Pourquoi DMARC échoue-t-il ? Corriger l'échec de DMARC en 2023
Un échec DMARC se produit lorsqu'un courriel entrant ne passe pas les contrôles d'authentification DMARC. Cela signifie que le courriel ne respecte pas les règles définies par le propriétaire du domaine, ce qui indique une tentative potentielle d'usurpation d'identité ou d'hameçonnage. En cas d'échec DMARC, le serveur de messagerie du destinataire peut prendre diverses mesures basées sur les politiques définies par le propriétaire du domaine, telles que marquer l'e-mail comme spam, le rejeter ou le mettre en quarantaine. Une erreur DMARC peut avoir un impact sur vos efforts de marketing par courriel et réduire de manière significative vos taux de délivrabilité.
Concepts de base du protocole DMARC
DMARC signifie Domain-based Message Authentication, Reporting, and Conformance (authentification, notification et conformité des messages basés sur un domaine). Il s'agit d'un protocole d'authentification du courrier électronique qui fournit une couche supplémentaire de sécurité en aidant à prévenir l'usurpation d'adresse électronique et les attaques par hameçonnage. DMARC permet aux propriétaires de domaines de publier des politiques dans leurs enregistrements DNS, indiquant aux serveurs de messagerie destinataires comment traiter les courriels qui prétendent provenir de leur domaine.
Il permet aux propriétaires de domaines de spécifier s'il faut rejeter ou mettre en quarantaine les courriels non autorisés, ce qui permet de mieux contrôler l'acheminement du courrier électronique. DMARC génère également des rapports qui fournissent des informations précieuses sur les échecs d'authentification du courrier électronique, ce qui permet aux organisations de surveiller et d'améliorer leurs mesures de sécurité du courrier électronique.
Dans l'ensemble, DMARC contribue à renforcer la sécurité du courrier électronique en imposant des contrôles d'authentification et en permettant aux organisations de protéger la réputation de leur marque et leurs utilisateurs contre les menaces basées sur le courrier électronique.
Comprendre les raisons de l'échec de DMARC
Les échecs DMARC peuvent être dus à diverses raisons, notamment des échecs d'authentification SPF et DKIM, un mauvais alignement entre le domaine "From", SPFet le domaine DKIMdes problèmes de transfert ou des services tiers qui modifient les signatures des courriels, des politiques DMARC mal configurées et des tentatives d'usurpation de domaines légitimes par des acteurs malveillants.
Un échec de DMARC peut entraîner des problèmes d'authentification des courriels, des problèmes potentiels de livraison et un risque accru d'attaques par hameçonnage. La compréhension de ces causes et la mise en œuvre de configurations et de mesures d'authentification appropriées peuvent contribuer à améliorer la conformité DMARC et à renforcer la sécurité du courrier électronique.
Raisons courantes des échecs de DMARC
Les raisons les plus courantes d'un échec DMARC peuvent être des défauts d'alignement, un mauvais alignement de la source d'envoi, des problèmes avec votre signature DKIM, des courriels transférés, etc. Examinons chacune de ces raisons en détail :
1. Défauts d'alignement DMARC
DMARC utilise l'alignement des domaines pour authentifier vos courriels. Cela signifie que DMARC vérifie si le domaine mentionné dans l'adresse From (dans l'en-tête visible) est authentique en le comparant au domaine mentionné dans l'en-tête Return-path caché (pour SPF) et dans l'en-tête de signature DKIM (pour DKIM). Si l'un ou l'autre correspond, l'e-mail est accepté par DMARC, sinon il est rejeté par DMARC.
Par conséquent, si vos courriels échouent à DMARC, il peut s'agir d'une erreur d'alignement de domaine. En d'autres termes, les identifiants SPF et DKIM ne sont pas alignés et le courrier électronique semble provenir d'une source non autorisée. Il ne s'agit toutefois que d'une des raisons de l'échec de DMARC.
Mode d'alignement DMARC
Votre mode d'alignement du protocole peut également entraîner l'échec de DMARC. Vous pouvez choisir parmi les modes d'alignement suivants pour l'authentification SPF :
- Détendu: Cela signifie que si le domaine dans l'en-tête Return-path et le domaine dans l'en-tête From correspondent simplement à une organisation, même SPF passera.
