MAJ | État des lieux de l’usage de DMARC dans les entreprises du TOP 100 E-Commerce

La protection des noms de domaine est actuellement un problème majeur pour tout acteur envoyant des e-mails à ses utilisateurs. La mise en place de DMARC permet d’avoir de la visibilité sur le trafic sortant de vos domaines grâce aux rapports d’authentification fournis par certaines messageries. Je vous propose ici d’analyser les enregistrements DMARC des entreprises du TOP 100 E-Commerce. Certes, les données analysées ne sont pas des plus récentes cependant elles montreront une évolution sur la gestion des noms de domaine et en particulier leur sécurité.

Petit rappel sur la méthodo de notre analyse DMARC

Comme pour l’étude que nous avions mis à jour en décembre dernier sur l’État des lieux de l’usage de DMARC dans les entreprises du CAC40 !, nous avons recueilli :

• l’enregistrement DMARC,
• la politique de rejet,
• la ou les solutions de monitoring DMARC utilisées,
• les politiques d’alignement SPF & DKIM (j’ai mis de côté les enregistrements SPF pour un prochain article) des entreprises du TOP 100 E-Commerce.

Je me suis basé sur le classement fourni lors de l’étude de ECN / Similarweb datant du 2ème semestre de 2019. L’objectif ici est de voir l’évolution de DMARC entre les enregistrements que j’avais récupéré et analysé en juillet 2020 et ceux d’avril 2022. Ne seront pas étudiés ici les domaines utilisés à des fins marketing.

Je vous mets ci-dessous la liste des entreprises et leur domaine qui ont été analysées : Liste du TOP 100 E-Commerce S2 2019.

Quel est l’usage de DMARC parmi ces entreprises du E-Commerce ?

En analysant les données de juillet 2020 et avril 2022, on s’aperçoit que le taux d’usage de DMARC a considérablement augmenté. 22 entreprises ont franchi un cap en publiant un enregistrement DMARC sur leur domaine principal !

Parmi les 25 entreprises n’ayant pas encore déployé d’enregistrement DMARC sur le domaine principal, on trouve notamment : VENTES PRIVÉES, DARTY, SNCF CONNECT, CARREFOUR, RUE DU COMMERCE…

Vous les trouverez en rouge dans la liste suivante : Liste du TOP 100 E-Commerce S2 2019.

Quelles sont les politiques DMARC déployées dans le Top 100 E-commerce ?

Là encore, si l’on compare les chiffres de juillet 2020 et avril 2022, on remarque que beaucoup d’entreprises ont durci leur politique DMARC passant de none à reject. D’ailleurs cette politique DMARC reject a connu une augmentation de 20% en quasi 2 ans… Chapeau !

Il y a bien eu une belle prise de conscience de la part de ces entreprises à améliorer la sécurité de leur nom de domaine.

Mettons à l’honneur les entreprises suivantes qui ont déployé une politique DMARC reject : LEROY MERLIN, RAKUTEN, AIR FRANCE, BON PRIX, LDLC, RYANAIR, AROMA ZONE.

Vous trouverez la liste des entreprises ayant déployé une politque DMARC reject en vert ci-après : Liste du TOP 100 E-Commerce S2 2019

Quelles sont les solutions de monitoring utilisées ?

Plusieurs points majeurs remontent quand on compare les données entre juillet 2020 et avril 2022 sur les solutions de monitoring :

