This is an updated version of a blog post originally published in October 2023.
Si vous possédez un compte Gmail ou Yahoo, vous savez à quel point votre boîte de réception peut être inondée d’emails non sollicités et d’autres messages cherchant de toute évidence à vous escroquer. Vous êtes-vous déjà demandé pourquoi ces entreprises ne pouvaient pas bloquer plus efficacement ces messages frauduleux et vous aider à recevoir moins d’emails non sollicités ? Vous n’êtes pas le seul.
La bonne nouvelle, c’est que Google, Yahoo et Apple ont décidé de prendre les choses en main. La mauvaise nouvelle, c’est que si votre entreprise n’a pas mis en place des mesures exhaustives d’authentification des emails, vous allez devoir vous mettre au travail dans un délai serré.
À compter de février 2024, Gmail exigera la mise en place d’une authentification des emails pour l’envoi de messages à des comptes Gmail. Si vous envoyez plus de 5 000 emails par jour à des comptes Gmail, vous devrez satisfaire des exigences supplémentaires en matière d’authentification des emails. Vous devrez également :
- Mettre en œuvre des règles DMARC (Domain-based Message Authentication, Reporting & Conformance)
- Assurer l’alignement sur les domaines SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail)
- Permettre aux destinataires de se désabonner en un clic
Pour consulter les consignes détaillées de Google à l’attention des expéditeurs d’emails, cliquez ici.
Yahoo a introduit des exigences similaires. Il exigera également la mise en place d’une authentification forte des emails à compter de février 2024 afin de contrôler le flux de messages malveillants et de réduire le nombre d’emails sans grand intérêt encombrant les boîtes de réception des utilisateurs.
Dix jours seulement après que Google et Yahoo ont fait leurs annonces en octobre 2023, Apple a publié un guide de bonnes pratiques pour la messagerie iCloud qui reprend la plupart des mêmes exigences en matière d’authentification des emails. Bien qu’Apple n’ait pas défini de date précise pour la publication de règles DMARC, il recommande aux expéditeurs concernés de suivre ces bonnes pratiques afin que leurs emails ne soient pas considérés comme indésirables et automatiquement bloqués.
Êtes-vous prêt à satisfaire ces exigences ? Voici ce que vous devez savoir.
Nouvelles exigences de Google et de Yahoo en matière d’emails
Les nouvelles exigences de Google sont divisées en deux catégories. Tous les expéditeurs devront respecter celles appartenant à la première catégorie. Selon le nombre d’emails que vous envoyez quotidiennement, des règles supplémentaires peuvent s’appliquer.
Exigences applicables à tous les expéditeurs :
1. Authentification des emails. Il s’agit d’une mesure critique visant à empêcher les cybercriminels d’envoyer des emails en se faisant passer pour un membre de votre entreprise. Cette tactique, appelée « usurpation de domaine », permet aux cybercriminels, si rien n’est fait pour l’empêcher, de piéger des domaines d’expédition afin de lancer des cyberattaques.
- SPF est un protocole d’authentification des emails conçu pour prévenir l’usurpation de comptes de messagerie, une technique couramment employée dans les attaques de phishing et le spam. Composante fondamentale de la cybersécurité email, le protocole SPF permet au serveur de messagerie destinataire de vérifier si l’email entrant provient d’une adresse IP autorisée par l’administrateur du domaine.
- DKIM est un protocole permettant à une entreprise de prendre la responsabilité de transmettre un message en le signant de sorte que les fournisseurs de messagerie puissent le vérifier. La vérification des enregistrements DKIM repose sur l’authentification cryptographique.
2. Faibles taux de spam. Si des destinataires signalent vos emails comme spam à un taux dépassant la nouvelle exigence de 0,3 % (ciblez idéalement des taux de spam de 0,1 %, soit 1 message sur 1 000 remis marqué comme spam), vos messages pourraient être bloqués ou envoyés directement dans un dossier Spam/Courrier indésirable.
Exigences applicables aux expéditeurs qui envoient plus de 5 000 emails par jour :
1. Des méthodes d’authentification SPF et DKIM doivent être implémentées. Les entreprises qui envoient des emails à des utilisateurs Gmail ou Yahoo doivent implémenter des méthodes d’authentification SPF et DKIM.
