Phil Adams

// Marketeur de contenus senior

L’usurpation d’adresses email est de plus en plus répandue sur Internet. Parmi ces emails frauduleux, on trouve des escroqueries, des rançongiciels et même des manipulations du marché boursier. Chaque année, les pirates font perdre des millions de dollars aux entreprises, même les associations caritatives ne sont pas à l’abri. Et même si vous êtes propriétaire d’un domaine et que vous configurez une stratégie de sécurité des emails, votre adresse d’expédition peut toujours être usurpée en l’absence de protocole DMARC.

Qu’est-ce que le protocole DMARC et pourquoi est-il si important ? Cet article contient tout ce que vous devez savoir sur cette authentification des emails et les étapes à suivre pour la mettre en œuvre.

Qu’est-ce que le protocole DMARC ?

Servez-vous un verre d’eau, installez-vous confortablement et prenez une longue respiration, car derrière ce nom se cache un acronyme particulièrement long.

Le protocole DMARC, pour « Domain-based Message Authentication, Reporting, and Conformance » est une méthode d’authentification conçue pour bloquer les tentatives d’usurpation d’identité.

Développé en 2012, le protocole DMARC est devenu une pratique standard du monde de l’emailing et constitue votre première ligne de défense contre les emails malveillants. Si vous ne savez pas si vous l’avez déjà configuré, utilisez cet outil pour effectuer une vérification rapide du protocole DMARC.

Pourquoi le protocole DMARC est-il si important ?

Si les emails sont aussi vieux qu’Internet, l’authentification des emails est quelque chose de beaucoup plus récent.

Avant, les services de messagerie tels que Gmail s’appuyaient sur des filtres stricts et les retours des utilisateurs pour identifier les spammeurs. Des filtres si stricts qu’ils pouvaient même bloquer des expéditeurs légitimes.

Le protocole DMARC permet à l’expéditeur d’analyser les rapports de boucle de rétroaction pour mettre au point un protocole d’authentification strict qui indique aux serveurs d’emailing destinataires les adresses IP qui vous appartiennent. Une politique DMARC demandera aux FAI de refuser les emails provenant d’adresses IP frauduleuses qui tentent d’utiliser votre domaine.

Cela semble formidable, mais pourquoi s’embêter si les emails arrivent sans aucun problème dans la boîte de réception ? La réponse est simple et tient en un mot : sécurité. 90 % des attaques réseau sont effectuées par le biais d’une infrastructure d’emailing et sont de plus en plus sophistiquées. Les tentatives d’hameçonnage ont un grave impact sur la réputation de votre fournisseur d’accès à Internet, votre taux de délivrabilité et la réputation de votre marque.

Effrayant, pas vrai ? Cependant, avant de vous précipiter pour mettre en place le protocole DMARC, voyons comment il fonctionne.

Fonctionnement du protocole DMARC


Pour expliquer les choses simplement, le protocole DMARC est une ligne de code insérée dans votre enregistrement TXT DNS. Le protocole DMARC est toutefois bien plus que du code. Il s’agit d’un processus qui se déroule avant, pendant et après l’implémentation, pour garantir le bon fonctionnement de votre système d’emailing. Passons en revue trois éléments clés du protocole DMARC pour mieux comprendre cette norme d’authentification.

SPF et DKIM, les prédécesseurs du protocole DMARC

Pour comprendre le protocole DMARC, nous devons d’abord en savoir plus sur ses prédécesseurs, les protocoles Sender Policy Framework (SPF) et DomainKeys Identified Mail (DKIM).

Le protocole SPF est une méthode d’authentification qui permet aux expéditeurs de publier les adresses IP des serveurs SMTP de confiance autorisés à envoyer à partir d’un domaine. Le serveur de réception vérifie ensuite cet enregistrement pour valider l’email et l’envoyer dans la boîte de réception. L’authentification DKIM est, en revanche, une signature ajoutée à vos enregistrements DNS publics et chiffrée à l’aide d’une clé privée dans l’en-tête de vos emails.

