Qu’est-ce que le protocole DMARC, les enregistrements, la surveillance et la politique ?

Il est important de comprendre DMARC et comment il peut être utilisé pour protéger les expéditeurs et les destinataires lorsque vous créez une campagne par e-mail. Les contrôles DMARC peuvent aider à empêcher l’utilisation non autorisée de votre domaine, ce qui peut à son tour aider à réduire les spams dans les boîtes de réception des destinataires.

Si vous souhaitez en savoir plus sur la signification de DMARC et la politique DMARC, ainsi que sur la manière dont il peut affecter votre campagne d’e-mail marketing, lisez la suite de cet article.

Le protocole DMARC utilise Sender Policy Framework (SPF) et DomainKeys Identified Mail (DKIM) pour évaluer l’authenticité des e-mails. Ensemble, ces outils visent à prévenir les pratiques telles que le phishing (hameçonnage) et l’usurpation de domaine.

Le phishing est une technique de cybercriminalité qui utilise la fraude, la supercherie ou la tromperie pour vous inciter à divulguer des informations personnelles sensibles, comme vos informations de carte de crédit ou votre numéro de sécurité sociale. L’usurpation de domaine est une forme de phishing qui consiste à utiliser une fausse adresse e-mail ou un faux nom de domaine afin qu’ils semblent légitimes.

Le protocole DMARC permet aux propriétaires de domaine de déterminer comment sera géré un e-mail qui semble provenir de ce domaine s’il ne contient pas les bonnes informations. Par exemple, les e-mails non authentifiés peuvent être bloqués ou envoyés directement dans un dossier de courrier indésirable en fonction de paramètres enregistrés pour le domaine de cette adresse e-mail.

Pourquoi le protocole DMARC est-il important ?

Les spammeurs et les hameçonneurs ont beaucoup à gagner en compromettant les comptes des utilisateurs. En obtenant les mots de passe, informations de carte de crédit, comptes bancaires et autres instruments financiers, les acteurs malveillants peuvent facilement accéder à l’argent de leurs victimes avant même que ces dernières ne se rendent compte de l’escroquerie.

L’e-mail est une cible particulièrement attractive et courante, surtout pour l’usurpation. Un élément aussi simple que l’insertion du logo d’une marque bien connue dans un e-mail peut inciter certains destinataires à croire qu’ils ont reçu une communication légitime.

Le protocole DMARC permet de résoudre ce problème à grande échelle. Dans les faits, les services de messagerie gratuits comme Google, Yahoo ou Hotmail, ne peuvent pas inspecter chaque e-mail qui passe par les serveurs pour identifier lesquels autoriser et lesquels peuvent être frauduleux.

Les enregistrements SPF et DKIM peuvent vous aider, mais ces processus ont chacun une portée limitée. Lorsqu’ils sont utilisés avec DMARC, ces protocoles aident les expéditeurs et les récepteurs à collaborer dans le cadre de l’amélioration de la sécurité des e-mails.

Les enregistrements DMARC jouent un rôle important pour votre protection et celle des personnes auxquelles vous envoyez des e-mails. En plus de protéger votre domaine contre toute utilisation non autorisée, DMARC peut vous permettre de déterminer qui utilise votre domaine de messagerie pour envoyer des e-mails non autorisés.

DMARC propose trois principaux avantages : sécurité, réputation et visibilité.

Sécurité

En plus de protéger les clients, l’utilisation de DMARC profite à la communauté des e-mails dans son ensemble. En établissant un cadre pour une politique cohérente en matière de gestion des e-mails non authentifiés, DMARC aide l’écosystème des e-mails à devenir encore plus fiable et sécurisé.

Réputation

DMARC protège les marques en agissant comme gardien : il empêche les mauvais acteurs d’usurper votre domaine et d’envoyer des e-mails qui semblent provenir de votre marque. La publication de votre enregistrement DMARC peut fortement améliorer votre réputation.

