mercredi 25 Mai .22

Le protocole DMARC : l’allié sécurité pour vos e-mails

Protocole-DMARC-Email-Sécurité

Domain-based Message Authentication Reporting & Conformance (DMARC) est un protocole de sécurité destiné aux e-mails. Ce protocole vérifie les expéditeurs des e-mails en s’appuyant sur les protocoles Domain Name System (DNS), DomainKeys Identified Mail (DKIM) et Sender Policy Framework (SPF). Dans cet article, légèrement plus technique que d’habitude, nous allons voir en détail en quoi consiste le protocole DMARC, quels sont ses avantages et à quoi il ressemble concrètement.

 

DMARC, qu’est-ce que c’est ?

DMARC est l’abréviation de Domain-based Message Authentication, Reporting & Conformance. Il s’agit d’un protocole d’authentification des e-mails, qui utilise le Sender Policy Framework (SPF) et le DomainKeys identified Mail (DKIM) pour empêcher l' »usurpation de domaine » et d’autres activités malveillantes.

Il est publié dans les enregistrements DNS afin que tout serveur de messagerie récepteur puisse authentifier les e-mails entrants. Il détaille également les politiques de l’expéditeur sur la façon dont les e-mails non authentifiés doivent être traités par les ESP (Email Service Providers).

Il permet notamment de :

  • Au propriétaire d’un domaine de signaler dans les enregistrements DNS quels protocoles de sécurité (SPF, DKIM, ou les deux) sont mis en œuvre lors de l’envoi de e-mails depuis ce domaine.
  • L’expéditeur peut définir comment traiter les e-mails sortants qui n’ont pas passé l’authentification SPF et/ou DKIM. Il peut, soit les envoyer en quarantaine dans les spams, soit les bloquer.
  • L’expéditeur peut surveiller l’activité de son domaine d’envoi grâce à des rapports détaillés.

 

Comment fonctionne DMARC ?

Il y a deux aspects dans une mise en œuvre typique de DMARC : La publication des enregistrements DMARC du côté du propriétaire du domaine, et l’application de la politique DMARC et l’établissement de rapports du côté du serveur de messagerie récepteur. Ces deux parties doivent collaborer pour que DMARC prenne effet.

Du côté du propriétaire du domaine, il publie un enregistrement DMARC sur le domaine dans le DNS avec les paramètres appropriés, principalement la politique DMARC et le rapport global des boîtes aux lettres des destinataires. La politique DMARC comporte trois options, qui indiquent comment le serveur de messagerie récepteur doit traiter les e-mails non authentifiés : aucune (surveillance), quarantaine et rejet.

Du côté du serveur de messagerie récepteur, chaque fois qu’un email prétendant provenir de ce domaine arrive, le serveur appelle le module DMARC pour vérifier l’email sur la base de l’adresse IP de l’hôte de connexion, de l’adresse de l’enveloppe, de l’adresse de l’en-tête et de la balise d= dans la signature DKIM, le cas échéant. Le résultat est appelé résultat de l’authentification DMARC, qui peut être un succès ou un échec. Si le résultat est un échec, le serveur consulte la politique DMARC pour savoir comment traiter le message électronique. Voici comment DMARC traite les messages électroniques non authentifiés :

  1. None (surveillance) : il s’agit du mode de surveillance, ce qui signifie que rien n’est fait pour les messages électroniques non authentifiés. Ce mode est principalement utilisé pour demander des rapports DMARC agrégés, afin que les propriétaires de domaines aient une idée claire de ce à quoi ressemblent les flux d’e-mails sur leur domaine ;
  2. Quarantaine : il s’agit du mode quarantaine, dans lequel un courriel non authentifié est placé dans le dossier spam ; il s’agit d’un mode plus strict que le mode surveillance, dans la mesure où l’utilisateur final bénéficie d’une certaine protection ;
  3. Rejeter : il s’agit du mode de rejet, qui est le plus strict des trois. Dans le mode de rejet, tout courriel non authentifié est purement et simplement rejeté lors de la session SMTP, de sorte qu’il n’atteigne jamais la boîte aux lettres de l’utilisateur final, ni même le dossier des spams. Le résultat est que l’utilisateur final ne verra jamais d’email non authentifié.

 

Voir le DMARC expliqué en video

 

Quels sont les avantages du protocole DMARC ?

Il existe quelques raisons essentielles pour lesquelles vous devriez mettre en œuvre le protocole DMARC :

  • Réputation : La publication d’un enregistrement DMARC protège votre marque en empêchant des parties non authentifiées d’envoyer des emails depuis votre domaine. Dans certains cas, la simple publication d’un enregistrement DMARC peut entraîner une hausse de la réputation.
  • Visibilité : Les rapports DMARC augmentent la visibilité de votre programme de messagerie en vous permettant de savoir qui envoie des e-mails depuis votre domaine.
  • Sécurité : DMARC aide la communauté de messagerie à établir une politique cohérente pour traiter les messages qui ne s’authentifient pas. L’écosystème de messagerie dans son ensemble devient ainsi plus sûr et plus fiable.