Pourquoi sont-ils si importants pour le protocole DMARC ? Parce que le protocole DMARC décide du passage ou non d’un message en fonction de l’alignement des protocoles SPF et DKIM.

Analyse de l’enregistrement du protocole DMARC

Les enregistrements DMARC sont compilés avec des balises et des valeurs relativement simples. Seuls deux champs sont requis, les autres sont facultatifs. Dans cet article, nous traiterons des prérequis de base. Si vous voulez aller plus loin, Google dispose cependant d’une liste complète avec toutes les balises avancées.

Voici un exemple d’enregistrement DMARC simple :

v=DMARC1; p=reject; rua=mailto:postmaster@mailgun.com;

La première balise, v=, est simple. La valeur doit toujours être DMARC1. Il n’y a pas d’autres versions pour le moment, vous devez donc toujours utiliser la valeur 1.

La deuxième balise, p=, est une instruction destinée au serveur d’emailing du destinataire pour les emails qui ne sont pas authentifiés. Les options à votre disposition sont les suivantes :

  • None : l’entrée est enregistrée, mais n’entraîne aucune action.
  • Quarantine : le message doit être signalé comme étant du spam.
  • Reject : l’email est rejeté.

 
Si vous utilisez la norme BIMI, la balise p= doit toujours être réglée sur quarantine ou reject, puisque BIMI ne prend pas en charge la valeur none.

La troisième balise, rua=, correspond à l’adresse email pour les rapports. Il s’agit de la boîte de réception dans laquelle vos rapports DMARC sont envoyés.

Si vous ne souhaitez pas compiler l’enregistrement vous-même, dmarcian dispose d’un assistant gratuit pour la création d’enregistrements DMARC.

Vérification des rapports DMARC

Enfin, vous devez analyser vos rapports DMARC. Une fois le protocole DMARC mis en application, les rapports commenceront d’affluer dans votre boîte de réception. Ces rapports vous fourniront des informations sur :

  • Les serveurs ou tiers qui envoient des emails depuis votre domaine, et quels sont ceux qui réussissent ou échouent.
  • La réaction de chaque serveur de réception aux messages non authentifiés.
  • Le taux de réussite total du protocole DMARC.

 
Une balise de rapport facultative, ruf=, indique aux FAI où renvoyer les rapports d’échec ou d’expertise. Bien que cette balise ne soit pas prise en charge par tous les services de messagerie pour des raisons de données (Gmail, c’est bien de vous dont on parle), elle peut vous donner plus d’informations stratégiques sur le contenu des emails ayant échoué qu’un rapport agrégé standard.

Les résultats de ces rapports vous aideront à piloter votre politique DMARC. Par exemple, si la plupart des messages ne sont pas bloqués par les serveurs d’emailing du destinataire, vous aurez besoin d’une politique plus stricte pour détecter les tentatives d’usurpation. Chaque jour, vous devrez analyser vos rapports et résoudre les problèmes que vous rencontrerez, comme des emails légitimes mis en spam. Et maintenant que vous comprenez mieux le protocole DMARC, passons en revue les étapes de sa mise en application.

Configuration du protocole DMARC

Si vous souhaitez configurer DMARC, vous trouverez ci-dessous un guide détaillé pour vous aider à le paramétrer.

1. Préparation du domaine avant la configuration du protocole DMARC

Nous savons que vous avez hâte de déployer votre nouvelle politique DMARC, mais vous devez effectuer des préparations préliminaires.

Configuration des protocoles SPF et DKIM pour le domaine

Comme indiqué précédemment, vous devez activer SPF et DKIM pour exécuter le protocole DMARC.

Pour le protocole SPF, cela nécessite l’ajout d’un enregistrement TXT DNS (que vous trouverez dans les paramètres de votre service d’emailing) à votre fournisseur DNS. Pour les signatures DKIM, le processus est similaire : copiez l’enregistrement DKIM fourni par votre service d’emailing, et collez-le dans le fichier TXT DNS, dans les paramètres de votre fournisseur DNS.