Visibilité

DMARC vous donne plus d’informations détaillées quant à votre programme de messagerie, vous permettant de connaître l’identité de toutes les personnes qui envoient des e-mails à partir de votre domaine.

Contexte de DMARC

Pour comprendre DMARC, il est important de comprendre les bases de SPF et de DKIM ainsi que des enregistrements DNS (Domain Name System). DMARC s’appuie sur les techniques SPF et DKIM.

SPF

SPF aide à détecter la falsification en examinant l’adresse du chemin de retour listée d’un e-mail. Cette adresse e-mail est également appelée « Mail From » ou adresse de rebond.

Lorsqu’un e-mail ne peut pas être envoyé à un destinataire prévu après plusieurs tentatives ou un délai, une notification d’échec est généralement envoyée à l’adresse du chemin de retour.

Voici comment l’adresse du chemin de retour est utilisée pour authentifier l’e-mail.

Les propriétaires de domaine peuvent décider depuis quels serveurs de messagerie leur domaine est autorisé à envoyer lorsqu’ils se connectent à un domaine configurent leurs protocoles SPF.

1. Les informations SPF sont saisies dans un enregistrement TXT pour définir les serveurs de messagerie autorisés à envoyer des e-mails pour un domaine.
2. Un serveur de messagerie entrant reçoit un nouvel e-mail et vérifie les règles écrites pour le domaine de l’adresse e-mail du chemin de retour. Le serveur entrant compare l’adresse IP de l’expéditeur de l’e-mail avec les domaines et/ou adresses IP définis dans l’enregistrement SPF.
3. Le serveur récepteur utilise les règles précisées dans l’enregistrement SPF de l’expéditeur et détermine s’il doit accepter, rejeter ou signaler le message.

DKIM

DKIM est une technique d’authentification des e-mails qui permet de garantir que le contenu de l’e-mail est exempt de toute corruption grâce à une signature numérique cryptée. Les signatures DKIM sont ajoutées aux e-mails sous forme d’en-têtes et sont sécurisées avec la cryptographie à clé publique.

Lorsqu’un serveur récepteur détermine qu’un e-mail a une signature DKIM valide, il peut confirmer que l’e-mail et les pièces jointes n’ont pas été altérés. Ce processus n’est généralement pas visible pour les utilisateurs finaux, comme le destinataire prévu de l’e-mail.

Fonctionnement de DKIM

Voici comment les signatures DKIM sont validées :

1. Le propriétaire de domaine publie une clé cryptographique unique, formatée en tant qu’enregistrement TXT dans l’enregistrement DNS du domaine.
2. Lorsqu’un message est envoyé par un serveur sortant, il génère et joint une signature DKIM unique à l’en-tête.
3. Les serveurs entrants reçoivent un hachage crypté du corps du message.
4. Le serveur récepteur localise d’abord la clé publique DKIM qui est référencée dans la signature DKIM et stockée dans les enregistrements DNS.
5. La clé est utilisée pour déchiffrer le hachage, puis générer un nouveau hachage du corps du message et le comparer à l’original inclus par l’expéditeur.
6. Si les deux hachages correspondent, ils peuvent confirmer que le message n’a pas été modifié en cours de transmission.

Enregistrement A

Le type d’enregistrement DNS qui dirige les domaines vers une adresse IP s’appelle un enregistrement d’adresse. Lorsque vous utilisez des adresses Ipv4, cet enregistrement est appelé un enregistrement A.

Imaginons que vous consultez le site mailchimp.com. Votre navigateur va demander à un serveur DNS proche s’il a l’adresse IP de mailchimp.com. S’il détient l’adresse IP, elle est envoyée à votre navigateur. Dans le cas contraire, il indique à votre navigateur où trouver un autre serveur DNS qui possédera l’adresse IP, et ainsi de suite jusqu’à ce que celle-ci vous soit relayée avec le site Web.

