Posts

DMARC La délégation de sous-domaines peut aider les propriétaires de domaines à déléguer des sous-domaines ou un domaine de premier niveau à un tiers d'une manière conforme à la norme DMARC. Le nom de domaine du propriétaire peut ainsi apparaître dans l'adresse Mail From : de l'expéditeur.

Lorsque vous déléguez des sous-domaines à un fournisseur DNS tiers, l'organisation déléguée devient responsable de toutes les demandes DNS liées à ces sous-domaines. L'organisation déléguée a également accès aux enregistrements MX et TXT du sous-domaine, bien qu'elle ne puisse pas voir ces paramètres à moins d'être spécifiquement configurée pour le faire.

Qu'est-ce que la délégation de zone DNS ?

La délégation DNS est le processus par lequel un serveur DNS autorise un autre serveur DNS à effectuer des actions faisant autorité au nom de ce serveur. Cela permet une utilisation plus efficace des ressources, en particulier lorsqu'il s'agit de déploiements à grande échelle.

Par exemple, si votre entreprise possède des centaines de serveurs répartis sur de nombreux sites différents, vous pouvez déléguer l'autorité sur ces serveurs afin qu'un seul serveur soit responsable de tous les enregistrements d'une zone. Cela signifie que si un site tombe en panne, les autres sites seront toujours en mesure de résoudre leurs serveurs de noms et d'accéder à leurs données sans problème.

Pourquoi la délégation de zone est-elle importante ou bénéfique ?

La délégation de zone DNS est une partie importante de votre infrastructure DNS.

La zone DNS, ou domaine, est un ensemble d'un ou plusieurs serveurs DNS qui font autorité pour un domaine donné. Lorsque vous disposez d'un seul serveur DNS, il est appelé serveur DNS primaire. Si vous avez plusieurs serveurs DNS, ils sont tous appelés serveurs secondaires.

La délégation de zone vous permet de désigner un ou plusieurs serveurs de noms comme serveurs secondaires pour la zone. Le principal objectif de la délégation de zone, comme le souligne à juste titre Microsoft dans son document sur la délégation de zoneest de créer une redondance dans votre environnement DNS et de vous permettre d'ajouter de nouveaux serveurs de noms ou de modifier leur configuration sans perturber le reste de votre réseau.

Qu'est-ce que la délégation de sous-domaine ?

La délégation de sous-domaine est un excellent moyen de déléguer le contrôle de votre domaine à une autre personne ou entité. Elle est également connue sous le nom de transfert de sous-domaine, de gestion de sous-domaine et de proxy de sous-domaine, et peut être utilisée à de nombreuses fins différentes.

Que signifie la délégation de sous-domaines pour vous ?

Lorsque vous déléguez votre domaine, vous donnez essentiellement à quelqu'un d'autre la permission de gérer votre domaine en votre nom. Cela signifie que la personne qui reçoit votre domaine pourra en faire ce qu'elle veut, qu'il s'agisse d'ajouter des domaines supplémentaires, de modifier les paramètres DNS ou même de supprimer le tout. C'est elle qui décide !

Comment fonctionne la délégation de sous-domaines ?

Les sous-domaines sont comme les domaines ordinaires : ils ont un nom et une adresse IP. La différence entre un domaine et un sous-domaine est que les sous-domaines se trouvent sous un autre nom de domaine (comme "exemple.com"). Pour les utiliser efficacement, vous avez besoin de trois choses : un nom d'hôte correspondant au nom de domaine d'origine, une adresse IP correspondant à celle qui a été attribuée lors de la création du domaine d'origine (qui peut ou non être la même que l'adresse actuelle) et des droits d'accès accordés par la personne qui le contrôle. 

La délégation de sous-domaines DMARC vous facilite-t-elle la vie ?

Il existe plusieurs raisons pour lesquelles vous pourriez vouloir déléguer vos sous-domaines à un fournisseur tiers. En voici quelques-unes : 

  • Vous voulez que l'identité et le nom de votre domaine se reflètent dans les courriels que vos tiers envoient via leurs serveurs de noms.
  • Vos courriels seront conformes à la norme DMARC, car ils sembleront provenir de votre domaine, et comme vous aurez le contrôle total du sous-domaine, vous pourrez effectuer des changements de DNS à volonté.
  • Tous les courriers électroniques provenant de serveurs de noms avec vos sous-domaines délégués passeront le test SPF et donc DMARC
  • Cela permettra d'assurer une distribution fluide et ininterrompue des e-mails. 

Comment déléguer un sous-domaine à un fournisseur tiers ?

Note: Pour la délégation de sous-domaines, vous devrez avoir un sous-domaine enregistré auprès de votre fournisseur DNS actuel et les informations du serveur de noms du tiers.

