DMARC

DMARC est un protocole ouvert d'authentification du courrier électronique qui assure la protection du canal de courrier électronique au niveau du domaine. L'authentification DMARC détecte et empêche les techniques d'usurpation d’email utilisées dans le phishing, la compromission du courrier électronique professionnel (BEC ou Business Email Compromise) et d'autres attaques basées sur le courrier électronique.

S'appuyant sur les normes existantes, SPF et DKIM, DMARC est la première et la seule technologie largement déployée qui peut rendre l'en-tête "from" domain fiable. Le propriétaire du domaine peut publier un enregistrement DMARC dans le système de noms de domaine (DNS) et créer une politique pour dire aux destinataires ce qu'ils doivent faire des emails dont l'authentification échoue.

Exemples d'utilisation de la DMARC

  • Usurpation de domaine - Un attaquant usurpe le domaine d'une entreprise pour faire croire à la légitimité d'un courriel.
  • Usurpation d'adresse électronique - Terme désignant les activités d'usurpation d'adresse électronique.
  • Business email compromise (BEC) - Un courriel qui semble provenir d'un employé de haut niveau d'une organisation et qui demande l'envoi d'argent ou d'informations sensibles.
  • Email d'imposteur - Email usurpé envoyé par un imposteur qui prétend être quelqu'un qu'il n'est pas.
  • Email de phishing - Email qui tente d'inciter les victimes à installer des logiciels malveillants ou à donner leurs identifiants. Un courriel d'hameçonnage ressemble souvent à une marque familière pour paraître légitime.
  • Phishing de consommateur - Courriel usurpé envoyé à un consommateur d'une entreprise qui prétend être de cette entreprise dans l'intention de lui voler ses références.
  • Usurpation de partenaire - Courriel usurpé entre les partenaires de la chaîne d'approvisionnement, qui tente de modifier les détails de paiement afin de siphonner de l'argent.
  • Escroquerie par email - Courriel frauduleux envoyé à un cadre supérieur d'une entreprise dans le but d'obtenir un gain financier important.

Normes : SPF, DKIM, DMARC

  • Domain-based Message Authentication Reporting and Conformance (DMARC) - Système de validation des courriers électroniques qui détecte et empêche l'usurpation d'identité. Il permet de lutter contre certaines techniques souvent utilisées dans le phishing et le spam, comme les courriels avec de fausses adresses d'expéditeurs qui semblent provenir d'organisations légitimes.
  • Sender Policy Framework (SPF) - Protocole de validation du courrier électronique conçu pour détecter et bloquer les courriers électroniques. Il permet aux échangeurs de courrier de réception de vérifier que le courrier entrant provenant d'un domaine provient d'une adresse IP autorisée par les administrateurs de ce domaine.
  • DomainKeys Identified Mail (DKIM) - Une méthode d'authentification du courrier électronique qui détecte l'usurpation d'identité. Elle permet au destinataire de vérifier qu'un courrier électronique qui prétend provenir d'un domaine spécifique a été autorisé par le propriétaire de ce domaine.
  • Directive opérationnelle contraignante 18-01 - Le ministère de la sécurité intérieure a publié la directive opérationnelle contraignante 18-01 pour permettre aux agences de renforcer leur sécurité en matière de courrier électronique et de web. Les agences devront mettre en œuvre efficacement les directives SPF, DMARC et STARTTLS.

SPF et DKIM : quel rapport avec la DMARC ?

Le Sender Policy Framework (SPF) est un protocole de validation des courriers électroniques qui permet à une organisation de spécifier qui peut envoyer des courriers électroniques à partir de ses domaines. Les organisations peuvent autoriser des expéditeurs dans un enregistrement SPF publié dans le système de noms de domaine (DNS).

Cet enregistrement comprend les adresses IP approuvées des expéditeurs de courrier électronique, y compris les adresses IP des fournisseurs de services qui sont autorisés à envoyer des courriers électroniques au nom de l'organisation. La publication et la vérification des enregistrements SPF est un moyen fiable de mettre fin au phishing et aux autres menaces basées sur le courrier électronique qui forgent des adresses et des domaines "from".