Enregistrement CNAME

Un enregistrement CNAME (nom canonical) est un type d’enregistrement DNS qui relie un nom de pseudonyme avec un vrai nom de domaine (canonique). Les enregistrements CNAME relient généralement un sous-domaine comme « www » ou « mailto: » au domaine qui héberge le contenu du sous-domaine en question. Par exemple, un enregistrement CNAME peut relier l’adresse Web www.mailchimp.com vers le site Web pour le domaine mailchimp.com.

Vous pouvez ajouter un enregistrement CNAME à vos paramètres DNS si vous souhaitez personnaliser une adresse Web, vérifier la propriété du domaine, réinitialiser votre mot de passe administrateur, et bien plus encore.

Histoire de DMARC

SPF et DKIM ont été développés il y a quelques années pour aider à sécuriser l’écosystème des e-mails. Bien que l’utilisation de ces outils ait augmenté au fil du temps, les e-mails frauduleux et trompeurs restent un problème répandu. DMARC a été créé pour surmonter plusieurs problèmes fréquents :

• Les expéditeurs disposant de plusieurs systèmes et envoyant des e-mails rencontrent beaucoup de difficultés à tenter d’utiliser SPF et DKIM.
• Lorsqu’un mélange d’e-mails authentifiés, non authentifiés et non alignés est envoyé depuis le même domaine, les serveurs récepteurs doivent discerner lesquels sont légitimes et ceux pouvant être frauduleux. Cela tend à bloquer les algorithmes de spam, renvoyant ainsi les messages frauduleux dans les boîtes de réception.
• Avec SPF et DKIM, les expéditeurs reçoivent de petits commentaires concernant leurs déploiements d’authentification des e-mails. À moins que l’e-mail ne rebondisse, les expéditeurs n’ont aucun moyen de savoir combien de messages légitimes sont envoyés non authentifiés ou de connaître le nombre d’e-mails frauduleux envoyés depuis leur domaine.
• Même lorsque les expéditeurs ont sécurisé leur infrastructure d’authentification des e-mails, les récepteurs d’e-mails sont programmés pour accepter certains messages non authentifiés car il est possible que des messages légitimes sans signature puissent passer.

Pour résoudre ces problèmes, les expéditeurs et les récepteurs doivent partager des informations entre eux. Idéalement, les récepteurs fournissent aux expéditeurs des informations de rapports, tandis que les expéditeurs indiquent aux récepteurs ce qu’il faut faire lors de la réception de messages non authentifiés.

Le protocole DMARC repose sur l’idée que l’expéditeur et le récepteur collaborent pour améliorer les pratiques des expéditeurs en matière d’authentification des e-mails et pour permettre aux récepteurs de rejeter les messages non authentifiés.

Fonctionnement de l’authentification des e-mails DMARC

DMARC s’intègre dans le cadre des processus d’authentification de messagerie entrants existants. Cette méthode d’authentification permet aux récepteurs de déterminer si un message correspond à ce qu’il sait au sujet d’un expéditeur.

Si le message ne correspond pas, le serveur récepteur peut consulter l’enregistrement DMARC pour obtenir des conseils sur la façon de gérer le message non aligné. Voici un exemple de ce flux pour un récepteur qui utilise SPF et DKIM et ses propres filtres anti-spam (configuration commune) :

1. Un utilisateur rédige et envoie un e-mail.
2. Le serveur d’envoi insère un en-tête DKIM.
3. Le serveur d’envoi expédie l’e-mail au récepteur.
4. L’e-mail est soumis aux tests de validation standard (listes de blocage d’adresses IP, limites des taux, tests de réputation, et ainsi de suite).
5. Le serveur récepteur récupère les domaines vérifiés DKIM en fonction de l’en-tête, une « enveloppe de » via SPF, et applique les politiques DMARC, transfère l’e-mail, met en quarantaine ou rejette l’e-mail et envoie un rapport au serveur de l’expéditeur. Autrement dit, à ce moment-là, le serveur récepteur recherche un « oui » à trois questions clés :
   • La signature DKIM est-elle valide ?
   • Le message provient-il d’une adresse IP acceptée en fonction de l’enregistrement SPF ?
   • Les en-têtes du message indiquent-ils la correspondance du domaine adéquat ?
6. L’e-mail passe à travers les filtres anti-spam et rencontre d’autres processus standard.

