DMARC : Comment protéger votre réputation par email

Oiseau

13 avr. 2016

Email

1 min read

DMARC : Comment protéger votre réputation par email

Oiseau

13 avr. 2016

Email

1 min read

DMARC : Comment protéger votre réputation par email

Dans cet article, nous vous dirons tout ce que vous devez savoir sur l'utilisation de DMARC pour protéger votre réputation par e-mail, et nous vous donnerons des conseils sur la façon de l'installer pour vos domaines.

Un outil efficace pour lutter contre le courrier frauduleux

Souvent mentionné dans le même souffle que les protocoles d'authentification d'email SPF et DKIM, DMARC, ou Domain-based Message Authentication, Reporting, and Conformance, n'est pas en lui-même un protocole d'authentification. Au lieu de cela, le but de DMARC est de permettre aux propriétaires de domaine de protéger notre réputation d'email en :

  • Annonçant des pratiques d'authentification d'email,

  • Demandant un traitement pour le courrier qui échoue aux vérifications d'authentification, et

  • Sollicitant des rapports sur le courrier prétendant provenir de son domaine.


DMARC peut être un outil efficace pour nous aider dans notre lutte contre les courriers frauduleux qui ciblent notre nom de domaine (par exemple, phishing et usurpation), et qui peuvent promouvoir une plus grande confiance parmi nos destinataires pour notre courrier. Pour les organisations nécessitant un cryptage de bout en bout au-delà de l'authentification, la mise en œuvre de S/MIME avec des méthodes efficaces de collecte de clés publiques des destinataires fournit des couches supplémentaires de sécurité. Cette confiance accrue devrait, en retour, conduire à un engagement plus élevé avec notre courrier, et le courrier qui est ouvert et génère des clics stimule les ventes et le retour sur investissement pour nos campagnes par email.

En plus de protéger notre domaine, nous prévoyons que la mise en œuvre de DMARC maintenant sera une excellente façon de "préparer notre domaine pour l'avenir". Ici chez Bird, nous pensons que, à mesure que l'industrie passe à IPv6, elle est presque certaine de passer d'un modèle de réputation basé sur l'IP à un modèle de réputation basé sur le domaine. La réputation basée sur le domaine nécessitera une authentification basée sur le domaine, et DMARC, de concert avec DKIM et SPF, aidera les domaines à établir une réputation basée sur le domaine bien avant qu'elle ne soit absolument nécessaire.

Dans cet article, nous vous dirons tout ce que vous devez savoir sur l'utilisation de DMARC pour protéger votre réputation d'email et vous donner des conseils sur la manière de le configurer pour vos domaines.

Termes à connaître

Avant de commencer à configurer DMARC pour votre domaine, nous voulons nous assurer que nous parlons la même langue. Commençons par définir certains termes que nous utiliserons tout au long de ce document.

RFC5322.From Domain

Le RFC5322.FromDomain est la partie domaine de l'adresse email qui est généralement vue par un destinataire de notre email lorsqu'il est lu. Dans l'exemple suivant, le RFC5322.From domaine est "joesbaitshop.com"

De : Joe’s Bait and Tackle <sales@joesbaitshop.com>

DKIM d= Domaine

DKIM est un protocole d'authentification qui permet à un domaine de se porter responsable d'un message de manière à pouvoir être validée par le destinataire du message ; cela se fait par l'utilisation de signatures cryptographiques insérées dans les en-têtes du message lors de sa sortie de son point d'origine. Ces signatures sont effectivement des instantanés de l'aspect du message à ce moment-là et le destinataire peut utiliser ces instantanés pour voir si le message est arrivé inchangé à sa destination. Le processus de production et d'insertion de ces instantanés est appelé signature DKIM, et le domaine qui se porte responsable du message en le signant insère son nom dans l'en-tête dans une balise clé-valeur comme "d=signingDomain", et il est donc appelé le domaine DKIM d=.