  • Connectez-vous au panneau de contrôle de votre registraire DNS. 
  • Dans votre fichier de zone DNS, créez un nouvel enregistrement NS (nameserver). 
  • Saisissez le nom de votre sous-domaine dans le champ Nom, les informations relatives à votre serveur de noms suivies d'un point (.) dans le champ Valeur et un TTL de 1800 ou 3600. 
  • Sauvegardez les modifications apportées à votre enregistrement et attendez que votre DNS mette à jour les modifications.

Vous pouvez suivre la même procédure pour déléguer le sous-domaine à tous les serveurs de noms de votre fournisseur tiers. 

Enfin, pour terminer le processus de délégation de votre sous-domaine, vous devez ajouter votre sous-domaine au fichier de zone DNS de votre fournisseur tiers, et le tour est joué ! 

La conformité DMARC et vos tiers 

La conformité de vos tiers au protocole DMARC est un bon moyen de vous assurer que vous ne recevez pas de faux négatifs. Le plus souvent, un courriel légitime échoue à la livraison du côté du destinataire et est marqué comme étant du spam en raison d'une mauvaise configuration de l'alignement des sources tierces pour le protocole DMARC. 

Nous avons couvert un blog entier sur comment rendre vos fournisseurs tiers conformes à la norme DMARC..

Pour plus d'informations, contactez-nous dès aujourd'hui et réservez une consultation gratuite avec un expert DMARC !

La rotation des clés DKIM est le processus de mise à jour de vos clés DKIM. La période exacte n'est pas importante, mais le processus lui-même l'est. Pourquoi devez-vous le faire ? La rotation des clés consiste à créer de nouvelles clés et à mettre à jour les enregistrements DNS avec ces nouvelles clés. L'objectif de la rotation des clés DKIM est similaire à celui de la modification périodique des mots de passe : il s'agit d'une mesure de sécurité qui empêche les attaquants de se faire passer pour votre domaine et d'envoyer des spams ou des e-mails de phishing.

Voyons d'abord pourquoi vous utilisez des clés DKIM.

Pourquoi utilisez-vous les clés DKIM ?

DKIM est l'abréviation de DomainKeys Identified Mail. Il s'agit d'un moyen d'ajouter une couche de sécurité supplémentaire à votre serveur de courrier électronique afin que vos messages ne soient pas considérés comme du spam et ne finissent pas dans les dossiers de spam. La meilleure façon d'envisager DKIM est de le considérer comme un identifiant crypté joint à vos messages afin que les destinataires puissent vérifier que le message a bien été envoyé par vous, la personne dont il prétend provenir. Cet identifiant, ou clé, est ce qui leur permet de le vérifier.

Comment fonctionne DKIM ?

DKIM fonctionne en ajoutant cet identifiant à chaque courriel envoyé. Lorsqu'une personne reçoit un de ces courriels, elle peut vérifier l'en-tête ou le pied de page du message et y trouver une chaîne de chiffres et de lettres, qui est l'identifiant crypté ou la clé DKIM. Avant qu'un courriel ne soit envoyé à son destinataire, le serveur de messagerie de l'expéditeur signe chaque courriel avec une signature numérique, qui est ensuite validée par le serveur de messagerie du destinataire. Ce processus prouve que l'e-mail n'a pas été altéré ou modifié de quelque manière que ce soit. 

Lorsque vous envoyez votre courrier électronique, la signature est jointe en tant qu'en-tête à la fin du message. Les serveurs des destinataires utilisent des clés publiques (fournies par les propriétaires de domaines par le biais des enregistrements DNS) pour décrypter et vérifier ces signatures.

Pourquoi la rotation des clés DKIM est-elle importante pour la sécurité de votre domaine ?

La rotation des clés DKIM consiste à commencer à utiliser une nouvelle paire de clés privée/publique pour signer et authentifier votre message, puis à cesser d'utiliser l'ancienne paire de clés privée/publique.

Pourquoi est-ce important ? Si quelqu'un parvenait à accéder à votre clé privée, il pourrait l'utiliser pour envoyer des courriels frauduleux qui semblent provenir de vous ! Pour éviter ce genre d'activité malveillante, la meilleure pratique consiste à faire tourner vos clés tous les deux mois.

Pour mieux comprendre l'importance de la rotation des clés DKIM, prenons l'exemple suivant : 

Imaginons que vous envoyiez une campagne d'e-mails pour une vente de vacances dans votre magasin. Vous utilisez vos clés DKIM pour signer vos e-mails, mais si vous envoyez suffisamment d'e-mails en utilisant la même paire de clés au fil du temps, les mauvais acteurs peuvent finir par intercepter et décoder l'un d'entre eux, puisque chaque message utilise le même algorithme de hachage cryptographique. Une fois qu'ils ont votre clé publique, ils peuvent commencer à signer leurs courriels d'hameçonnage sans que vous le sachiez ! C'est pourquoi la rotation périodique des clés DKIM est cruciale pour la sécurité de votre domaine.

Comment pouvez-vous faire tourner vos clés DKIM ?

