (les deux autres étant p=one et p=reject). (les deux autres étant p=none et p=reject) qui demande au serveur de réception du courrier électronique de placer tous les courriers électroniques dont l'authentification DMARC échoue dans le dossier spam/junk du destinataire.

Lorsque vous définissez une politique DMARC sur p=quarantainevous indiquez aux serveurs de messagerie que si un message échoue à l'authentification DMARC, le serveur doit le mettre en quarantaine. La "mise en quarantaine" d'un message électronique signifie qu'il sera toujours livré dans la boîte de réception du destinataire, mais qu'il sera marqué comme suspect et envoyé dans le dossier spam (ou "courrier indésirable") du destinataire au lieu de sa boîte de réception.

Voici comment localiser votre dossier spam sur GMAIL.

Un enregistrement DMARC avec la politique de quarantaine peut ressembler à ceci :

v=DMARC1 ; p=quarantaine ; rua=mailto:[email protected] ;

Comment la politique de quarantaine DMARC est-elle exécutée ?

Une politique de quarantaine signifie que les fournisseurs de courrier électronique qui reçoivent des messages de votre côté vérifieront la conformité à la norme DMARC pour voir si le message a passé l'authentification DKIM ou SPF, et ils vérifieront également si le domaine trouvé dans l'adresse correspond aux domaines trouvés dans l'alignement des identifiants SPF ou DKIM. Si ces critères sont remplis, le fournisseur de services de messagerie délivrera votre message dans la boîte de réception de l'utilisateur. En revanche, si ces critères ne sont pas respectés, le fournisseur de services de messagerie mettra votre message dans le dossier spam ou le rejettera purement et simplement.

Une analyse étape par étape du fonctionnement de la politique de quarantaine DMARC

1. Lorsqu'un courriel est envoyé, le récepteur vérifie l'existence d'un enregistrement DMARC.

2. Si le message ne passe pas le test SPF ou DKIM, il est évalué sur la base des paramètres d'alignement du domaine dans l'enregistrement DMARC, qui sont transmis avec la vérification DMARC. L'alignement du domaine consiste à déterminer si le domaine d'une adresse "From" correspond ou non au domaine d'un enregistrement SPF.

3. Les options de traitement définies par une politique DMARC sont basées sur le degré d'alignement du message sur un domaine d'envoi.

4. Si l'expéditeur réussit l'authentification, le message sera livré comme d'habitude.

5. Au contraire, s'il n'est pas étroitement aligné, alors la politique DMARC appliquée (qui dans notre cas est p=quarantine) est exécutée.

6. La politique DMARC p=quarantine indique au serveur récepteur de traiter les courriels qui échouent à l'authentification DMARC comme suspects ; ils ne seront pas envoyés directement dans la boîte de réception de l'utilisateur, mais ils ne seront pas non plus rejetés entièrement. Ils seront placés dans un dossier de spam ou de courrier indésirable ou signalés d'une manière ou d'une autre afin que l'utilisateur sache que le message n'est pas authentique.

Importance de la politique de quarantaine DMARC

DMARC est un outil efficace pour empêcher l'usurpation d'adresses électroniques, et la politique de mise en quarantaine est un excellent moyen de protéger votre boîte de réception sans avoir à apporter beaucoup de modifications à votre système.

Utilisation de p=quarantaine indique à votre serveur de messagerie récepteur que tous les courriels qui n'ont pas votre nom de domaine dans le champ "From" (ou tout autre critère défini) doivent être mis en quarantaine par défaut.

Par exemple :

Si un spammeur tente d'envoyer un courriel à partir de "[email protected]" mais n'a pas accès aux informations nécessaires pour le signer avec DKIM ou SPF, le courriel sera mis en quarantaine au lieu d'être livré. Votre boîte de réception est ainsi protégée contre de nombreux messages indésirables.

La politique de quarantaine est également très utile car elle réduit les faux positifs. En effet, comme vous demandez simplement à votre serveur de messagerie de mettre en quarantaine tous les messages qui ne répondent pas aux critères définis, vous n'avez pas à vous soucier d'identifier les messages malveillants et ceux qui proviennent de sources légitimes.

L'importance de la quarantaine DMARC expliquée par un exemple

Disons que vous êtes représentant en ressources humaines pour une société appelée Akme. Un jour, votre patron vous envoie un courriel vous demandant de transférer 1 000 dollars sur le compte bancaire d'un fournisseur nommé Dynamic Corp.

