Délivrabilité email : Implémenter DMARC pour protéger vos domaines !

Partager sur facebook
Partager sur twitter
Partager sur linkedin
Partager sur email

Beaucoup de monde me pose la question de savoir s’ils doivent implémenter DMARC ou non et surtout à quoi ça sert réellement (et si ceci leur servira)… La réponse est ci-dessous 🙂

DMARC, vous avez dit DMARC ?

Qu’est-ce que c’est ?

DMARC (Domain-based Message Authentication, Reporting and Conformance) est une norme (ou une spécification technique) qui permet de surveiller les problèmes liés à l’authentification des e-mails et à l’usage abusif des noms de domaine.

L’objectif de cette norme est de lutter plus efficacement contre le spam et le phishing (cf. usurpation d’identité). Elle utilise les systèmes d’authentification SPF / DKIM.

Comment ça fonctionne ?

Le fonctionnement est assez simple mais il demande une maitrise technique pour son implémentation. Le schéma suivant a pour but de résumer et simplifier au maximum le fonctionnement de DMARC :

  1. Un annonceur envoie une campagne de masse (ou un message transactionnel).
  2. Le filtre Anti-Spam analyse la réputation de l’annonceur (réputation IP, réputation de domaines, vérification sur les listes noires internes/externes). Si celle-ci est mauvaise, le message sera refusé. Si celle-ci est bonne, le message sera accepté et passera au point 3.
  3. Le filtre Anti-Spam va vérifier les systèmes d’authentification et en cas d’échec va appliquer la règle de sécurité en concordance avec la déclaration faite dans le tag « p ». Il existe 3 paramétrages possibles :
    • P=none ; aucune règle ne sera appliqué, le message sera accepté.
    • P=quarantine ; le message sera tagué comme spam et sera délivré en spam
    • P=reject ; le message sera refusé automatiquement.
      Les règles DMARC ne s’appliquent que si le FAI/Webmails applique DMARC dans sa politique de sécurité. L’interprétation de “quarantine” et “reject” peut varier de l’un à l’autre.
  4. Si le message passe les règles DMARC, il sera confronté aux dernières règles de filtrage (analyse du contenu, liste verte, etc.)

Comment l’implémenter ?

Les pre-requis

Pour que DMARC soit efficace, il vous faudra paramétrer les systèmes d’authentification SPF et DKIM et bien sûr que vous soyez le propriétaire du domaine (on favorisera l’implémentation de DMARC sur le domaine principal, ce qui permettra de protéger également les sous-domaines).

  • Petit rappel de SPF : Sender Policy Framework permet de déclarer dans l’enregistrement TXT du domaine (ou sous-domaine) les IP autorisées à envoyer des e-mails.
  • Petit rappel de DKIM : DomainKey Identified Mail permet de signer grâce à une signature cryptographique (clé publique – clé privée) un message et de s’assurer que celui-ci ne soit intercepté/modifié durant sa livraison.

Donc, avant de vous lancer dans l’implémentation de DMARC, soyez bien sûr que SPF et DKIM soient correctement implémentés.

N’hésitez pas à utiliser les outils suivants pour le vérifier :

L’implémentation

L’implémentation reste simple, il suffit de paramétrer le tag dans l’enregistrement TXT du domaine.

Le tag est composé d’éléments « obligatoires » :

  • v : définit la version du protocole
  • p : définit la règle de sécurité applicable (valeurs « none », « quarantine », « reject »)

Mais il peut être composé d’éléments « facultatifs » :

  • pct : définit le pourcentage qui sera soumis au filtrage
  • rua : définit l’adresse e-mail qui recevra le rapport DMARC
  • sp : définit la règle applicable aux sous-domaines du domaine
  • aspf : définit l’alignement pour SPF (valeurs « s » pour strict, « r » pour relaxed ou assoupli)
  • adkim : définit l’alignement pour DKIM (valeurs « s » pour strict, « r » pour relaxed ou assoupli)

Points de vigilance

  • Avant d’installer DMARC sur un domaine (ou sous-domaine), soyez sûr que tout ancien paramétrage (SPF/DKIM/DMARC) soit supprimé, ceci afin d’éviter les doublons ou les rejets suite à un paramétrage « strict » ou à un oubli dans la déclaration SPF.
  • Procéder à un paramétrage optimal de DMARC en 10 semaines afin de s’assurer que tout est ok avant d’appliquer un niveau de sécurité maximum.
    • 1ère semaine : paramétrage à « none ».
    • 2ème semaine : paramétrage à « quarantine » à 5%
    • 3ème semaine : paramétrage à « quarantine » à 15%
    • 4ème semaine : paramétrage à « quarantine » à 25%
    • 5ème semaine : paramétrage à « quarantine » à 50%
    • 6ème semaine : paramétrage à « quarantine » à 100%
    • 7ème semaine : paramétrage à « reject » à 5%
    • 8ème semaine : paramétrage à « reject » à 15%
    • 9ème semaine : paramétrage à « reject » à 25%
    • 10ème semaine : paramétrage à « reject » à 50%
    • 11ème semaine : paramétrage à « reject » à 100%
  • Appliquer DMARC sur le domaine principal pour protéger tout le domaine (et ses sous-domaines). Ne pas oublier d’inclure dans SPF, toutes les IP autorisées à router des e-mails avec le domaine (cf. IP du routeur professionnel si vous en utilisez un).

Conclusion

Vous n’avez plus d’excuses à présent pour ne plus protéger vos noms de domaines. Et ceci pourrait même vous donner des points positifs pour votre réputation 😉

A noter que La Poste (depuis juin 2017) vérifie dorénavant DMARC et applique les règles de sécurité (première en France).

Sources :

 

Badsender vous accompagne dans votre déploiement DMARC

Le déploiement de DMARC n’est pas à réaliser “à la légère”. C’est plus que simplement ajouter un nouvel enregistrement DNS. Badsender accompagne ses clients dans la sécurisation de leurs flux emails via DMARC :

  1. Mise en place d’une solution de monitoring DMARC : configuration des noms de domaines, création de filtres et de tableaux de bords dans l’outil de monitoring, création d’alertes automatisées, …
  2. Audit des flux emails : vérification de l’authentification des différents flux, validation de l’alignement des noms de domaines, détection des flux illégitimes, …
  3. Mise en conformité des différentes sources d’emails : montée en compétence des équipes, validation de modifications effectuées, …
  4. Passage progressif à une policy=reject : une fois un niveau de conformité acceptable atteint, passage progressive en politique de rejet.
  5. Configuration de BIMI

La philosophie de travail de Badsender est de vous apporter les outils, mais surtout les compétences afin que vous équipes puissent devenir autonomes sur le sujet de DMARC. Après une phase active de déploiement de DMARC, nous restons disponibles au besoin sous forme de support dédié.

Partager sur facebook
Partager sur twitter
Partager sur linkedin
Partager sur email

Contactez l'auteur de l'article

Réponses

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

  1. […] une aide technique ! Ne vous laisser pas avoir… C’est peut être aussi le moment de penser à implémenter DMARC pour vous protéger, non […]

Newsletter