De cette façon, DMARC répond à plusieurs exigences à un niveau élevé :

• Moins de faux positifs
• Rapports d’authentification solides
• Moins d’hameçonnage
• Possibilité de travailler à très grande échelle

Bien que tous les serveurs de réception ne réalisent pas de vérification DMARC avant d’autoriser un message, les principaux FAI le font généralement. L’adoption de DMARC est en pleine croissance.

Votre enregistrement DMARC

En plus de vos enregistrements DNS, votre enregistrement DMARC est publié et peut être consulté par toute personne en ligne. Dans cette section, nous allons passer en revue la façon dont vous pouvez analyser l’enregistrement DMARC d’un domaine et ce que signifient les différentes parties de l’enregistrement.

Vérifier et déchiffrer un enregistrement DMARC

Vous pouvez vérifier un domaine pour un enregistrement DMARC depuis la ligne de commande d’une fenêtre de terminal. Par exemple :

dig txt dmarc.mailchimp.com

Autrement, DMARC.org fournit une liste d’autres entreprises commerciales proposant la recherche et l’analyse d’enregistrement DNS, y compris des outils de vérification DMARC.

Voici l’enregistrement DMARC de Mailchimp :

v=DMARC1; p=reject; rua=mailto:19ezfriw@ag.dmarcian.com; ruf=mailto:19ezfriw@fr.dmarcian.com

L’enregistrement DMARC est stocké dans le sous-domaine DMARC de mailchimp.com en tant qu’enregistrement TXT. Il affiche plusieurs renseignements sur le domaine qui vont influencer la façon dont un e-mail envoyé à partir de ce domaine sera traité par les serveurs de messagerie récepteurs.

v=DMARC1

Le serveur récepteur recherche l’identifiant v=DMARC1 lors de l’analyse d’un enregistrement DNS pour le domaine qui envoie le message. Si le serveur récepteur ne trouve pas cette balise, il n’exécutera pas de vérification DMARC.

p=reject (rejet), p=none (aucun), p=quarantine (quarantaine)

La lettre p ici signifie « politique ». Les détenteurs de domaine peuvent choisir parmi 3 politiques pour informer le serveur récepteur de la marche à suivre pour les e-mails qui ne sont pas validés par SPF et DKIM, mais qui prétendent provenir de votre domaine.

• p=none indique au destinataire de ne pas effectuer d’actions sur les e-mails non authentifiés, mais plutôt d’envoyer des rapports d’e-mail à l’adresse mailto: (envoyer à :) figurant dans l’enregistrement DMARC.
• p=quarantine indique au destinataire de mettre les messages non qualifiés en quarantaine (par exemple, en l’envoyant directement vers un filtre de spam ou de courrier indésirable plutôt que vers une boîte de réception).
• p=reject indique au destinataire de refuser un e-mail non qualifié. Seuls les e-mails vérifiés parviendront à une boîte de réception. Les e-mails rejetés se voient tout simplement refuser l’accès.

rua=mailto:

Cette section indique au serveur récepteur où il peut envoyer des rapports agrégés DMARC. Les rapports comprennent des informations importantes sur les problèmes de DMARC, mais elles ne sont pas très détaillées.

ruf=mailto:

Similaire à rua=mailto:, ruf=mailto: indique au serveur récepteur où il peut envoyer des rapports médico-légaux (détaillés) sur les échecs DMARC. Ces rapports sont envoyés en temps réel à l’administrateur du domaine et contiennent des détails sur chaque incident.

fo=

Cette section affiche l’une des valeurs liées aux options de rapports médico-légaux :

• 0 génère des rapports lorsque tous les mécanismes d’authentification n’atteignent pas un résultat de réussite DMARC
• 1 génère des rapports en cas d’échec d’un mécanisme
• d génère des rapports en cas d’échec de l’authentification des signatures DKIM
• s génère des rapports en cas d’échec du SPF

sp=

Lorsqu’une valeur sp= facultative est listée dans l’enregistrement DMARC, elle indique au serveur récepteur s’il faut appliquer des politiques DMARC aux sous-domaines.