- Strict: Cela signifie que SPF ne passera que si le domaine dans l'en-tête Return-path et le domaine dans l'en-tête From correspondent exactement.
Vous pouvez choisir parmi les modes d'alignement suivants pour l'authentification DKIM :
- Détendu: Cela signifie que si le domaine dans la signature DKIM et le domaine dans l'en-tête From ne correspondent qu'à une organisation, même le DKIM sera accepté.
- Strict: Cela signifie que le DKIM ne sera accepté que si le domaine figurant dans la signature DKIM et le domaine figurant dans l'en-tête From correspondent exactement.
Notez que pour que les e-mails passent l'authentification DMARC, il faut que SPF ou DKIM s'alignent.
2. Ne pas configurer votre signature DKIM
Un cas très courant dans lequel votre DMARC peut échouer est que vous n'avez pas spécifié de signature DKIM pour votre domaine. Dans ce cas, votre fournisseur de services d'échange de courriels attribue une signature DKIM par défaut par défaut à vos courriels sortants qui ne correspondent pas au domaine figurant dans votre en-tête From. Le MTA de réception ne parvient pas à aligner les deux domaines et, par conséquent, les signatures DKIM et DMARC échouent pour votre message (si vos messages sont alignés à la fois sur SPF et DKIM).
3. Ne pas ajouter de sources d'envoi à votre DNS
Il est important de noter que lorsque vous configurez DMARC pour votre domaine, les MTA de réception effectuent des requêtes DNS pour autoriser vos sources d'envoi. Cela signifie qu'à moins que toutes vos sources d'envoi autorisées ne soient répertoriées dans le DNS de votre domaine, vos courriels échoueront à DMARC pour les sources qui ne sont pas répertoriées, car le destinataire ne pourra pas les trouver dans votre DNS.
Par conséquent, pour vous assurer que vos courriels légitimes sont toujours délivrés, veillez à inscrire dans votre DNS tous les fournisseurs tiers autorisés à envoyer des courriels au nom de votre domaine.
4. Dans le cas de l'Email Forwarding
Lors d'un transfert de courrier électronique, le courrier électronique passe par un serveur intermédiaire avant d'être livré au serveur destinataire. La vérification SPF échoue car l'adresse IP du serveur intermédiaire ne correspond pas à celle du serveur d'envoi, et cette nouvelle adresse IP n'est généralement pas incluse dans l'enregistrement SPF du serveur d'origine.
En revanche, le transfert de messages électroniques n'a généralement pas d'incidence sur l'authentification DKIM, à moins que le serveur intermédiaire ou l'entité qui transfère le message n'en modifie le contenu.
Pour résoudre ce problème, vous devez immédiatement opter pour une conformité DMARC totale au sein de votre organisation en alignant et en authentifiant tous les messages sortants par rapport à SPF et DKIM. Pour qu'un courrier électronique passe l'authentification DMARC, il doit passer l'authentification et l'alignement SPF ou DKIM.
Lire aussi: Redirection d'e-mails et DMARC
5. Votre domaine fait l'objet d'une usurpation d'identité
Si tout va bien du côté de la mise en œuvre, il se peut que vos courriels échouent à DMARC en raison d'une attaque par usurpation d'identité. Il s'agit d'une attaque par usurpation d'identité ou par des acteurs de la menace qui essaient d'envoyer des courriels semblant provenir de votre domaine à l'aide d'une adresse IP malveillante.
Des statistiques récentes sur la fraude par courriel ont conclu que les cas d'usurpation d'adresse électronique sont en augmentation, ce qui constitue une menace importante pour la réputation de votre organisation. Dans de tels cas, si vous avez mis en œuvre DMARC sur une politique de rejet, il échouera et l'email usurpé ne sera pas délivré dans la boîte de réception de votre destinataire. L'usurpation de domaine peut donc être la réponse à la question de savoir pourquoi le DMARC échoue dans la plupart des cas.
Pourquoi DMARC échoue-t-il pour les fournisseurs de boîtes aux lettres tiers ?