Vous n'avez jamais entendu parler de ce fournisseur. Vous ne pensez même pas que votre entreprise travaille avec des vendeurs !

Mais comme le message provient de l'adresse électronique de votre patron et non d'un compte quelconque, vous supposez qu'il est légitime. Donc vous transférez l'argent.

Le lendemain, votre patron vous demande pourquoi vous avez envoyé 1 000 $ à DynamicCorp. Vous lui dites que vous pensiez qu'il vous l'avait demandé. Il vous dit que c'est quelqu'un se faisant passer pour lui qui a envoyé l'email en question - et qu'il ne vous a jamais demandé de faire ce paiement !

Avec la politique de quarantaine DMARC, cela n'arrive jamais. Si Akme a mis en place une politique de quarantaine DMARC via le protocole DMARC (en publiant un enregistrement TXT DMARC), lorsque quelqu'un usurpe le domaine Akme et envoie un e-mail comme celui-ci en prétendant provenir d'Akme HR, la boîte de réception du destinataire signalera le message comme étant du spam ou du courrier indésirable, évitant ainsi le problème avant même qu'il ne commence.

Le pourcentage recommandé de messages en quarantaine dans l'enregistrement DMARC

Lorsque vous configurez votre enregistrement DMARC, il est important de se rappeler que l'action de mise en quarantaine peut vous faire perdre de bons e-mails. C'est là que la valeur du pourcentage entre en jeu : elle indique aux serveurs de messagerie récepteurs le pourcentage d'e-mails qui doivent être traités comme du spam. Cela signifie que pour 100 e-mails, seuls [x] seront mis en quarantaine.

Pour les petites organisations, nous recommandons une valeur de 10 %. Cela signifie que si quelqu'un vous envoie un e-mail qui échoue à la vérification DMARC, il n'y a qu'une chance sur dix qu'il soit mis en quarantaine comme spam. De cette façon, vous réduisez le risque de perdre des messages légitimes tout en ayant la possibilité de tester votre configuration DMARC sur des e-mails réels.

Nous recommandons un pourcentage beaucoup plus faible pour les grandes organisations - environ 1 %. Pour les grandes organisations, cela signifie que si quelqu'un envoie un e-mail qui échoue à l'authentification DMARC, il y a une chance sur 100 qu'il soit mis en quarantaine comme spam. Lorsque vous dirigez une grande organisation, il se peut que vous deviez faire confiance à certains expéditeurs sur la seule base de leur adresse IP ou de leur nom de domaine - par exemple, si votre immeuble de bureaux est situé dans un espace partagé et que tous les locataires disposent d'une seule adresse IP.

Un exemple d'enregistrement DMARC avec la balise percentage :

 

v=DMARC1 ; p=quarantaine ; pct=10% ; adkim=r ; aspf=r ; rua=mailto:[email protected] ;

pct= représente le pourcentage d'emails que vous souhaitez échantillonner. Ainsi, si vous avez une balise pct qui dit 100, alors tous les emails seront échantillonnés. Si vous avez une balise pct qui dit 10, alors 1 email sur 10 sera échantillonné.

p=none VS p=quarantine VS p=reject

  •  p=none signifie simplement que vos serveurs de destinataires surveilleront les e-mails provenant de votre domaine, mais ne bloqueront pas les messages qui pourraient être frauduleux. C'est un bon moyen de commencer à surveiller les fraudes, mais cela ne permet pas de les empêcher.
  •  p=quarantine est un moyen d'indiquer aux serveurs des destinataires que vous souhaitez qu'ils placent tous les courriels envoyés depuis votre domaine et qui échouent aux contrôles SPF ou DKIM dans le dossier spam de leur boîte de réception, au lieu de leur boîte de réception normale.
  • p=reject va encore plus loin en indiquant au serveur destinataire de rejeter tous les courriels envoyés depuis votre domaine qui échouent aux vérifications SPF ou DKIM. Cela signifie que ces messages n'atteindront jamais la boîte de réception (ou même le dossier spam) de l'utilisateur qui les reçoit.

Nous espérons que vous avez compris ce qu'est la quarantaine DMARC et comment elle fonctionne. Si vous souhaitez en savoir plus sur DMARC, PowerDMARC offre une variété d'outils pour vous aider dans ce processus. Ceux-ci incluent un analyseur de rapport DMARC qui résume votre enregistrement DMARC actuel et détecte tout problème existant, ainsi qu'un générateur de SPF qui vous permet de créer gratuitement vos propres enregistrements SPF pour votre domaine.