Domain Keys Identified Mail (DKIM) est un protocole d'authentification du courrier électronique qui permet au destinataire de vérifier qu'un courrier électronique provenant d'un domaine spécifique a bien été autorisé par le propriétaire de ce domaine. Il permet à une organisation d'assumer la responsabilité de la transmission d'un message en y joignant une signature numérique. La vérification se fait par authentification cryptographique à l'aide de la clé publique du signataire publiée dans le DNS. La signature garantit que des parties du courriel n'ont pas été modifiées depuis le moment où la signature numérique a été jointe.

Comment tester et vérifier DMARC ?

Pour qu'un message passe l'authentification DMARC, il doit passer l'authentification SPF et l'alignement SPF et/ou passer l'authentification DKIM et l'alignement DKIM. Si un message ne passe pas l'authentification DMARC, les expéditeurs peuvent indiquer aux destinataires ce qu'ils doivent faire de ce message par le biais d'une politique DMARC. 

Le propriétaire du domaine peut appliquer trois politiques : 

  • Aucune ("none") : le message est remis au destinataire et le rapport DMARC est envoyé au propriétaire du domaine
  • Quarantaine : le message est déplacé dans un dossier de quarantaine
  • Rejet : le message n'est pas du tout remis.

La politique DMARC "none" est un bon premier pas. 

De cette façon, le propriétaire du domaine peut s'assurer que tous les courriels légitimes s'authentifient correctement. Le propriétaire du domaine reçoit des rapports DMARC pour l'aider à s'assurer que tous les courriels légitimes sont identifiés et passent l'authentification.

Une fois que le propriétaire du domaine est sûr d'avoir identifié tous les expéditeurs légitimes et d'avoir résolu les problèmes d'authentification, il peut passer à une politique de "rejet" et bloquer les attaques de phishing, de compromission des courriers électroniques d'entreprise et autres fraudes par courrier électronique. 

En tant que destinataire de courrier électronique, une organisation peut s'assurer que sa passerelle de courrier électronique sécurisée applique la politique DMARC mise en œuvre au propriétaire du domaine. Cela permettra de protéger les employés contre les menaces liées au courrier électronique entrant.

Authentification DMARC, SPF & DKIM : de quoi s’agit-il ?

Authentification SPF et Test DMARC

L'authentification SPF commence par l'identification de toutes les adresses IP légitimes qui doivent envoyer des courriers électroniques à partir d'un domaine donné, puis publie cette liste dans le DNS. Avant de délivrer un message, les fournisseurs d'accès au courrier électronique vérifient l'enregistrement SPF en recherchant le domaine inclus dans l'adresse "enveloppe from" dans l'en-tête technique caché du courrier électronique. Si l'adresse IP qui envoie un courrier électronique au nom de ce domaine n'est pas répertoriée dans l'enregistrement SPF du domaine, le message échoue à l'authentification SPF.

Pour l'authentification DKIM, l'expéditeur identifie d'abord les champs qu'il souhaite inclure dans sa signature DKIM. Ces champs peuvent inclure l'adresse "from", le corps du courriel, l'objet et plus encore. Ces champs doivent rester inchangés pendant le transit, sinon le message échouera l'authentification DKIM. Deuxièmement, la plate-forme de messagerie de l'expéditeur créera un hachage des champs de texte inclus dans la signature DKIM. Une fois que la chaîne de hachage est générée, elle est cryptée avec une clé privée, à laquelle seul l'expéditeur peut accéder.

Après l'envoi du courriel, c'est à la passerelle de messagerie ou au fournisseur de boîte aux lettres du consommateur de valider la signature DKIM. Cela se fait en localisant une clé publique qui correspond exactement à la clé privée. Ensuite, la signature DKIM est décryptée pour retrouver sa chaîne de hachage d'origine.