1. Rotation manuelle des clés DKIM

Vous pouvez faire tourner manuellement vos clés DKIM de temps en temps en créant de nouvelles clés pour votre domaine. Pour ce faire, suivez les étapes suivantes : 

  • Rendez-vous sur notre site gratuit générateur d'enregistrements DKIM outil
  • Saisissez les informations relatives à votre domaine et entrez le sélecteur DKIM de votre choix. 
  • Cliquez sur le bouton "Générer". 
  • Copiez votre toute nouvelle paire de clés DKIM 
  • La clé publique doit être publiée sur votre DNS, en remplacement de votre enregistrement précédent.
  • La clé privée doit être partagée avec votre ESP (si vous externalisez vos e-mails) ou téléchargée sur votre serveur d'e-mails (si vous gérez le transfert d'e-mails sur place). 

2. Délégation de la clé DKIM du sous-domaine

Les propriétaires de domaines peuvent externaliser la rotation des clés DKIM en permettant à un tiers de s'en charger pour eux. Dans ce cas, le propriétaire du domaine délègue un sous-domaine dédié à un fournisseur de messagerie et lui demande de générer une paire de clés DKIM en son nom. Les propriétaires peuvent ainsi éviter les tracas de la rotation des clés DKIM en confiant cette responsabilité à un tiers. 

Cela peut toutefois causer des problèmes de contournement de la politique avec les entrées DMARC. Il est recommandé que les clés tournantes soient surveillées et révisées par les contrôleurs de domaine afin de garantir un déploiement sans heurts et sans erreurs. 

3. Délégation de la clé DKIM CNAME

CNAME signifie "nom canonique". Il s'agit d'enregistrements DNS utilisés pour pointer vers les données d'un domaine externe. La délégation CNAME permet aux propriétaires de domaines de pointer vers les informations des enregistrements DKIM gérés par un tiers externe. Cette procédure est similaire à la délégation de sous-domaines, puisque le propriétaire du domaine n'a qu'à publier quelques enregistrements CNAME sur son DNS, tandis que l'infrastructure DKIM et la rotation des clés DKIM sont ensuite gérées par le tiers vers lequel l'enregistrement pointe. 

Par exemple, 

"domain.com" est le domaine à partir duquel les courriels de départ doivent être signés, et "third-party.com" est le fournisseur qui se chargera du processus de signature. 

s1._domainkey.domain.com CNAME s1.domain.com.third-party.com

L'enregistrement CNAME susmentionné doit être publié dans le DNS du propriétaire du domaine. 

Maintenant, s1.domain.com.third-party.com a déjà un enregistrement DKIM publié sur son DNS qui peut être : s1.domain.com.third-party.com TXT "v=DKIM1 ; p=MIG89hdg599...."

Ces informations seront utilisées pour signer les e-mails provenant de domain.com. 

Note: Vous devez publier plusieurs enregistrements DKIM (recommandé : au moins 3 enregistrements CNAME) avec différents sélecteurs sur votre DNS pour activer la rotation des clés DKIM. Cela permettra à votre fournisseur de passer d'une clé à l'autre pendant la signature et lui fournira d'autres options.

4. Rotation automatique des clés DKIM

La plupart des fournisseurs de messagerie et des prestataires de services de messagerie tiers permettent la rotation automatique des clés DKIM pour les clients. Par exemple, si vous utilisez Office 365 pour acheminer vos e-mails, vous serez heureux d'apprendre que Microsoft prend en charge la rotation automatique des clés DKIM pour ses utilisateurs d'Office 365. 

Nous avons couvert un document complet sur la façon d'activer la rotation des clés DKIM pour vos e-mails Office 365 sur notre base de connaissances. 

Avantages de la rotation automatique de vos clés DKIM

  • Vous n'avez rien à faire de votre côté si votre fournisseur permet la rotation automatique des clés DKIM. Tout est géré par lui. 
  • Les configurations manuelles sont sujettes aux erreurs humaines.
  • La rotation automatique des touches est rapide et efficace et ne nécessite aucune intervention de votre part. 
  • Le système de gestion DKIM est entièrement externalisé et géré par un tiers.

Déploiement d'une stratégie de rotation des clés DKIM

Nous l'appelons le "3 D de la rotation des clés DKIM" :

  • Discuter de 
  • Décider
  • Déployer 

Voilà qui résume une stratégie efficace de rotation des clés DKIM pour vos domaines. Lorsque vous faites appel à un service tiers pour vos e-mails et que votre fournisseur gère la rotation pour vous, assurez-vous d'avoir une discussion ouverte et transparente sur le moment et la fréquence de rotation de vos clés. Vous devriez avoir votre mot à dire concernant les délais ainsi que la taille que vous souhaitez utiliser pour votre clé de sélection (si vous souhaitez utiliser 1024 bits ou 2048 bits pour plus de sécurité). 

Une fois la phase de discussion passée, vous et votre fournisseur devez décider mutuellement de votre stratégie et enfin procéder à son déploiement.