Return-Path Domain

Le domaine Return-Path, parfois appelé le RFC5321. From Domain ou le Mail From domaine, est le domaine auquel les rebonds sont routés ; c'est également le domaine sur lequel les vérifications SPF sont effectuées pendant la transaction de courrier électronique. Ce domaine n'est généralement pas visible par le destinataire sauf si le destinataire est suffisamment expérimenté pour regarder tous les en-têtes dans un message donné.

Par défaut, tout le courrier envoyé par bird.com aura birdmail.com comme son domaine Return-Path, comme dans l'exemple suivant :

Return-Path: <msprvs1=16880EmYZo7L3=bounces-2785@birdmail1.com>

Cependant, afin de faire fonctionner DMARC pour votre domaine, vous voudrez profiter d'un domaine de rebond personnalisé, un qui se terminera dans le même domaine que votre domaine d'envoi, par exemple, bounces.votredomaine.com lorsque vous utilisez votredomaine.com comme votre domaine d'envoi.

Domaine Organisationnel

Le terme "Domaine Organisationnel" fait référence au domaine qui a été soumis à un registrar pour créer la présence du domaine sur internet. Pour Bird, nos domaines organisationnels sont bird.com et birdmail.com.

Alignement de Domaine

Le dernier terme à comprendre concernant DMARC est "Alignement de Domaine", et il existe en deux variantes : "relaxé" et "strict".

Alignement de Domaine Relaxé

Deux domaines sont dits en alignement de domaine relaxé lorsque leurs domaines organisationnels sont les mêmes. Par exemple, a.mail.bird.com et b.foo.bird.com ont un alignement de domaine relaxé en raison de leur domaine organisationnel commun, bird.com.

Alignement de Domaine Strict

Deux domaines sont dits en alignement de domaine strict si et seulement s'ils sont identiques. Ainsi, foo.bird.com et foo.bird.com sont en alignement strict, car les deux domaines sont identiques. D'un autre côté, foo.bird.com et bar.foo.bird.com ne sont qu'en alignement relaxé.

Exigences d'Alignement de Domaine DMARC

Pour que les vérifications de validation DMARC passent, DMARC exige qu'il y ait un alignement de domaine comme suit :

  • Pour SPF, le domaine RFC5322.From et le domaine Return-Path doivent être en alignement

  • Pour DKIM, le domaine RFC5322.From et le domaine DKIM d= doivent être en alignement

L'alignement peut être relaxé ou strict, selon la politique publiée du domaine d'envoi.

Avant de commencer à configurer DMARC pour votre domaine, nous voulons nous assurer que nous parlons la même langue. Commençons par définir certains termes que nous utiliserons tout au long de ce document.

RFC5322.From Domain

Le RFC5322.FromDomain est la partie domaine de l'adresse email qui est généralement vue par un destinataire de notre email lorsqu'il est lu. Dans l'exemple suivant, le RFC5322.From domaine est "joesbaitshop.com"

De : Joe’s Bait and Tackle <sales@joesbaitshop.com>

DKIM d= Domaine

DKIM est un protocole d'authentification qui permet à un domaine de se porter responsable d'un message de manière à pouvoir être validée par le destinataire du message ; cela se fait par l'utilisation de signatures cryptographiques insérées dans les en-têtes du message lors de sa sortie de son point d'origine. Ces signatures sont effectivement des instantanés de l'aspect du message à ce moment-là et le destinataire peut utiliser ces instantanés pour voir si le message est arrivé inchangé à sa destination. Le processus de production et d'insertion de ces instantanés est appelé signature DKIM, et le domaine qui se porte responsable du message en le signant insère son nom dans l'en-tête dans une balise clé-valeur comme "d=signingDomain", et il est donc appelé le domaine DKIM d=.

Return-Path Domain

Le domaine Return-Path, parfois appelé le RFC5321. From Domain ou le Mail From domaine, est le domaine auquel les rebonds sont routés ; c'est également le domaine sur lequel les vérifications SPF sont effectuées pendant la transaction de courrier électronique. Ce domaine n'est généralement pas visible par le destinataire sauf si le destinataire est suffisamment expérimenté pour regarder tous les en-têtes dans un message donné.

