Délivrabilité
Tout savoir sur DMARC en 5 étapes
Le protocole DMARC est un processus d’enregistrement et d’organisation de votre programme d’emailing dont le but est d’empêcher l’usurpation d’identité.
L’usurpation d’adresses email est de plus en plus répandue sur Internet. Parmi ces emails frauduleux, on trouve des escroqueries, des rançongiciels et même des manipulations du marché boursier. Chaque année, les pirates font perdre des millions de dollars aux entreprises, même les associations caritatives ne sont pas à l’abri. Et même si vous êtes propriétaire d’un domaine et que vous configurez une stratégie de sécurité des emails, votre adresse d’expédition peut toujours être usurpée en l’absence de protocole DMARC.
Qu’est-ce que le protocole DMARC et pourquoi est-il si important ? Cet article contient tout ce que vous devez savoir sur cette authentification des emails et les étapes à suivre pour la mettre en œuvre.
Table des matières
Pourquoi le protocole DMARC est-il si important ?
SPF et DKIM, les prédécesseurs du protocole DMARC
Analyse de l’enregistrement du protocole DMARC
Vérification des rapports DMARC
1. Préparation du domaine avant la configuration du protocole DMARC
2. Sélection d’une politique
3. Publication des enregistrements TXT
4. Analyse de vos rapports
5. Déploiement progressif de la stratégie
Table des matières
01Qu’est-ce que le protocole DMARC ?
02Fonctionnement du protocole DMARC
Qu’est-ce que le protocole DMARC ?
Servez-vous un verre d’eau, installez-vous confortablement et prenez une longue respiration, car derrière ce nom se cache un acronyme particulièrement long.
Le protocole DMARC, pour « Domain-based Message Authentication, Reporting, and Conformance » est une méthode d’authentification conçue pour bloquer les tentatives d’usurpation d’identité.
Développé en 2012, le protocole DMARC est devenu une pratique standard du monde de l’emailing et constitue votre première ligne de défense contre les emails malveillants. Si vous ne savez pas si vous l’avez déjà configuré, utilisez cet outil pour effectuer une vérification rapide du protocole DMARC.
Pourquoi le protocole DMARC est-il si important ?
Si les emails sont aussi vieux qu’Internet, l’authentification des emails est quelque chose de beaucoup plus récent.
Avant, les services de messagerie tels que Gmail s’appuyaient sur des filtres stricts et les retours des utilisateurs pour identifier les spammeurs. Des filtres si stricts qu’ils pouvaient même bloquer des expéditeurs légitimes.
Le protocole DMARC permet à l’expéditeur d’analyser les rapports de boucle de rétroaction pour mettre au point un protocole d’authentification strict qui indique aux serveurs d’emailing destinataires les adresses IP qui vous appartiennent. Une politique DMARC demandera aux FAI de refuser les emails provenant d’adresses IP frauduleuses qui tentent d’utiliser votre domaine.
Cela semble formidable, mais pourquoi s’embêter si les emails arrivent sans aucun problème dans la boîte de réception ? La réponse est simple et tient en un mot : sécurité. 90 % des attaques réseau sont effectuées par le biais d’une infrastructure d’emailing et sont de plus en plus sophistiquées. Les tentatives d’hameçonnage ont un grave impact sur la réputation de votre fournisseur d’accès à Internet, votre taux de délivrabilité et la réputation de votre marque.
Effrayant, pas vrai ? Cependant, avant de vous précipiter pour mettre en place le protocole DMARC, voyons comment il fonctionne.
Fonctionnement du protocole DMARC
Pour expliquer les choses simplement, le protocole DMARC est une ligne de code insérée dans votre enregistrement TXT DNS. Le protocole DMARC est toutefois bien plus que du code. Il s’agit d’un processus qui se déroule avant, pendant et après l’implémentation, pour garantir le bon fonctionnement de votre système d’emailing. Passons en revue trois éléments clés du protocole DMARC pour mieux comprendre cette norme d’authentification.
SPF et DKIM, les prédécesseurs du protocole DMARC
Pour comprendre le protocole DMARC, nous devons d’abord en savoir plus sur ses prédécesseurs, les protocoles Sender Policy Framework (SPF) et DomainKeys Identified Mail (DKIM).
Le protocole SPF est une méthode d’authentification qui permet aux expéditeurs de publier les adresses IP des serveurs SMTP de confiance autorisés à envoyer à partir d’un domaine. Le serveur de réception vérifie ensuite cet enregistrement pour valider l’email et l’envoyer dans la boîte de réception. L’authentification DKIM est, en revanche, une signature ajoutée à vos enregistrements DNS publics et chiffrée à l’aide d’une clé privée dans l’en-tête de vos emails.