Configuration d’un groupe ou d’une boîte de réception pour les rapports

Les rapports XML qui suivent les emails vers chaque destination et chaque fournisseur d’accès à Internet vont s’accumuler rapidement. Vous aurez donc besoin d’une boîte de réception indépendante des autres adresses que vous utilisez. Les petites structure peuvent recevoir quelques rapports et les grandes entreprises, plusieurs milliers. Vous pouvez également confier la gestion et le décodage de ces rapports à un service tiers.

Audit de vos domaines d’expédition

Même un grand maître international des échecs aura du mal à mémoriser une liste d’adresses IP. Par conséquent, lorsque vos rapports DMARC commenceront à arriver, vous voudrez disposer d’une liste de vos domaines d’expédition afin de pouvoir identifier les faux domaines parmi les domaines authentiques.

La fonction de gestion des domaines est un processus d’audit des domaines. Exécuter cette étape en premier vous permettra de gagner beaucoup de temps et d’éviter bien des tracas, en particulier pour les grandes organisations les équipes collaborent régulièrement de façon transversales. Heureusement, nos amis de dmarcian ont conçu cette vidéo pratique sur la gestion de projets DMARC.


 

2. Sélection d’une politique

Avant, les services de messagerie décidaient seuls du sort de vos emails. Vous pouvez désormais prendre les rênes en définissant une politique d’authentification. Vous indiquez ainsi à Microsoft quoi faire lorsqu’un message provenant de votre nom de domaine ne correspond pas à l’enregistrement DMARC. Votre politique est ainsi comparable à un feu de signalisation : elle passe du vert (none) à l’orange (quarantine) et enfin au rouge (reject).

None

La balise p=none ne modifie pas votre dispositif existant : le service de messagerie transmet le message au destinataire comme d’habitude. Il s’agit d’un bon point de départ, puisque vous pouvez contrôler les rapports DMARC initiaux en mode sécurisé.

N’oubliez pas que la norme BIMI ne prend pas en charge les politiques DMARC lorsque la balise p= est réglée sur none.

Quarantine

En 2022, nous savons désormais ce que signifie la mise en place d’une politique de quarantaine. Dans le cadre du protocole DMARC, cela signifie que les emails non qualifiés sont envoyés dans le dossier du spam, dans la mesure où leur origine n’a pas été établie avec certitude.

Reject

La balise p=reject est l’objectif final du protocole DMARC. La mise en quarantaine est un bon début, mais vous ne voulez pas que les emails usurpés restent éternellement dans le dossier de spam de vos clients. Cela dit, si vous appliquez cette politique trop tôt, des emails légitimes risquent d’être rejetés. Vous ne devez donc activer la politique reject qu’après avoir parcouru vos rapports (reportez-vous à la cinquième étape) dans les moindres détails.

Volume

Pour contrôler le flux de votre déploiement d’authentification, le mieux est de n’appliquer votre politique qu’à un petit pourcentage de vos messages pour commencer, en utilisant la balise pct=5.

Le chiffre cinq (5) représente 5 % du nombre total de messages envoyés depuis votre domaine. Tenez compte du temps et des ressources dont vous disposez, ainsi que de votre goût du risque lorsque vous définissez cette valeur. Commencer petit et augmenter progressivement cette valeur est l’approche la plus sûre. Le volume d’authentification par défaut sera de 100 % si vous n’ajoutez pas cette balise.

3. Publication des enregistrements TXT

Maintenant que vous avez défini votre politique DMARC, il est temps de l’activer.

  • Allez dans les paramètres DNS de votre hôte de domaine, dans la console de gestion.
  • Saisissez le nom d’enregistrement _dmarc.yourdomain.com sous le nom d’hôte DNS.
  • Saisissez votre enregistrement DMARC sous la valeur de l’enregistrement DNS (reportez-vous à la rubrique « Analyse de l’enregistrement ci-dessus »).
  • Enregistrez les modifications.

 

4. Analyse de vos rapports

Vous avez maintenant mis en place un enregistrement DMARC et vous commencez à recevoir des rapports. Ces données vous permettent d’identifier les messages qui réussissent ou échouent aux authentifications SPF et DKIM. Voici ce à quoi ressemblent les rapports DMARC bruts en XML :

Un exemple de rapport DMARC en XML

Remarque : cet enregistrement a été reformulé.
 
