DMARC, ou Domain-based Message Authentication Reporting & Conformance, protège les domaines de confiance d'une organisation contre les attaques de fraude par email. En raison de l'expansion rapide de la fraude par courrier électronique, et étant donné que les menaces d'usurpation de domaine représentent un pourcentage important de ces attaques, il n'est pas surprenant que de nombreuses organisations cherchent à mettre en œuvre l'authentification DMARC pour valider le courrier électronique envoyé en leur nom.
Le département de la sécurité intérieure américain a récemment demandé à toutes les agences fédérales civiles de mettre en œuvre DMARC dans un délai très serré, et a encouragé les entreprises du secteur privé à envisager également l'adoption du DMARC.
De nombreuses organisations n'ont pas encore mis en œuvre DMARC car il peut être difficile à déployer et le risque de bloquer des emails légitimes est élevé. Pour mieux aider les entreprises et les agences à protéger leurs domaines de confiance, nous avons identifié cinq erreurs courantes commises lors du déploiement de l'authentification DMARC et de la configuration DMARC.
Erreur n°1 : Ne pas prendre en compte tous les flux de courrier légitimes, y compris les expéditeurs tiers pour configurer DMARC
La plupart des organisations ont de nombreux expéditeurs, y compris des tiers, qui envoient des courriers électroniques en leur nom. Il peut être difficile d'identifier tous les expéditeurs légitimes, d'autant plus que différents départements de l'organisation - comme le marketing, les ventes et les ressources humaines - utilisent des expéditeurs de courrier électronique tiers.
Mais si tous les expéditeurs légitimes ne sont pas identifiés et autorisés à envoyer des courriers électroniques au nom de l'organisation, des communications essentielles peuvent être bloquées, ce qui risque de perturber l'activité. Les organisations doivent veiller à ce que les parties prenantes de tous les services concernés soient informées et impliquées.
Erreur n°2 : laisser un sous-domaine inhérent à la politique DMARC du domaine de premier niveau
Les organisations concentrent généralement leur implantation DMARC sur le domaine de premier niveau (ex : acme.com) et peuvent négliger de configurer en toute sécurité des politiques spécifiques pour chacun de leurs sous-domaines (ex : mail.acme.com).
La politique DMARC déployée sur le domaine de premier niveau se répercute automatiquement sur les sous-domaines. Cela peut conduire à bloquer involontairement le courrier électronique légitime, à moins que tous les sous-domaines ne soient comptabilisés séparément.
Erreur n°3 : ne pas avoir de système ou d'outil en place pour analyser les données d'enregistrement DMARC
Les rapports DMARC, qui sont envoyés par les fournisseurs de services de messagerie électronique destinataires contiennent des informations cruciales sur votre écosystème de messagerie électronique, mais leur compréhension n'est pas intuitive.
Les données ne sont que des données jusqu'à ce que vous puissiez les organiser de manière à leur donner de la valeur. De plus, il peut être décourageant d'essayer de suivre le volume de rapports qui sont envoyés et de rassembler toutes les informations de manière significative - surtout si l'organisation essaie d'établir un calendrier autour de son projet DMARC.
Erreur n°4 : Ne pas comprendre l'alignement SPF et DKIM
L'alignement DMARC empêche l'usurpation de l'adresse "header from" par :
- En faisant correspondre le nom de domaine "header from" avec le nom de domaine "MFROM" utilisé lors d'une vérification SPF, et
- En faisant correspondre l'en-tête du nom de domaine "from" avec le "d=nom de domaine" dans la signature DKIM.
Un alignement correct garantit que vous authentifiez votre identité d'envoi par rapport au bon domaine. Là encore, les expéditeurs de courrier électronique tiers posent des problèmes supplémentaires. Par exemple, les fournisseurs tiers ont tendance à avoir leur propre domaine "MFROM". Ils peuvent donc passer le SPF, mais pas l'alignement SPF. Et c'est la même chose avec DKIM. Les fournisseurs tiers peuvent passer DKIM, mais pas l'alignement DKIM.
Erreur n°5 : utiliser une syntaxe ou un contenu DMARC inapproprié
Bien qu'il existe des instructions pour l'établissement des dossiers DMARC, elles peuvent parfois être peu claires. Il est également courant d'avoir un format et/ou un contenu inadéquat, et des valeurs politiques incorrectes. Quelques éléments clés à retenir :
- N'oubliez pas d'utiliser "_dmarc".
- Si vous avez plusieurs adresses de déclaration - séparez-les par une virgule, n'incluez pas d'espace après la virgule, et assurez-vous que la deuxième adresse commence par "MailTo" :
- Utilisez des valeurs de politique correctes (exemple : utilisez "none" au lieu de "monitor")
- Vérifier les fautes de frappe
- Caractères manquants ou caractères supplémentaires
En savoir plus sur DMARC et la sécurité email
L'authentification DMARC est un outil efficace pour aider les organisations à prévenir la fraude par email. La mise en œuvre de DMARC est un processus, ou un voyage, mais les avantages de bloquer les attaques de phishing et d'usurpation d'adresse électronique sont nombreux.
Proofpoint Email Fraud Defense fournit la visibilité, les outils et les services nécessaires pour aider les organisations à mettre en œuvre DMARC rapidement et en toute confiance.