Si vous utilisez des fournisseurs de boîtes aux lettres externes pour envoyer des courriels en votre nom, vous devez activer DMARC, SPF et/ou DKIM pour eux. Vous pouvez le faire soit en les contactant et en leur demandant de gérer la mise en œuvre pour vous, soit en prenant les choses en main et en activant manuellement les protocoles. Pour ce faire, vous devez avoir accès au portail de votre compte hébergé sur chacune de ces plateformes (en tant qu'administrateur).
Si vous n'activez pas ces protocoles pour votre fournisseur de boîtes aux lettres externes, DMARC peut échouer.
En cas d'échec de DMARC pour vos messages Gmail, passez en revue l'enregistrement SPF de votre domaine et vérifiez si vous avez inclus les éléments suivants _spf.google.com dans l'enregistrement SPF de votre domaine. Si ce n'est pas le cas, il se peut que les serveurs de réception ne parviennent pas à identifier Gmail comme votre source d'envoi autorisée. Il en va de même pour les courriers électroniques envoyés par MailChimp, SendGrid et d'autres.
Comment détecter les messages qui échouent au test DMARC ?
L'échec des messages DMARC peut être facilement détecté si vous avez activé le reporting pour vos rapports DMARC. Vous pouvez également procéder à une analyse de l'en-tête de l'e-mail ou utiliser la recherche dans le journal de l'e-mail de Gmail. Voyons comment procéder :
1. Activer les rapports DMARC pour vos domaines
Pour détecter les échecs de DMARC, utilisez cette fonction pratique offerte par votre protocole DMARC. Vous pouvez recevoir des ESP des rapports contenant vos données DMARC en définissant simplement une balise "rua" dans votre enregistrement DNS DMARC. Votre syntaxe pourrait être la suivante :
v=DMARC1 ; ptc=100 ; p=reject ; rua=mailto:[email protected] ;
La balise rua doit contenir l'adresse électronique à laquelle vous souhaitez recevoir vos rapports.
PowerDMARC fournit des rapports simplifiés et lisibles par l'homme qui vous aident à détecter facilement les défaillances de DMARC et à les résoudre plus rapidement :
2. Analyser manuellement les en-têtes des courriels ou déployer des outils d'analyse
Les échecs DMARC peuvent également être détectés en analysant les en-têtes de votre courrier électronique.
a. Méthode manuelle
Vous pouvez analyser les en-têtes manuellement comme indiqué ci-dessous
Si vous utilisez Gmail pour envoyer des courriels, vous pouvez cliquer sur un message, cliquer sur "plus" (les 3 points dans le coin supérieur droit), puis cliquer sur "afficher l'original" :
Vous pouvez maintenant consulter les résultats de l'authentification DMARC :
b. Outils d'analyse automatisés
L'analyseur d'en-tête d'email de PowerDMARC analyseur d'en-tête d'email est un excellent outil pour la détection instantanée des erreurs DMARC et l'atténuation du problème de l'échec DMARC.
Avec nous, vous obtenez une analyse complète de l'état de DMARC pour vos courriels, des alignements et d'autres conformités, comme indiqué ci-dessous :
3. Utiliser la recherche de journaux d'e-mails de Google
Vous pouvez trouver des informations supplémentaires sur un message particulier ne respectant pas la norme DMARC en utilisant la recherche de journaux de messagerie de Google. Vous obtiendrez ainsi les détails du message, les détails du message après livraison et les détails du destinataire. Les résultats sont présentés sous forme de tableau, comme indiqué ci-dessous : 
Comment remédier à l'échec de DMARC ?
Pour remédier à l'échec de DMARC, nous vous recommandons de vous inscrire à notre DMARC Analyzer et de vous lancer dans la création de rapports et la surveillance DMARC.
Étape 1 : Commencer à zéro
En l'absence de politique, vous pouvez commencer par surveiller votre domaine à l'aide des éléments suivants DMARC (RUA) Aggregate Reports (Rapports globaux DMARC (RUA)) et surveiller de près vos courriels entrants et sortants, ce qui vous aidera à répondre à tout problème de livraison indésirable.
Étape 2 : Passer à l'application de la législation
Ensuite, nous vous aidons à mettre en place une politique qui vous permettra de vous immuniser contre les attaques par usurpation de nom de domaine et par hameçonnage.