Par défaut, tout le courrier envoyé par bird.com aura birdmail.com comme son domaine Return-Path, comme dans l'exemple suivant :

Return-Path: <msprvs1=16880EmYZo7L3=bounces-2785@birdmail1.com>

Cependant, afin de faire fonctionner DMARC pour votre domaine, vous voudrez profiter d'un domaine de rebond personnalisé, un qui se terminera dans le même domaine que votre domaine d'envoi, par exemple, bounces.votredomaine.com lorsque vous utilisez votredomaine.com comme votre domaine d'envoi.

Domaine Organisationnel

Le terme "Domaine Organisationnel" fait référence au domaine qui a été soumis à un registrar pour créer la présence du domaine sur internet. Pour Bird, nos domaines organisationnels sont bird.com et birdmail.com.

Alignement de Domaine

Le dernier terme à comprendre concernant DMARC est "Alignement de Domaine", et il existe en deux variantes : "relaxé" et "strict".

Alignement de Domaine Relaxé

Deux domaines sont dits en alignement de domaine relaxé lorsque leurs domaines organisationnels sont les mêmes. Par exemple, a.mail.bird.com et b.foo.bird.com ont un alignement de domaine relaxé en raison de leur domaine organisationnel commun, bird.com.

Alignement de Domaine Strict

Deux domaines sont dits en alignement de domaine strict si et seulement s'ils sont identiques. Ainsi, foo.bird.com et foo.bird.com sont en alignement strict, car les deux domaines sont identiques. D'un autre côté, foo.bird.com et bar.foo.bird.com ne sont qu'en alignement relaxé.

Exigences d'Alignement de Domaine DMARC

Pour que les vérifications de validation DMARC passent, DMARC exige qu'il y ait un alignement de domaine comme suit :

  • Pour SPF, le domaine RFC5322.From et le domaine Return-Path doivent être en alignement

  • Pour DKIM, le domaine RFC5322.From et le domaine DKIM d= doivent être en alignement

L'alignement peut être relaxé ou strict, selon la politique publiée du domaine d'envoi.

Avant de commencer à configurer DMARC pour votre domaine, nous voulons nous assurer que nous parlons la même langue. Commençons par définir certains termes que nous utiliserons tout au long de ce document.

RFC5322.From Domain

Le RFC5322.FromDomain est la partie domaine de l'adresse email qui est généralement vue par un destinataire de notre email lorsqu'il est lu. Dans l'exemple suivant, le RFC5322.From domaine est "joesbaitshop.com"

De : Joe’s Bait and Tackle <sales@joesbaitshop.com>

DKIM d= Domaine

DKIM est un protocole d'authentification qui permet à un domaine de se porter responsable d'un message de manière à pouvoir être validée par le destinataire du message ; cela se fait par l'utilisation de signatures cryptographiques insérées dans les en-têtes du message lors de sa sortie de son point d'origine. Ces signatures sont effectivement des instantanés de l'aspect du message à ce moment-là et le destinataire peut utiliser ces instantanés pour voir si le message est arrivé inchangé à sa destination. Le processus de production et d'insertion de ces instantanés est appelé signature DKIM, et le domaine qui se porte responsable du message en le signant insère son nom dans l'en-tête dans une balise clé-valeur comme "d=signingDomain", et il est donc appelé le domaine DKIM d=.

Return-Path Domain

Le domaine Return-Path, parfois appelé le RFC5321. From Domain ou le Mail From domaine, est le domaine auquel les rebonds sont routés ; c'est également le domaine sur lequel les vérifications SPF sont effectuées pendant la transaction de courrier électronique. Ce domaine n'est généralement pas visible par le destinataire sauf si le destinataire est suffisamment expérimenté pour regarder tous les en-têtes dans un message donné.