2. Les entreprises doivent mettre en place des règles DMARC. DMARC est une norme d’authentification des emails qui protège la messagerie au niveau du domaine.
- L’authentification DMARC détecte et prévient les techniques d’usurpation de comptes de messagerie employées dans les attaques de phishing, le piratage de la messagerie en entreprise (Business Email Compromise, BEC) et autres attaques par email.
- DMARC repose sur les normes SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail). Il s’agit de la première et de la seule technologie largement déployée qui permet de rendre fiable le domaine indiqué dans l’en-tête « De ». Le propriétaire du domaine peut publier un enregistrement DMARC dans le DNS (Domain Name System) et créer une règle pour indiquer aux destinataires ce qu’ils doivent faire avec les emails dont l’authentification échoue.
3. Les messages doivent réussir l’alignement DMARC. Cela signifie que le domaine d’expédition Envelope-From ou le domaine DKIM correspond au domaine indiqué dans l’en-tête « De ».
4. Les messages doivent permettre aux destinataires de se désabonner en un clic. Les emails sur abonnement doivent contenir un en-tête « List-Unsubscribe » et un lien de désabonnement en un clic clairement visible dans le corps du message. Dès lors qu’un utilisateur en fait la demande, le désabonnement doit être effectif sous deux jours.
Aperçu des exigences de Google, Yahoo et Apple applicables aux expéditeurs
Exigence |
|
Apple |
Yahoo |
Exigence DMARC satisfaite (réussite de l’authentification SPF ou DKIM) |
Oui (< 5 000 messages/jour) |
Oui |
Oui |
Exigence DMARC satisfaite (réussite de l’authentification SPF et DKIM) |
Oui (> 5 000 messages/jour) |
- |
Oui |
Enregistrements PTR DNS inverses et de transfert valides |
Oui |
Oui |
Oui |
Taux de spam signalés dans Postmaster Tools < 0,3 % (idéalement < 0,1 %) |
Oui |
- |
Oui |
Format des messages conforme aux normes (RFC 5321 et 5322) |
Oui |
Oui |
Oui |
Aucune usurpation du domaine des fournisseurs dans les en-têtes « De » |
Oui |
Oui |
Oui |
TLS requis pour les emails entrants |
Oui |
- |
- |
En-têtes ARC requis pour les emails transférés |
Oui (> 5 000 messages/jour) |
- |
- |
Authentification DMARC des emails pour vos domaines d’expédition |
Oui (DMARC p=none) |
Oui |
Oui (DMARC p=none) |
Alignement de l’en-tête « De » sur le domaine SPF ou DKIM |
Oui |
Oui |
Oui |
Désabonnement en un clic pour les messages commerciaux/promotionnels sur abonnement (RFC 8058) |
Oui (1er juin 2024) |
Oui |
Oui (février 2024) |
Séparation des emails |
Oui (par domaine) |
Oui (par adresse IP ou domaine) |
Oui (par adresse IP ou domaine) |
Conformité aux politiques SMTP d’échec temporaire et de rejet |
Oui |
Oui |
Oui |
Dates clés
Voici les dates à retenir pour le déploiement de ces exigences.
Janvier 2024
Apple n’a pas défini de date pour la publication de règles DMARC, mais toutes les autres exigences ont été présentées comme devant être mises en place dès maintenant. Mieux vaut donc partir du principe que cette exigence doit également être respectée immédiatement.
Février 2024
Il s’agit de l’échéance initiale définie par Google et Yahoo pour le respect des nouvelles exigences.
Google a apporté quelques clarifications au sujet de cette échéance après son annonce initiale. Il a précisé que les expéditeurs qui envoient plus de 5 000 emails par jour et qui ne respectent pas les nouvelles exigences commenceront à recevoir des erreurs temporaires (avec codes d’erreur) au niveau du protocole SMTP pour un faible pourcentage de leur trafic de messagerie non conforme. Ces erreurs temporaires ont pour but d’aider les expéditeurs à identifier le trafic de messagerie qui ne respecte pas les nouvelles directives et à commencer à corriger leurs non-conformités.