Outils et bonnes pratiques pour la DMARC

  • En raison du volume de rapports DMARC qu'un expéditeur de courrier électronique peut recevoir et du manque de clarté des rapports DMARC, il peut être difficile de mettre pleinement en œuvre l'authentification DMARC.
  • Les outils d'analyse DMARC peuvent aider les organisations à donner un sens aux informations contenues dans les rapports DMARC.
  • Des données et des informations complémentaires à celles contenues dans les rapports DMARC aident les organisations à identifier les expéditeurs de courrier électronique plus rapidement et plus précisément. Cela permet d'accélérer le processus de mise en œuvre de l'authentification DMARC et de réduire le risque de blocage des courriers électroniques légitimes.
  • Des consultants en services professionnels ayant une expertise DMARC peuvent aider les organisations à mettre en œuvre le système DMARC. Les consultants peuvent aider à identifier tous les expéditeurs légitimes, à résoudre les problèmes d'authentification et peuvent même travailler avec les fournisseurs de services de courrier électronique pour s'assurer qu'ils s'authentifient correctement.
  • Les organisations peuvent créer un enregistrement DMARC en quelques minutes et commencer à gagner en visibilité grâce aux rapports DMARC en appliquant une politique DMARC "none".
  • En identifiant correctement tous les expéditeurs légitimes de courrier électronique - y compris les fournisseurs tiers de services de courrier électronique - et en réglant les problèmes d'authentification, les organisations devraient atteindre un niveau de confiance élevé avant d'appliquer une politique de "rejet" de la DMARC.

Comment créer un enregistrement DMARC en 4 étapes

Les enregistrements DMARC sont hébergés sur vos serveurs DNS en tant qu'entrées TXT. Chaque hébergeur fournit un accès DNS à ses clients. Vous pouvez donc ajouter cette entrée TXT depuis le bureau d'enregistrement où le domaine a été enregistré ou dans un tableau de bord fourni par l'hébergeur du site Web. Les étapes de la création d'un enregistrement DMARC sont différentes selon le registrar ou l’hébergeur, mais la création de l'enregistrement est la même pour chaque domaine. Après vous être authentifié auprès de votre hébergeur ou de votre registrar, créez une entrée DNS en suivant les étapes suivantes :

  1. Créez un enregistrement TXT. Après avoir lancé le processus de création, vous devez saisir un nom et une valeur pour l'enregistrement.
  2. Nommez votre enregistrement _dmarc. Dans certaines configurations d’hébergeur, le nom de domaine est automatiquement ajouté au nom. S'il n'est pas ajouté automatiquement, nommez l'enregistrement _dmarc.votredomaine.com.
  3. Saisissez la valeur de votre enregistrement. Voici un exemple de valeur pour DMARC :

v=DMARC1 ; p=none ; rua=mailto:youraddress@yourdomain.com

Les trois valeurs de l'entrée sont importantes pour la direction lorsque les utilisateurs envoient des e-mails à votre domaine. La première valeur "v" est nécessaire et définit la version. Cette valeur sera la même pour tous les enregistrements. La deuxième valeur "p" détermine ce qui se passe lorsque l'email réussit ou échoue. Dans cet exemple, la valeur est fixée à "none", ce qui indique que rien ne se passera.

Cette valeur est recommandée dans un premier temps pour s'assurer que DMARC fonctionne correctement avant de mettre les messages en quarantaine. Après avoir vérifié que DMARC fonctionne correctement, la valeur "p" peut être modifiée pour mettre en quarantaine ou rejeter. Il est recommandé de mettre les messages en quarantaine afin d'éviter les faux positifs. Le message sera mis de côté jusqu'à ce que vous l'examiniez. L'option "reject" (rejet) permet de supprimer purement et simplement les enregistrements qui ne satisfont pas aux règles DMARC.

À moins que vous ne soyez sûr que les messages passeront, n'utilisez l'option de rejet que si vous êtes certain qu'aucun message important ne sera rejeté par vos paramètres DMARC.