Les fichiers XML (Extensible Markup Language) comme celui-ci sont vraiment conçus pour la lecture automatique et peuvent être difficiles et longs à analyser par les humains. Plusieurs méthodes permettent de rendre ces rapports plus clairs :

 

Un exemple de rapport DMARC sous tabulaire

Nous ne sommes pas des robots et nous préférons le format tabulaire pour nos rapports.
 
Tout cela semble compliqué, mais vous allez voir, c’est en fait assez simple. Les adresses IP de la colonne de gauche sont les nôtres. Il est cependant peu probable que vous vous souveniez de toutes les adresses IP de vos applications tierces. Il existe un processus en trois étapes pour traiter ces flux d’emails.

  • Évaluation : vérifiez les adresses IP de vos expéditeurs et comparez-les aux adresses IP figurant dans vos rapports.
  • Correction : ajoutez des enregistrements DMARC à toutes les sources d’expédition vérifiées.
  • Maintenance : assurez-vous de la réussite du déploiement. Si le déploiement a échoué, commencez le dépannage.

 

5. Déploiement progressif de la stratégie

La politique DMARC (p=) que vous avez choisie devrait passer tour à tour de p=none à p=quarantine et enfin p=reject, comme un feu de signalisation. Cela vous donne le temps de collecter des données et d’analyser méthodiquement vos rapports quotidiens. Voici ce à quoi un déploiement sûr devrait ressembler :

v=DMARC1; p=none; pct=100; rua=mailto:postmaster@mailgun.com;

À partir de cet enregistrement, les messages sont distribués normalement et des rapports sont émis par le FAI, ce qui vous permet d’identifier les expéditeurs sûrs sur votre domaine. Il vous faudra environ 6 semaines pour collecter les données avant de passer à l’étape suivante :

v=DMARC1; p=quarantine; pct=5; rua=mailto:postmaster@mailgun.com;

Augmentez la valeur de la balise pct= au fur et à mesure que vous recueillez des informations jusqu’à ce que vous atteigniez 100 %. Une fois que vous avez vérifié les messages mis en quarantaine, passez à l’étape suivante :

v=DMARC1; p=reject; pct=5; rua=mailto:postmaster@mailgun.com;

Augmentez doucement la valeur de la balise pct= et assurez-vous que tous les emails légitimes arrivent dans la boîte de réception jusqu’à ce que vous atteignez 100 %. Félicitations, vous avez mis en application le protocole DMARC avec succès et en toute sécurité !

Pour en savoir plus au sujet du protocole DMARC, écoutez les experts Ash Morin de dmarcian et Kate Nowrouzi, VP de la délivrabilité chez Mailgun, dans de notre podcast – Email’s Not Dead (disponible en anglais seulement).

Utilisation du protocole DMARC avec Mailjet

Mailjet anticipe vos besoins en matière d’authentification des emails en exigeant des enregistrements DKIM et SPF par défaut avant même que vous commenciez vos envois. Par conséquent, si vous utilisez déjà Mailjet, il ne vous reste plus qu’une pièce à placer pour compléter le puzzle de l’authentification avec le protocole DMARC. Ce processus peut également améliorer d’autres aspects de votre programme d’emailing, comme l’identification des adresses IP sûres avec la fonction de gestion des domaines.

Mais l’histoire ne s’arrête pas là. Un FAI peut toujours envoyer vos messages dans les spams si vous ne respectez pas les bonnes pratiques en matière d’envoi d’emails. Alors pourquoi s’arrêter en si bon chemin ? Découvrez ces bonnes pratiques de délivrabilité et de sécurité afin que vos emails n’arrivent plus en spam, et abonnez-vous à notre newsletter pour recevoir chaque semaine ces conseils mis à jour, directement dans votre boîte de réception !

Authentification des emails avec le protocole DMARC
Protégez votre entreprise contre les emails frauduleux. Recevez les dernières astuces concernant le protocole DMARC, pour ne plus vous soucier plus des tentatives d’hameçonnage.

S’inscrire