Pourquoi sont-ils si importants pour le protocole DMARC ? Parce que le protocole DMARC décide du passage ou non d’un message en fonction de l’alignement des protocoles SPF et DKIM.
Analyse de l’enregistrement du protocole DMARC
Les enregistrements DMARC sont compilés avec des balises et des valeurs relativement simples. Seuls deux champs sont requis, les autres sont facultatifs. Dans cet article, nous traiterons des prérequis de base. Si vous voulez aller plus loin, Google dispose cependant d’une liste complète avec toutes les balises avancées.
Voici un exemple d’enregistrement DMARC simple :
v=DMARC1; p=reject; rua=mailto:postmaster@example.com;
La première balise, v=, est simple. La valeur doit toujours être DMARC1. Il n’y a pas d’autres versions pour le moment, vous devez donc toujours utiliser la valeur 1.
La deuxième balise, p=, est une instruction destinée au serveur d’emailing du destinataire pour les emails qui ne sont pas authentifiés. Les options à votre disposition sont les suivantes :
None : l’entrée est enregistrée, mais n’entraîne aucune action.
Quarantine : le message doit être signalé comme étant du spam.
Reject : l’email est rejeté.
Si vous utilisez la norme BIMI, la balise p= doit toujours être réglée sur quarantine ou reject, puisque BIMI ne prend pas en charge la valeur none.
La troisième balise, rua=, correspond à l’adresse email pour les rapports. Il s’agit de la boîte de réception dans laquelle vos rapports DMARC sont envoyés.
Si vous ne souhaitez pas compiler l’enregistrement vous-même, dmarcian dispose d’un assistant gratuit pour la création d’enregistrements DMARC.
Vérification des rapports DMARC
Enfin, vous devez analyser vos rapports DMARC. Une fois le protocole DMARC mis en application, les rapports commenceront d’affluer dans votre boîte de réception. Ces rapports vous fourniront des informations sur :
Les serveurs ou tiers qui envoient des emails depuis votre domaine, et quels sont ceux qui réussissent ou échouent.
La réaction de chaque serveur de réception aux messages non authentifiés.
Le taux de réussite total du protocole DMARC.
Une balise de rapport facultative, ruf=, indique aux FAI où renvoyer les rapports d’échec ou d’expertise. Bien que cette balise ne soit pas prise en charge par tous les services de messagerie pour des raisons de données (Gmail, c’est bien de vous dont on parle), elle peut vous donner plus d’informations stratégiques sur le contenu des emails ayant échoué qu’un rapport agrégé standard.
Les résultats de ces rapports vous aideront à piloter votre politique DMARC. Par exemple, si la plupart des messages ne sont pas bloqués par les serveurs d’emailing du destinataire, vous aurez besoin d’une politique plus stricte pour détecter les tentatives d’usurpation. Chaque jour, vous devrez analyser vos rapports et résoudre les problèmes que vous rencontrerez, comme des emails légitimes mis en spam. Et maintenant que vous comprenez mieux le protocole DMARC, passons en revue les étapes de sa mise en application.
Configuration du protocole DMARC
Si vous souhaitez configurer DMARC, vous trouverez ci-dessous un guide détaillé pour vous aider à le paramétrer.
1. Préparation du domaine avant la configuration du protocole DMARC
Nous savons que vous avez hâte de déployer votre nouvelle politique DMARC, mais vous devez effectuer des préparations préliminaires.
Configuration des protocoles SPF et DKIM pour le domaine
Comme indiqué précédemment, vous devez activer SPF et DKIM pour exécuter le protocole DMARC.
Pour le protocole SPF, cela nécessite l’ajout d’un enregistrement TXT DNS (que vous trouverez dans les paramètres de votre service d’emailing) à votre fournisseur DNS. Pour les signatures DKIM, le processus est similaire : copiez l’enregistrement DKIM fourni par votre service d’emailing, et collez-le dans le fichier TXT DNS, dans les paramètres de votre fournisseur DNS.
Configuration d’un groupe ou d’une boîte de réception pour les rapports
Les rapports XML qui suivent les emails vers chaque destination et chaque fournisseur d’accès à Internet vont s’accumuler rapidement. Vous aurez donc besoin d’une boîte de réception indépendante des autres adresses que vous utilisez. Les petites structure peuvent recevoir quelques rapports et les grandes entreprises, plusieurs milliers. Vous pouvez également confier la gestion et le décodage de ces rapports à un service tiers.
Audit de vos domaines d’expédition
Même un grand maître international des échecs aura du mal à mémoriser une liste d’adresses IP. Par conséquent, lorsque vos rapports DMARC commenceront à arriver, vous voudrez disposer d’une liste de vos domaines d’expédition afin de pouvoir identifier les faux domaines parmi les domaines authentiques.