A quoi ressemble un enregistrement DMARC ?

Vous pouvez voir à quoi ressemble un enregistrement DMARC en tapant < dig txt _dmarc.agence-churchill.fr > dans votre terminal. Vous pouvez également aller sur https://www.valimail.com/ pour voir l’enregistrement DMARC pour n’importe quel domaine s’ils en ont 1 publié.

Voici un exemple d’enregistrement DMARC pour l’agence Churchill :

v=DMARC1\;p=none\;rua=mailto:dmarc@agence-churchill.fr\;ruf=mailto:dmarc@agence-churchill.fr \;rf=afrf\;pct=100

Décomposons-le …:

  • « v=DMARC1 »
    Version – Il s’agit de l’identifiant que le serveur récepteur recherche lorsqu’il analyse l’enregistrement DNS du domaine dont il a reçu le message. Si le domaine ne possède pas d’enregistrement txt commençant par v=DMARC1, le serveur récepteur n’effectuera pas de vérification DMARC.

 

  • « p=none
    Politique – La politique que vous sélectionnez dans votre enregistrement DMARC indiquera au serveur de messagerie du destinataire ce qu’il doit faire avec l’email qui ne passe pas SPF et DKIM, mais qui prétend provenir de votre domaine. Dans ce cas, la politique est définie sur « none ».

 

  • « rua=mailto:dmarc@agence-churchill.fr  »
    Cette partie indique au serveur récepteur où envoyer les rapports des échecs DMARC. Les rapports sont envoyés quotidiennement à l’administrateur du domaine auquel appartient l’enregistrement DMARC. Ils contiennent des informations sur les échecs DMARC mais ne fournissent pas de détails sur chaque incident. Il peut s’agir de l’adresse électronique de votre choix.

 

  • « ruf=mailto:dmarc@sendgrid.com »
    Cette partie indique au serveur récepteur où envoyer les rapports d’expertise des échecs DMARC. Ces rapports sont envoyés en temps réel à l’administrateur du domaine auquel appartient l’enregistrement DMARC et contiennent des détails sur chaque échec. Cette adresse e-mail doit provenir du domaine pour lequel l’enregistrement DMARC est publié.

 

  • « rf=afrf »
    Format de rapport – Cette partie indique au serveur récepteur le type de rapport souhaité par le récepteur. Dans ce cas, rf=afrf signifie aggregate failure reporting format.

 

  • « pct=100 »
    Pourcentage – Cette partie indique au serveur de réception quelle proportion de son courrier doit être soumise aux spécifications de la politique DMARC. Vous pouvez choisir n’importe quel nombre entre 1 et 100. Dans ce cas, si le p= est défini sur reject, 100% du courrier qui échoue à DMARC sera rejeté.

 

Il existe un certain nombre d’autres mécanismes qui peuvent être inclus dans un enregistrement DMARC. En voici quelques-uns :

  • « sp= » Cette partie indique au serveur récepteur s’il doit ou non appliquer la politique DMARC aux sous-domaines.
  • « adkim= » Cette partie définit l’alignement DKIM. Il peut être défini sur « s » pour strict ou « r » pour relaxé. Strict signifie que la partie DKIM de l’authentification DMARC ne passera que si le champ d= de la signature DKIM correspond EXACTEMENT au domaine de départ. S’il est défini sur « relaxed », les messages passeront la partie DKIM de l’authentification DMARC si le champ DKIM d= correspond au domaine racine de l’adresse de départ.
  • « ri= » Ce paramètre définit l’intervalle de fréquence auquel vous souhaitez recevoir des rapports globaux sur les échecs DMARC.
Un projet web ? Parlons-en ! Audit gratuit
CONTINUEZ SUR LE SUJETLes articles dans la même catégorie
Material-design
mercredi 29 Juin .2022

Le Material Design a été créé pour offrir une expérience utilisateur unifiée sur divers appareils. Dans cet article, nous allons définir précisément ce qu’est Material Design et voir de quelle manière il est utilisé.

Un-Webhook-c-est-quoi
mercredi 22 Juin .2022

Dans cet article, nous allons nous intéresser aux webhooks, l’un des nombreux moyens de faciliter la communication entre les services en ligne. À la fin de cet article, vous comprendrez parfaitement ce que sont les webhooks, comment ils fonctionnent et quand les utiliser.

Securité-Web_Attaque-DDoS
mercredi 08 Juin .2022

Les cyberattaques par déni de service distribué (DDoS) peuvent contraindre une entreprise à des temps d’arrêt pouvant aller jusqu’à 12 heures. C’est pour cela que nous vous avons préparé un article recensant les meilleurs pratiques pour vous protéger le plus efficacement possible contre les attaques DDoS.