Étape 3 : Utiliser notre détection des menaces alimentée par l'IA
Détruire les adresses IP malveillantes et les signaler directement à partir de la plateforme PowerDMARC afin d'éviter les futures attaques d'usurpation d'identité, avec l'aide de notre moteur de renseignement sur les menaces.
Étape 4 : Contrôler en permanence
Activer les rapports DMARC (RUF) Forensic : obtenir des informations détaillées sur les cas où vos courriels ont échoué à DMARC afin de pouvoir remonter à la source du problème et le résoudre plus rapidement.
Comment faire face aux messages qui échouent à DMARC ?
Pour traiter les messages qui échouent à DMARC, vous pouvez opter pour une politique DMARCVous pouvez également combiner vos implémentations DMARC avec DKIM et SPF pour une sécurité maximale et un risque réduit de faux négatifs.
1. Vérifiez votre enregistrement DMARC
Utiliser un vérificateur vérificateur DMARC pour repérer les erreurs de syntaxe ou autres erreurs formatives dans votre enregistrement, comme les espaces supplémentaires, les fautes d'orthographe, etc.
2. Opter pour une politique plus souple
Vous pouvez toujours opter pour une politique plus souple pour DMARC, comme "none". Cela permettra à vos messages d'atteindre vos destinataires même si le DMARC échoue pour eux. Cependant, cela vous rendra vulnérable aux attaques de phishing et de spoofing.
3. Utiliser l'alignement SPF et DKIM
L'utilisation conjointe de DKIM et de SPF permet une approche multicouche de l'authentification du courrier électronique. DKIM vérifie l'intégrité du message, garantissant qu'il n'a pas été altéré, tandis que SPF vérifie l'identité du serveur d'envoi. Ensemble, ils contribuent à établir la confiance dans la source du courrier électronique, réduisant ainsi le risque d'usurpation d'identité, d'hameçonnage et d'activités de courrier électronique non autorisées.
Corriger l'échec de DMARC avec PowerDMARC
PowerDMARC atténue les défaillances de DMARC en offrant une gamme complète de caractéristiques et de fonctionnalités. Tout d'abord, il aide les organisations à déployer correctement DMARC en leur fournissant des conseils étape par étape et des outils d'automatisation. Cela permet de s'assurer que les enregistrements DMARC, l'authentification SPF et DKIM sont correctement configurés, augmentant ainsi les chances de réussite de la mise en œuvre de DMARC.
Une fois DMARC en place, PowerDMARC surveille en permanence le trafic de courrier électronique et génère des rapports et des alertes en temps réel en cas d'échec de DMARC. Cette visibilité permet aux entreprises d'identifier rapidement les problèmes d'authentification, tels que les échecs SPF ou DKIM, et de prendre des mesures correctives.
En plus de la surveillance, PowerDMARC intègre des capacités d'intelligence artificielle sur les menaces. Il exploite les flux mondiaux de menaces pour identifier et analyser les sources des attaques de phishing et des tentatives d'usurpation d'identité. En fournissant des informations sur les activités de messagerie suspectes, les entreprises peuvent identifier de manière proactive les menaces potentielles et prendre les mesures nécessaires pour atténuer les risques.
Contactez nous pour commencer !
Conclusion : Renforcer la sécurité de la messagerie électronique de la bonne manière
En adoptant une approche multicouche de la sécurité du courrier électronique, les organisations et les particuliers peuvent renforcer considérablement leurs défenses contre les cybermenaces en constante évolution. Il s'agit notamment de mettre en œuvre des mécanismes d'authentification robustes, d'utiliser des technologies de cryptage, de sensibiliser les utilisateurs aux attaques par hameçonnage et de mettre régulièrement à jour les protocoles de sécurité.
En outre, l'intégration d'outils d'IA pour renforcer les pratiques de sécurité de votre messagerie électronique est le meilleur moyen de rester à la pointe des attaques sophistiquées organisées par les cybercriminels.
Pour éviter les échecs DMARC et résoudre les autres erreurs DMARC, inscrivez-vous pour contacter nos experts DMARC dès aujourd'hui !