Avril 2024
Google commencera à rejeter une partie du trafic de messagerie non conforme et augmentera progressivement le taux de rejet. Par exemple, si 75 % du trafic d’un expéditeur est conforme aux exigences, Google commencera à rejeter une partie des 25 % restants qui ne sont pas conformes.
1er juin 2024
Il s’agit de la nouvelle date limite fixée par Google pour l’implémentation du désabonnement en un clic dans tous les messages commerciaux et promotionnels.
Que se passe-t-il si vous ne respectez pas le délai ?
Si votre entreprise utilise des emails pour communiquer avec ses clients et que vous n’implémentez pas l’authentification des emails, ces changements affecteront considérablement le taux de remise de vos messages aux utilisateurs Gmail, Yahoo et Apple. Si vous envoyez plus de 5 000 emails par jour à des comptes Gmail et Yahoo et que vous n’avez pas implémenté les protocoles SPF et DKIM, ou si vous n’avez pas mis en œuvre de règles DMARC, ces non-remises auront des conséquences encore plus importantes sur votre entreprise.
Gare aux solutions rapides
Méfiez-vous des fournisseurs qui prétendent vous offrir des implémentations en un clic pour vous mettre rapidement en conformité.
Ces annonces ont pris de nombreuses entreprises de court et bon nombre d’entre elles peinent à s’y adapter. Lors de vos recherches pour vous conformer aux nouvelles exigences, vous tomberez peut-être sur des solutions en un clic ou qui promettent d’assurer votre conformité dans des délais extrêmement courts.
Quand cela semble trop beau pour être vrai, c’est que ça l’est. Un alignement DMARC adéquat pour vos emails sortants requiert la modification de la façon dont vos adresses d’envoi sont vérifiées au niveau du protocole SMTP et des en-têtes d’email afin que le domaine des adresses d’envoi corresponde à celui contenu dans la clé DKIM et le domaine SPF. Lorsque ces changements impliquent de travailler avec des solutions tierces ou SaaS qui n’offrent aucune flexibilité dans leur configuration, ou qui ne prennent pas en charge la signature DKIM, la situation peut rapidement se compliquer.
Proofpoint peut vous aider
Proofpoint est un leader du secteur de l’authentification des emails. Nos solutions DMARC sont déployées dans un nombre d’entreprises figurant au classement Fortune 1000 supérieur à celui de nos cinq principaux concurrents combinés. Nous disposons des outils, des ressources et de l’expérience nécessaires pour évaluer votre position et vous aider à satisfaire les nouvelles exigences plus efficacement que si vous vous y étiez attelé seul.
Proofpoint Email Fraud Defense vous permet de vous entretenir avec des consultants chevronnés qui vous accompagneront à chaque étape de votre parcours DMARC, afin de vous aider à respecter les nouvelles exigences et à protéger la réputation globale de votre marque. Cette solution inclut également les services SPF, DKIM et DMARC hébergés afin de simplifier la gestion et de rationaliser votre implémentation.
Pour les emails transactionnels, qui peuvent être envoyés par des applications ou des partenaires tiers en votre nom, Proofpoint Secure Email Relay peut s’assurer que tous ces messages ont été signés avec DKIM et vous aider à atteindre l’alignement DMARC plus rapidement.
Afin de répondre à ces nouvelles exigences, Proofpoint propose désormais une évaluation gratuite de la remise des emails pour identifier les failles potentielles et formuler des recommandations sur la voie à suivre. Vous pourrez ainsi réduire l’impact de ces changements sur votre entreprise. Vous pouvez également consulter notre assistant de création d’enregistrements DMARC pour connaître votre position DMARC et SPF.
N’attendez pas la dernière minute pour démarrer votre parcours DMARC. Vous ne savez pas quels sont les problèmes qu’il vous faudra surmonter, et vous ne voulez pas risquer de rater la date limite. Contactez Proofpoint sans tarder. Nous pouvons vous préparer à satisfaire ces nouvelles exigences, renforcer votre niveau de sécurité global et vous aider à briser la chaîne d’attaque.