adkim=

Également facultative, la valeur adkim= définit l’alignement DKIM sur s (strict, pour stricte) ou r (relaxed, pour souple). Le mode strict signifie que la portion DKIM sera valide uniquement lorsque le champ d= dans la signature DKIM correspondra exactement à l’adresse d’expéditeur. Le paramètre relaxed permet aux messages d’être validés à la section DKIM si le champ d= de DKIM correspond au nom du domaine racine de l’adresse de l’expéditeur, et est implicite si adkim= n’est pas spécifié dans l’enregistrement.

Par exemple, en mode relaxed, mail.mailchimp.com, mx1.mail.mailchimp.com et mailchimp.com s’alignent tous les uns avec les autres, car ils partagent le même domaine organisationnel (mailchimp.com). En mode strict, ils ne peuvent s’aligner que sur eux-mêmes (mailchimp.com ne s’alignera qu’avec mailchimp.com).

ri=

Vous pouvez également voir la valeur ri= lors de la vérification d’un enregistrement DMARC. Cette valeur définit l’intervalle pour la fréquence préférée des rapports agrégés comme listé dans rua=mailto:.

aspf=

aspf= est une autre valeur facultative qui définit la rigueur exigée pour l’alignement SPF sur s (strict) ou sur r (relaxed). Strict signifie que SPF s’alignera uniquement lorsque le domaine de l’expéditeur (également appelé « SPF from », « envelope from » ou adresse de rebond) correspond exactement à l’en-tête de l’expéditeur (également appelé « friendly from »). Le paramètre relaxed permet à SPF d’effectuer l’alignement si le domaine et l’en-tête de l’expéditeur du domaine partagent le même domaine organisationnel.

Par exemple, si aspf est paramétré sur relaxed, mail.mailchimp.com, mx1.mail.mailchimp.com et mailchimp.com s’alignent tous les uns avec les autres, car ils partagent le même domaine organisationnel (mailchimp.com). Comme pour adkim, aspf est paramétré par défaut sur relaxed.

pct=

L’utilisation de cette valeur facultative permet à un propriétaire de domaine de tester l’impact de son DMARC sur l’envoi en définissant un pourcentage sur le nombre d’e-mails envoyés avec une politique particulière. Cela peut être utile lors de la première exécution de DMARC pour mesurer la différence quant à la distribution réussie d’e-mails pour les e-mails envoyés depuis votre domaine. Par exemple, p=reject ; pct=50 signifie que 50 % des e-mails sont soumis à la plus stricte politique, tandis que les 50 % restants sont soumis à la politique stricte suivante (quarantine, dans ce cas).

Déployer DMARC

DMARC.org, une initiative à but non lucratif visant à promouvoir l’utilisation de DMARC, recommande le déploiement de DMARC en cinq étapes :

1. Déployez SPF et DKIM.
2. Vérifiez si vos expéditeurs sont alignés sur les identifiants correspondants.
3. Publiez un enregistrement DMARC avec l’indicateur « none » pour déclencher les rapports de données.
4. Analysez les données et apportez des modifications, le cas échéant.
5. Modifiez les indicateurs de la politique DMARC sur « quarantine » ou « reject » à mesure que vous gagnez de l’expérience. Utilisez pct= pour définir un pourcentage sur les indicateurs de politiques afin de tester leur impact sur la distribution.

DMARC.org précise que le déploiement de DMARC n’est pas aussi simple qu’un claquement de doigts, mais que l’utilisation de cette méthode peut aider toutes les personnes impliquées à facilement basculer vers un déploiement complet au fil du temps.

Une fois que vous avez déployé DMARC, vous pouvez le tester sur la page Email Authentication Tester du National Institute of Standards and Technology. Cette ressource vous permettra également de tester SPF et DKIM, afin de vous aider à résoudre tout problème éventuel.

