Qu'est-ce que la DMARC ?

DMARC est un protocole ouvert d'authentification du courrier électronique qui assure la protection du canal de courrier électronique au niveau du domaine. L'authentification DMARC détecte et empêche les techniques d'usurpation de courrier électronique utilisées dans le phishing, la compromission du courrier électronique professionnel (BEC) et d'autres attaques basées sur le courrier électronique. S'appuyant sur les normes existantes, SPF et DKIM, DMARC est la première et la seule technologie largement déployée qui peut rendre l'en-tête “from” domain fiable. Le propriétaire du domaine peut publier un enregistrement DMARC dans le système de noms de domaine (DNS) et créer une politique pour dire aux destinataires ce qu'ils doivent faire des courriels dont l'authentification échoue.

Le Sender Policy Framework (SPF) est un protocole de validation des courriers électroniques qui permet à une organisation de spécifier qui peut envoyer des courriers électroniques à partir de ses domaines. Les organisations peuvent autoriser des expéditeurs dans un enregistrement SPF publié dans le système de noms de domaine (DNS). Cet enregistrement comprend les adresses IP approuvées des expéditeurs de courrier électronique, y compris les adresses IP des fournisseurs de services qui sont autorisés à envoyer des courriers électroniques au nom de l'organisation. La publication et la vérification des enregistrements SPF est un moyen fiable de mettre fin au phishing et aux autres menaces basées sur le courrier électronique qui forgent des adresses et des domaines “à partir”.

Domain Keys Identified Mail (DKIM) est un protocole d'authentification du courrier électronique qui permet au destinataire de vérifier qu'un courrier électronique provenant d'un domaine spécifique a bien été autorisé par le propriétaire de ce domaine. Il permet à une organisation d'assumer la responsabilité de la transmission d'un message en y joignant une signature numérique. La vérification se fait par authentification cryptographique à l'aide de la clé publique du signataire publiée dans le DNS. La signature garantit que des parties du courriel n'ont pas été modifiées depuis le moment où la signature numérique a été jointe.

Pour qu'un message passe l'authentification DMARC, il doit passer l'authentification SPF et l'alignement SPF et/ou passer l'authentification DKIM et l'alignement DKIM. Si un message ne passe pas l'authentification DMARC, les expéditeurs peuvent indiquer aux destinataires ce qu'ils doivent faire de ce message par le biais d'une politique DMARC. Le propriétaire du domaine peut appliquer trois politiques : aucune (le message est remis au destinataire et le rapport DMARC est envoyé au propriétaire du domaine), la quarantaine (le message est déplacé dans un dossier de quarantaine) et le rejet (le message n'est pas du tout remis).

La politique DMARC de “none” est un bon premier pas. De cette façon, le propriétaire du domaine peut s'assurer que tous les courriels légitimes s'authentifient correctement. Le propriétaire du domaine reçoit des rapports DMARC pour l'aider à s'assurer que tous les courriels légitimes sont identifiés et passent l'authentification. Une fois que le propriétaire du domaine est sûr d'avoir identifié tous les expéditeurs légitimes et d'avoir résolu les problèmes d'authentification, il peut passer à une politique de “rejet” et bloquer les attaques de phishing, de compromission des courriers électroniques d'entreprise et autres fraudes par courrier électronique. En tant que destinataire de courrier électronique, une organisation peut s'assurer que sa passerelle de courrier électronique sécurisée applique la politique DMARC mise en œuvre au propriétaire du domaine. Cela permettra de protéger les employés contre les menaces liées au courrier électronique entrant.

L'authentification SPF commence par l'identification de toutes les adresses IP légitimes qui doivent envoyer des courriers électroniques à partir d'un domaine donné, puis publie cette liste dans le DNS. Avant de délivrer un message, les fournisseurs d'accès au courrier électronique vérifient l'enregistrement SPF en recherchant le domaine inclus dans l'adresse “enveloppe from” dans l'en-tête technique caché du courrier électronique. Si l'adresse IP qui envoie un courrier électronique au nom de ce domaine n'est pas répertoriée dans l'enregistrement SPF du domaine, le message échoue à l'authentification SPF.

Pour l'authentification DKIM, l'expéditeur identifie d'abord les champs qu'il souhaite inclure dans sa signature DKIM. Ces champs peuvent inclure l'adresse “de”, le corps du courriel, l'objet et plus encore. Ces champs doivent rester inchangés pendant le transit, sinon le message échouera l'authentification DKIM. Deuxièmement, la plate-forme de messagerie de l'expéditeur créera un hachage des champs de texte inclus dans la signature DKIM. Une fois que la chaîne de hachage est générée, elle est cryptée avec une clé privée, à laquelle seul l'expéditeur peut accéder. Après l'envoi du courriel, c'est à la passerelle de messagerie ou au fournisseur de boîte aux lettres du consommateur de valider la signature DKIM. Cela se fait en localisant une clé publique qui correspond exactement à la clé privée. Ensuite, la signature DKIM est décryptée pour retrouver sa chaîne de hachage d'origine.

1. Les enregistrements DMARC sont hébergés sur vos serveurs DNS en tant qu'entrées TXT. Chaque hébergeur fournit un accès DNS à ses clients. Vous pouvez donc ajouter cette entrée TXT depuis le bureau d'enregistrement où le domaine a été enregistré ou dans un tableau de bord fourni par l'hébergeur du site Web. Les étapes de la création d'un enregistrement DMARC sont différentes selon le registrar ou l’hébergeur, mais la création de l'enregistrement est la même pour chaque domaine. Après vous être authentifié auprès de votre hébergeur ou de votre registrar, créez une entrée DNS en suivant les étapes suivantes :
2. Créez un enregistrement TXT. Après avoir lancé le processus de création, vous devez saisir un nom et une valeur pour l'enregistrement.
3. Nommez votre enregistrement _dmarc. Dans certaines configurations d’hébergeur, le nom de domaine est automatiquement ajouté au nom. S'il n'est pas ajouté automatiquement, nommez l'enregistrement _dmarc.votredomaine.com.
4. Saisissez la valeur de votre enregistrement. Voici un exemple de valeur pour DMARC :
   v=DMARC1 ; p=none ; rua=mailto:youraddress@yourdomain.com

Les trois valeurs de l'entrée sont importantes pour la direction lorsque les utilisateurs envoient des e-mails à votre domaine. La première valeur “v” est nécessaire et définit la version. Cette valeur sera la même pour tous les enregistrements. La deuxième valeur “p” détermine ce qui se passe lorsque l'email réussit ou échoue. Dans cet exemple, la valeur est fixée à “none”, ce qui indique que rien ne se passera.

Cette valeur est recommandée dans un premier temps pour s'assurer que DMARC fonctionne correctement avant de mettre les messages en quarantaine. Après avoir vérifié que DMARC fonctionne correctement, la valeur “p” peut être modifiée pour mettre en quarantaine ou rejeter. Il est recommandé de mettre les messages en quarantaine afin d'éviter les faux positifs. Le message sera mis de côté jusqu'à ce que vous l'examiniez. L'option “reject” (rejet) permet de supprimer purement et simplement les enregistrements qui ne satisfont pas aux règles DMARC.

À moins que vous ne soyez sûr que les messages passeront, n'utilisez l'option de rejet que si vous êtes certain qu'aucun message important ne sera rejeté par vos paramètres DMARC.