Par défaut, tout le courrier envoyé par bird.com aura birdmail.com comme son domaine Return-Path, comme dans l'exemple suivant :

Return-Path: <msprvs1=16880EmYZo7L3=bounces-2785@birdmail1.com>

Cependant, afin de faire fonctionner DMARC pour votre domaine, vous voudrez profiter d'un domaine de rebond personnalisé, un qui se terminera dans le même domaine que votre domaine d'envoi, par exemple, bounces.votredomaine.com lorsque vous utilisez votredomaine.com comme votre domaine d'envoi.

Domaine Organisationnel

Le terme "Domaine Organisationnel" fait référence au domaine qui a été soumis à un registrar pour créer la présence du domaine sur internet. Pour Bird, nos domaines organisationnels sont bird.com et birdmail.com.

Alignement de Domaine

Le dernier terme à comprendre concernant DMARC est "Alignement de Domaine", et il existe en deux variantes : "relaxé" et "strict".

Alignement de Domaine Relaxé

Deux domaines sont dits en alignement de domaine relaxé lorsque leurs domaines organisationnels sont les mêmes. Par exemple, a.mail.bird.com et b.foo.bird.com ont un alignement de domaine relaxé en raison de leur domaine organisationnel commun, bird.com.

Alignement de Domaine Strict

Deux domaines sont dits en alignement de domaine strict si et seulement s'ils sont identiques. Ainsi, foo.bird.com et foo.bird.com sont en alignement strict, car les deux domaines sont identiques. D'un autre côté, foo.bird.com et bar.foo.bird.com ne sont qu'en alignement relaxé.

Exigences d'Alignement de Domaine DMARC

Pour que les vérifications de validation DMARC passent, DMARC exige qu'il y ait un alignement de domaine comme suit :

  • Pour SPF, le domaine RFC5322.From et le domaine Return-Path doivent être en alignement

  • Pour DKIM, le domaine RFC5322.From et le domaine DKIM d= doivent être en alignement

L'alignement peut être relaxé ou strict, selon la politique publiée du domaine d'envoi.

Comment DMARC Works to Protect Your Email Reputation

Lorsque nous parlons d'un fournisseur de boîtes aux lettres ou d'un autre domaine « vérifiant DMARC », ou « validant DMARC », ou « appliquant la politique DMARC », ce que nous voulons dire c'est que le domaine recevant un message effectue les étapes suivantes :

  1. Déterminer le domaine RFC5322.From du message

  2. Rechercher la politique DMARC de ce domaine dans le DNS

  3. Effectuer la validation de la signature DKIM

  4. Effectuer la validation SPF

  5. Vérifier l'alignement du domaine

  6. Appliquer la politique DMARC


Pour qu'un message réussisse la validation DMARC, il doit réussir seulement l'un des deux contrôles d'authentification et d'alignement. Ainsi, un message passera la validation DMARC si l'une des conditions suivantes est vraie :

  • Le message réussit les contrôles SPF et le domaine RFC5322.From et le domaine Return-Path sont alignés, ou

  • Le message réussit la validation DKIM et le domaine RFC5322.From et le domaine DKIM d= sont alignés, ou

  • Les deux conditions ci-dessus sont vraies

Faire fonctionner DMARC pour votre domaine

Maintenant que nous avons expliqué le fonctionnement de DMARC, parlons de la façon de faire fonctionner DMARC pour nous, ce qui implique les trois étapes suivantes :

  1. Préparer la réception des rapports DMARC

  2. Décider quelle politique DMARC utiliser pour votre domaine

  3. Publier votre enregistrement DMARC

Nous couvrirons chacun de ces points en détail ci-dessous, mais nous vous dirons tout de suite que l'étape 1 ci-dessus consommera environ 95 % de votre temps de préparation.