• 50% des adresses déclarées dans les tag RUA sont internes à l’entreprise. Ce qui représente une augmentation significative de quasi 39% ! Reste à savoir si ces rapports sont réellement analysés et ne sont pas juste mis de côté…
• Proofpoint perd du terrain mais reste la solution la plus utilisée avec 14% (comme pour les entreprises du CAC 40). Très certainement dû à son utilisation comme filtre Anti-Spam d’entreprises (j’ai pu constater ça lors d’analyses dues à des blocages de domaines BtoB).
• Plusieurs solutions spécialisées dans l’analyse de rapports DMARC font leur apparition : DMARC ANALYSER, EASY DMARC, DMARCIAN, POSTMARK DMARC, POSTMASTERY, MEROX, DMARC ADIVOR, EVEREST. Celles-ci restent toutefois très minoritaires.
• 9 entreprises ont l’air d’utiliser plus de 2 solutions (2 adresses distinctes déclarées dans le tag RUA).
• 4 entreprises n’ont pas déclaré de tag RUA (cf. on déclare ici l’adresse qui recevra les rapports DMARC). Ce qui implique qu’elles n’ont aucune information sur les flux e-mails transitant sur leur domaine !

Pour rappel, les rapports DMARC envoyés par certaines messageries permettent d’obtenir un compte-rendu d’authentification de tous les flux e-mails d’un domaine et ses sous-domaines. Les objectifs sont doubles. A savoir : détecter des flux légitimes mal configurés (et donc à corriger) vs. détecter des flux non-légitimes (et donc à traiter).

Pour en savoir plus sur DMARC, n’hésitez pas à consulter les articles que j’ai publiés sur le sujet :

• Et si vous déployez DMARD sur votre domaine ?
• Que cache un rapport DMARC ?
• Livre blanc : Comment déployez DMARC ?

Le bon vs. le moins bon élève !

L’objectif ici est mettre en valeur l’entreprise qui fait le mieux les choses et celle qui a grand besoin de s’améliorer… Attention toutefois, ceci n’est pas figée dans le temps, le moins bon élève d’aujourd’hui sera peut-être le bon élève de demain (souhaitons-le) et inversement (ne le souhaitons pas) !

(+) Aroma Zone : une politique DMARC reject et une politique d’alignement SPF & DKIM strict ! De plus, l’enregistrement SPF est strict ! {cf. La Palme d’Or}

(-) SNCF Connect : aucun enregistrement DMARC et aucun enregistrement SPF trouvé sur leur domaine. {cf. Le Bonne d’âne}

Note : Pour définir le bon élève, je me suis basé sur la politique DMARC déployée, les alignements SPF & DKIM et si besoin l’enregistrement SPF.

En conclusion de cette analyse DMARC du top 100 E-commerce

Finalement, je reste plutôt agréablement surpris de mes analyses car en moins de 2 ans, l’implémentation de DMARC a très fortement progressé. Les mentalités ont également bien changé. Le passage vers une politique DMARC reject en est la preuve. Je serai curieux de savoir ce que ça donnera dans plusieurs mois ! Rendez-vous d’ici la fin de l’année pour une nouvelle MAJ !

Badsender vous accompagne dans votre déploiement DMARC

Le déploiement de DMARC n’est pas à réaliser « à la légère ». C’est plus que simplement ajouter un nouvel enregistrement DNS. Badsender accompagne ses clients dans la sécurisation de leurs flux emails via DMARC :

1. Mise en place d’une solution de monitoring DMARC : configuration des noms de domaines, création de filtres et de tableaux de bords dans l’outil de monitoring, création d’alertes automatisées, …
2. Audit des flux emails : vérification de l’authentification des différents flux, validation de l’alignement des noms de domaines, détection des flux illégitimes, …
3. Mise en conformité des différentes sources d’emails : montée en compétence des équipes, validation de modifications effectuées, …
4. Passage progressif à une policy=reject : une fois un niveau de conformité acceptable atteint, passage progressive en politique de rejet.
5. Configuration de BIMI

La philosophie de travail de Badsender est de vous apporter les outils, mais surtout les compétences afin que vous équipes puissent devenir autonomes sur le sujet de DMARC. Après une phase active de déploiement de DMARC, nous restons disponibles au besoin sous forme de support dédié.

N’hésitez pas à partager, liker, commenter… Bref, faites du bruit !!!!!