Limitations de DMARC

DMARC est une technique robuste pour réduire la probabilité d’usurpation d’e-mail et de phishing, mais il présente quelques limitations. L’une des plus significatives est qu’il ne peut pas lutter contre les attaques de spear phishing utilisant des imitations de nom d’affichage (Display Name Imposters, DNI), qui représentent un pourcentage conséquent de tentatives de fraude par e-mail.

En outre, DMARC n’est pas en mesure de protéger contre les usurpations de domaines similaires. Le protocole DMARC doit être utilisé conjointement avec d’autres protocoles pour protéger contre la fraude par e-mail.

DMARC est également complexe. Les entreprises dotées d’importantes équipes informatiques ont un avantage dans ce cas précis. Mais il existe de nombreuses ressources pour apprendre à quiconque comment déployer DMARC. Cet apprentissage peut être long, mais les propriétaires de domaine qui souhaitent atténuer les vulnérabilités dans leurs systèmes d’e-mail trouveront que cet investissement en vaut la peine.

Il est difficile de dire combien d’organisations utiliseront à terme DMARC, bien que leur nombre soit en constante augmentation. En tenant compte du fait que la grande majorité des violations de données réussies proviennent des e-mails, il est évident que nous serons tous plus en sécurité lorsque l’utilisation du protocole DMARC sera davantage répandue.

DMARC : FAQ

À quoi sert DMARC ?

DMARC est une méthode d’authentification des e-mails utilisée pour empêcher les utilisateurs non autorisés d’envoyer des e-mails à l’aide de votre domaine de messagerie. Ces utilisateurs non autorisés envoient généralement un e-mail contenant des domaines non autorisés par le biais d’une technique appelée « usurpation d’identité ». L’usurpation d’identité consiste essentiellement à trafiquer la section indiquant l’expéditeur (« De ») d’un e-mail, ce qui peut inciter les utilisateurs à penser que l’e-mail provient d’une source légitime. DMARC peut aider à protéger les personnes contre les attaques de hameçonnage et autres escroqueries.

Comment savoir si un domaine utilise DMARC ?

Si vous souhaitez vérifier si un domaine utilise DMARC, vous pouvez utiliser un vérificateur d’enregistrement DMARC en ligne. Ces outils sont gratuits et faciles à utiliser, vous pouvez donc déterminer si un domaine utilise DMARC en quelques secondes seulement. Il vous suffit de saisir l’URL du domaine que vous souhaitez vérifier et l’outil de vérification DMARC s’occupera du reste.

Gmail utilise-t-il DMARC ?

Oui, Gmail utilise DMARC pour se protéger contre les spams et l’usurpation d’identité. En fait, bon nombre des fournisseurs de messagerie les plus populaires utilisent DMARC, notamment AOL, Comcast et Outlook. Il est important de choisir un fournisseur de messagerie qui utilise DMARC si vous souhaitez vous protéger contre l’usurpation d’identité et des attaques similaires. Avant de choisir un fournisseur de messagerie, vérifiez d’abord s’il utilise DMARC.

Récapitulatif : DMARC

La sécurité est essentielle en matière d’envoi d’e-mails et de marketing par e-mail. C’est pourquoi DMARC aide à prévenir les attaques d’usurpation d’identité qui peuvent compromettre la sécurité des utilisateurs. Avec DMARC, vous pouvez protéger votre domaine contre l’utilisation non autorisée des spammeurs et des escrocs, ce qui contribue à protéger votre réputation et à assurer la sécurité de vos clients.

Le marketing par e-mail peut être très utile pour les dirigeants de PME. Heureusement, Mailchimp peut vous aider à éliminer les tracas liés aux e-mails, grâce à des outils d’automatisation et d’analyse marketing qui vous font gagner du temps et augmentent les performances de votre campagne de marketing par e-mail. Si vous avez besoin d’aide en matière de marketing par e-mail, essayez Mailchimp dès aujourd’hui.