Préparation à la réception des rapports DMARC

Tout domaine qui publie une politique DMARC doit d'abord se préparer à recevoir des rapports concernant son domaine. Ces rapports seront générés par tout domaine qui effectue une validation DMARC et voit des courriels prétendant provenir de notre domaine, et nous seront envoyés au moins quotidiennement. Les rapports se présenteront sous deux formats :

  • Rapports agrégés, qui sont des documents XML montrant des données statistiques sur le volume de courriels vus par le rapporteur de chaque source, quels étaient les résultats d'authentification, et comment les messages ont été traités par le rapporteur. Les rapports agrégés sont conçus pour être parsés par machine, avec leurs données stockées quelque part afin de permettre une analyse globale du trafic, l'audit des flux de messages de notre domaine, et peut-être l'identification de tendances dans les sources de courriel non authentifié et potentiellement frauduleux.

  • Rapports médico-légaux, qui sont des copies individuelles de messages qui ont échoué à l'authentification, chacun étant inclus dans un message complet utilisant un format appelé AFRF. Les rapports médico-légaux sont censés contenir des en-têtes complets et des corps de message, mais beaucoup de rapporteurs enlèvent ou censurent certaines informations en raison de préoccupations concernant la vie privée. Néanmoins, le rapport médico-légal peut toujours être utile à la fois pour résoudre les problèmes d'authentification de notre propre domaine et pour identifier, à partir d'URIs dans les corps de message, des domaines malveillants et des sites utilisés pour frauder les clients du propriétaire de notre domaine.


La préparation à la réception de ces rapports implique tout d'abord de créer deux boîtes aux lettres dans notre domaine pour gérer ces rapports, telles que agg_reports@ourdomain.com et afrf_reports@ourdomain.com. Notez que ces noms de boîte aux lettres sont complètement arbitraires, et il n'y a pas d'exigences pour le nommage de la partie locale de la boîte aux lettres ; nous sommes libres de choisir les noms que nous souhaitons, mais il est préférable de garder les deux séparées pour un traitement plus facile.

Une fois les noms de boîte aux lettres sélectionnés et créés dans notre domaine, la prochaine étape consiste à mettre en place des outils pour lire ces boîtes aux lettres et utiliser les données, notamment les rapports de données agrégées, qui encore une fois sont conçus pour être parsés par machine, plutôt que lus par un humain. Les rapports médico-légaux, en revanche, pourraient être gérables simplement en les lisant nous-mêmes, mais notre capacité à le faire dépendra à la fois de la façon dont notre client de messagerie comprend comment afficher des messages dans le format AFRF et du volume de rapports que nous recevons.

Bien qu'il soit possible pour nous de créer nos propres outils pour traiter les rapports DMARC, jusqu'à ce que Bird fournisse de tels services aux clients de bird.com (quelque chose que nous envisageons, mais ne promettons pas encore), nous recommandons d'utiliser des outils déjà disponibles pour cette tâche.

Quelle DMARC Policy to Use

La spécification DMARC fournit trois choix pour que les propriétaires de domaine spécifient leur traitement préféré du courrier qui échoue aux vérifications de validation DMARC. Ils sont :

  • none, ce qui signifie traiter le courrier de la même manière qu'il serait traité indépendamment des vérifications de validation DMARC

  • quarantine, ce qui signifie accepter le courrier mais le placer ailleurs que dans l'Inbox du destinataire (typiquement le dossier spam)

  • reject, ce qui signifie rejeter le message directement


Il est important de garder à l'esprit que le propriétaire du domaine ne peut que demander un tel traitement dans son enregistrement DMARC ; il appartient au destinataire du message de décider d'honorer ou non la politique demandée. Certains le feront, tandis que d'autres peuvent être un peu plus indulgents dans l'application de la politique, comme ne déplacer le courrier vers le dossier spam que lorsque la politique du domaine est reject.

Nous recommandons à tous nos clients de lancer avec une politique de none, simplement pour être prudents. Bien que nous soyons confiants dans notre capacité à authentifier correctement votre courrier via la signature DKIM, il est préférable de prendre le temps d'examiner les rapports sur votre domaine avant de devenir plus agressif avec votre politique DMARC.

