Votre domaine peut-il être usurpé ? La plupart le peuvent !
Pour les gens non techniques
DMARC, SPF et DKIM sont des normes/mécanismes d'authentification des courriels extrêmement importants que vous devez utiliser.
Pourquoi sont-ils importants pour vous ?
Lorsque des courriels provenant de votre domaine sont envoyés au monde via des plateformes de messagerie (CRM, outils de marketing par courriel, formulaires de contact ou tout autre fournisseur d'hébergement comme Microsoft 365 et Google), ces plateformes doivent être correctement configurées, sinon vous risquez des problèmes.
Si elles ne le sont pas :
- Les chances que vos courriels atteignent les boîtes de réception des destinataires diminuent drastiquement, surtout depuis 2024.
- Quelqu’un pourrait se faire passer pour vous et envoyer des millions de [email protected]. Oui, usurper votre domaine et peut-être vous faire atterrir sur une liste noire.
IMPORTANT : DMARC est le seul mécanisme capable de prévenir l'usurpation de votre domaine.
Qu'est-ce que DMARC ?
DMARC (Domain-based Message Authentication, Reporting, and Conformance) est un cadre de politique de sécurité des courriels qui facilite la délivrabilité et aide à prévenir l'usurpation de votre domaine.
Il offre également un moyen efficace de surveiller (rapports DMARC / monitoring) ce qui se passe avec vos courriels sortants, qu'ils soient envoyés par vous ou non (usurpation).
- Introduit en 2012
- Appliqué largement depuis 2014
- Devenu une exigence en 2024 par les principaux fournisseurs comme Google, Microsoft et Yahoo pour un écosystème de courriels plus sûr.
Pourquoi n’en ai-je jamais entendu parler ?
Beaucoup de personnes en informatique se fient uniquement à SPF (Sender Policy Framework) pour la délivrabilité des courriels et la lutte contre l'usurpation d'identité.
Cependant, SPF seul ne prévient pas l'usurpation, malgré les idées préconçues.
Un appel au réveil pour les informaticiens :
- Si votre consultant informatique pense que SPF arrête l'usurpation des courriels, il se trompe.
- J’ai moi-même cru la même chose autrefois.
- SPF aide à la délivrabilité des courriels mais n’offre aucune protection contre l'usurpation.
- Recommandation Utilisez l’outil de vérification DMARC Guy pour vérifier la conformité et la sécurité de votre domaine.
DMARC dans l’actualité
- États-Unis : Les pirates nord-coréens exploitent les configurations DMARC faibles.
- NSA : Avertissement sur l’exploitation par des pirates nord-coréens de politiques DMARC faibles.
- La Presse, Qc: Les noms d’agences gouvernementales peuvent être usurpés.
Pour les lecteurs techniques
Quelques lectures pour vous :
- Recherchez « Est-ce que DMARC p=none peut prévenir l’usurpation de courriel ? » sur Grok, Google ou Reddit’s r/DMARC.
- Meilleures pratiques recommandées par M3AAWG pour l’authentification des courriels
- Site officiel de DMARC
- RFC 7489 : Spécification DMARC
- URIPorts : Meilleures pratiques pour SPF, DKIM, DMARC
Étant juste un inconnu sur Internet, je vous encourage à vérifier ces informations.
Commençons par ceci :
Ni SPF ni DKIM seuls ne peuvent prévenir l'usurpation de domaine sans une politique DMARC correctement configurée (p=quarantine ou p=reject).
Une politique SPF stricte (-all) :
- Une politique SPF stricte (-all) améliore la délivrabilité mais ne prévient pas l'usurpation. Pendant des années, beaucoup (y compris moi) l’ont cru.
- L’authentification SPF se fait au niveau de l’adresse RFC5321.MailFrom / Envelope From / Return-Path. Les utilisateurs finaux ne voient pas ce domaine.
- SPF n’a rien à voir avec l'usurpation qui se produit au niveau de RFC5322.From (Header From), l’adresse/domaine visible par les destinataires.
Domaines de courriel expliqués
Un courriel contient trois domaines, qui peuvent différer :
- RFC5321.MailFrom / Envelope From : L’adresse de retour ou d’erreur utilisée pour l’authentification SPF.
- Domaine de signature DKIM : Le domaine utilisé pour signer vos courriels sortants.
- RFC5322.From / Header From : Le domaine « De » visible pour les destinataires.
Sans une politique DMARC solide, des courriels avec des domaines incohérents peuvent toujours être délivrés, rendant l'usurpation possible.
AVERTISSEMENT Assurez-vous que tout est bien configuré avant d’utiliser une politique p=quarantine ou p=reject, sinon vous pourriez perdre des courriels sortants et perturber votre flux de messagerie.
Politique DMARC p=none
- Une politique p=none ou l’absence d’enregistrement DMARC laisse votre domaine vulnérable à l'usurpation.
- Certains fournisseurs appliquent des règles internes qui rejettent les domaines p=none ou les dirigent vers les dossiers de spam.
SPF strict « réduit l’efficacité de DMARC »
- Si vous avez une politique p=quarantine ou p=reject mais utilisez un SPF strict (-all), certains serveurs de messagerie anciens peuvent rejeter vos courriels ou les marquer comme spam.
- Un SPF strict peut interférer avec l’authentification et l’alignement DKIM, affaiblissant les résultats DMARC. Oui, -all peut empêcher l’authentification DKIM, qui peut souvent « sauver la mise ».
- Équilibrez les configurations SPF et DMARC pour garantir délivrabilité et sécurité.
Rejets masqués / Pas sur les listes noires
Même si votre domaine n’est pas sur des listes noires publiques, les principaux fournisseurs de messagerie peuvent rejeter ou mettre en quarantaine vos courriels en silence selon leurs politiques internes. Le monitoring DMARC peut vous aider à détecter cela.
Rapports DMARC
Activez les rapports DMARC pour obtenir des informations sur la gestion de vos courriels par les serveurs des destinataires. Ce retour est précieux pour résoudre les problèmes et améliorer la délivrabilité.
Note finale
Protégez votre domaine et renforcez la sécurité de vos courriels en mettant en place une politique DMARC robuste.
Commencez par vérifier l’état de votre domaine avec l’outil de vérification DMARC Guy sur notre site web.