La fonction de gestion des domaines est un processus d’audit des domaines. Exécuter cette étape en premier vous permettra de gagner beaucoup de temps et d’éviter bien des tracas, en particulier pour les grandes organisations les équipes collaborent régulièrement de façon transversales. Heureusement, nos amis de dmarcian ont conçu cette vidéo pratique sur la gestion de projets DMARC.
2. Sélection d’une politique
Avant, les services de messagerie décidaient seuls du sort de vos emails. Vous pouvez désormais prendre les rênes en définissant une politique d’authentification. Vous indiquez ainsi à Microsoft quoi faire lorsqu’un message provenant de votre nom de domaine ne correspond pas à l’enregistrement DMARC. Votre politique est ainsi comparable à un feu de signalisation : elle passe du vert (none) à l’orange (quarantine) et enfin au rouge (reject).
None
La balise p=none ne modifie pas votre dispositif existant : le service de messagerie transmet le message au destinataire comme d’habitude. Il s’agit d’un bon point de départ, puisque vous pouvez contrôler les rapports DMARC initiaux en mode sécurisé.
N’oubliez pas que la norme BIMI ne prend pas en charge les politiques DMARC lorsque la balise p= est réglée sur none.
Quarantine
En 2022, nous savons désormais ce que signifie la mise en place d’une politique de quarantaine. Dans le cadre du protocole DMARC, cela signifie que les emails non qualifiés sont envoyés dans le dossier du spam, dans la mesure où leur origine n’a pas été établie avec certitude.
Reject
La balise p=reject est l’objectif final du protocole DMARC. La mise en quarantaine est un bon début, mais vous ne voulez pas que les emails usurpés restent éternellement dans le dossier de spam de vos clients. Cela dit, si vous appliquez cette politique trop tôt, des emails légitimes risquent d’être rejetés. Vous ne devez donc activer la politique reject qu’après avoir parcouru vos rapports (reportez-vous à la cinquième étape) dans les moindres détails.
Volume
Pour contrôler le flux de votre déploiement d’authentification, le mieux est de n’appliquer votre politique qu’à un petit pourcentage de vos messages pour commencer, en utilisant la balise pct=5.
Le chiffre cinq (5) représente 5 % du nombre total de messages envoyés depuis votre domaine. Tenez compte du temps et des ressources dont vous disposez, ainsi que de votre goût du risque lorsque vous définissez cette valeur. Commencer petit et augmenter progressivement cette valeur est l’approche la plus sûre. Le volume d’authentification par défaut sera de 100 % si vous n’ajoutez pas cette balise.
3. Publication des enregistrements TXT
Maintenant que vous avez défini votre politique DMARC, il est temps de l’activer.
Allez dans les paramètres DNS de votre hôte de domaine, dans la console de gestion.
Saisissez le nom d’enregistrement _dmarc.yourdomain.com sous le nom d’hôte DNS.
Saisissez votre enregistrement DMARC sous la valeur de l’enregistrement DNS (reportez-vous à la rubrique « Analyse de l’enregistrement ci-dessus »).
Enregistrez les modifications.
4. Analyse de vos rapports
Vous avez maintenant mis en place un enregistrement DMARC et vous commencez à recevoir des rapports. Ces données vous permettent d’identifier les messages qui réussissent ou échouent aux authentifications SPF et DKIM. Voici ce à quoi ressemblent les rapports DMARC bruts en XML :
Remarque : cet enregistrement a été reformulé. Les fichiers XML (Extensible Markup Language) comme celui-ci sont vraiment conçus pour la lecture automatique et peuvent être difficiles et longs à analyser par les humains. Plusieurs méthodes permettent de rendre ces rapports plus clairs :
Convertir les enregistrements au format tabulaire à l’aide d’une.
Convertir le fichier XML au format HTML en appliquant une feuille de style XSL.
Utiliser pour recevoir, stocker et analyser vos rapports.
Nous ne sommes pas des robots et nous préférons le format tabulaire pour nos rapports. Tout cela semble compliqué, mais vous allez voir, c’est en fait assez simple. Les adresses IP de la colonne de gauche sont les nôtres. Il est cependant peu probable que vous vous souveniez de toutes les adresses IP de vos applications tierces. Il existe un processus en trois étapes pour traiter ces flux d’emails.
Évaluation : vérifiez les adresses IP de vos expéditeurs et comparez-les aux adresses IP figurant dans vos rapports.
Correction : ajoutez des enregistrements DMARC à toutes les sources d’expédition vérifiées.
Maintenance