Publication de Votre Politique DMARC

La politique DMARC d’un domaine est annoncée en publiant un enregistrement DNS TXT à un endroit spécifique dans l’espace de noms DNS, à savoir « _dmarc.nomdedomaine.tld » (notez le souligné initial). Un enregistrement basique de politique DMARC pour notre domaine d’exemple d’avant, joesbaitshop.com, pourrait ressembler à ceci :

_dmarc.joesbaitship.com. IN TXT "v=DMARC1; p=none; rua=mailto:agg_reports@joesbait.com; ruf=mailto:afrf_reports@joesbait.com; pct=100"

En décomposant cet enregistrement, nous avons :

  • v=DMARC1 spécifie la version DMARC (1 est le seul choix actuellement)

  • p=none spécifie le traitement préféré, ou la politique DMARC

  • rua=mailto:agg_reports@joesbait.com est la boîte aux lettres à laquelle les rapports agrégés doivent être envoyés

  • ruf=mailto:afrf_reports@joesbait.com est la boîte aux lettres à laquelle les rapports judiciaires doivent être envoyés

  • pct=100 est le pourcentage d'emails auquel le propriétaire du domaine souhaite que sa politique s'applique. Les domaines qui commencent juste avec DMARC, en particulier ceux susceptibles de générer un volume élevé de rapports, peuvent vouloir commencer avec un chiffre beaucoup plus bas ici pour voir comment leurs processus de gestion des rapports résistent à la charge.


Il existe d’autres options de configuration disponibles pour qu'un propriétaire de domaine puisse les utiliser dans son enregistrement de politique DMARC également, mais les conseils que nous avons fournis devraient être un bon point de départ.

Résumé

Il y a beaucoup à déballer dans les informations ci-dessus ! Nous espérons que vous trouvez le guide pour créer un enregistrement de politique DMARC utile. Nous espérons également que notre explication sur l'importance de DMARC vous aide à comprendre pourquoi vous devriez commencer à utiliser cet outil important pour protéger votre réputation email.

Bien sûr, ce n'est pas un document complet ou autoritaire sur le sujet. Si vous voulez approfondir ou souhaitez plus d'aide, un excellent point de départ est la FAQ officielle de DMARC. Et, il va sans dire que l'équipe de support Bird est prête à vous aider à configurer votre compte Bird pour DMARC également.

Merci de lire—et commencez à protéger vos domaines avec DMARC aujourd'hui!

Connectons-vous avec un expert Bird.
Découvrez toute la puissance du Bird en 30 minutes.

En soumettant, vous acceptez que Bird puisse vous contacter au sujet de nos produits et services.

Vous pouvez vous désabonner à tout moment. Consultez la Déclaration de confidentialité de Bird pour plus de détails sur le traitement des données.

Company

Newsletter

Restez à jour avec Bird grâce aux mises à jour hebdomadaires dans votre boîte de réception.

Connectons-vous avec un expert Bird.
Découvrez toute la puissance du Bird en 30 minutes.

En soumettant, vous acceptez que Bird puisse vous contacter au sujet de nos produits et services.

Vous pouvez vous désabonner à tout moment. Consultez la Déclaration de confidentialité de Bird pour plus de détails sur le traitement des données.

Company

Newsletter

Restez à jour avec Bird grâce aux mises à jour hebdomadaires dans votre boîte de réception.

Connectons-vous avec un expert Bird.
Découvrez toute la puissance du Bird en 30 minutes.

En soumettant, vous acceptez que Bird puisse vous contacter au sujet de nos produits et services.

Vous pouvez vous désabonner à tout moment. Consultez la Déclaration de confidentialité de Bird pour plus de détails sur le traitement des données.

R

Atteindre

G

Grow

M

Manage

A

Automate

Company

Newsletter

Restez à jour avec Bird grâce aux mises à jour hebdomadaires dans votre boîte de réception.