Dans cet article, nous vous dirons tout ce que vous devez savoir sur l'utilisation de DMARC pour protéger votre réputation par e-mail, et nous vous donnerons des conseils sur la façon de l'installer pour vos domaines.
Un outil efficace pour lutter contre le courrier frauduleux
Souvent mentionné dans le même souffle que les protocoles d'authentification d'email SPF et DKIM, DMARC, ou Domain-based Message Authentication, Reporting, and Conformance, n'est pas en lui-même un protocole d'authentification. Au lieu de cela, le but de DMARC est de permettre aux propriétaires de domaine de protéger notre réputation d'email en :
Annonçant des pratiques d'authentification d'email,
Demandant un traitement pour le courrier qui échoue aux vérifications d'authentification, et
Sollicitant des rapports sur le courrier prétendant provenir de son domaine.
DMARC peut être un outil efficace pour nous aider dans notre lutte contre les courriers frauduleux qui ciblent notre nom de domaine (par exemple, phishing et usurpation), et qui peuvent promouvoir une plus grande confiance parmi nos destinataires pour notre courrier. Pour les organisations nécessitant un cryptage de bout en bout au-delà de l'authentification, la mise en œuvre de S/MIME avec des méthodes efficaces de collecte de clés publiques des destinataires fournit des couches supplémentaires de sécurité. Cette confiance accrue devrait, en retour, conduire à un engagement plus élevé avec notre courrier, et le courrier qui est ouvert et génère des clics stimule les ventes et le retour sur investissement pour nos campagnes par email.
En plus de protéger notre domaine, nous prévoyons que la mise en œuvre de DMARC maintenant sera une excellente façon de "préparer notre domaine pour l'avenir". Ici chez Bird, nous pensons que, à mesure que l'industrie passe à IPv6, elle est presque certaine de passer d'un modèle de réputation basé sur l'IP à un modèle de réputation basé sur le domaine. La réputation basée sur le domaine nécessitera une authentification basée sur le domaine, et DMARC, de concert avec DKIM et SPF, aidera les domaines à établir une réputation basée sur le domaine bien avant qu'elle ne soit absolument nécessaire.
Dans cet article, nous vous dirons tout ce que vous devez savoir sur l'utilisation de DMARC pour protéger votre réputation d'email et vous donner des conseils sur la manière de le configurer pour vos domaines.
Termes à connaître
Comment DMARC Works to Protect Your Email Reputation
Lorsque nous parlons d'un fournisseur de boîtes aux lettres ou d'un autre domaine « vérifiant DMARC », ou « validant DMARC », ou « appliquant la politique DMARC », ce que nous voulons dire c'est que le domaine recevant un message effectue les étapes suivantes :
Déterminer le domaine RFC5322.From du message
Rechercher la politique DMARC de ce domaine dans le DNS
Effectuer la validation de la signature DKIM
Effectuer la validation SPF
Vérifier l'alignement du domaine
Appliquer la politique DMARC
Pour qu'un message réussisse la validation DMARC, il doit réussir seulement l'un des deux contrôles d'authentification et d'alignement. Ainsi, un message passera la validation DMARC si l'une des conditions suivantes est vraie :
Le message réussit les contrôles SPF et le domaine RFC5322.From et le domaine Return-Path sont alignés, ou
Le message réussit la validation DKIM et le domaine RFC5322.From et le domaine DKIM d= sont alignés, ou
Les deux conditions ci-dessus sont vraies
Faire fonctionner DMARC pour votre domaine
Maintenant que nous avons expliqué le fonctionnement de DMARC, parlons de la façon de faire fonctionner DMARC pour nous, ce qui implique les trois étapes suivantes :
Préparer la réception des rapports DMARC
Décider quelle politique DMARC utiliser pour votre domaine
Publier votre enregistrement DMARC
Nous couvrirons chacun de ces points en détail ci-dessous, mais nous vous dirons tout de suite que l'étape 1 ci-dessus consommera environ 95 % de votre temps de préparation.
Préparation à la réception des rapports DMARC
Tout domaine qui publie une politique DMARC doit d'abord se préparer à recevoir des rapports concernant son domaine. Ces rapports seront générés par tout domaine qui effectue une validation DMARC et voit des courriels prétendant provenir de notre domaine, et nous seront envoyés au moins quotidiennement. Les rapports se présenteront sous deux formats :
Rapports agrégés, qui sont des documents XML montrant des données statistiques sur le volume de courriels vus par le rapporteur de chaque source, quels étaient les résultats d'authentification, et comment les messages ont été traités par le rapporteur. Les rapports agrégés sont conçus pour être parsés par machine, avec leurs données stockées quelque part afin de permettre une analyse globale du trafic, l'audit des flux de messages de notre domaine, et peut-être l'identification de tendances dans les sources de courriel non authentifié et potentiellement frauduleux.
Rapports médico-légaux, qui sont des copies individuelles de messages qui ont échoué à l'authentification, chacun étant inclus dans un message complet utilisant un format appelé AFRF. Les rapports médico-légaux sont censés contenir des en-têtes complets et des corps de message, mais beaucoup de rapporteurs enlèvent ou censurent certaines informations en raison de préoccupations concernant la vie privée. Néanmoins, le rapport médico-légal peut toujours être utile à la fois pour résoudre les problèmes d'authentification de notre propre domaine et pour identifier, à partir d'URIs dans les corps de message, des domaines malveillants et des sites utilisés pour frauder les clients du propriétaire de notre domaine.
La préparation à la réception de ces rapports implique tout d'abord de créer deux boîtes aux lettres dans notre domaine pour gérer ces rapports, telles que agg_reports@ourdomain.com et afrf_reports@ourdomain.com. Notez que ces noms de boîte aux lettres sont complètement arbitraires, et il n'y a pas d'exigences pour le nommage de la partie locale de la boîte aux lettres ; nous sommes libres de choisir les noms que nous souhaitons, mais il est préférable de garder les deux séparées pour un traitement plus facile.
Une fois les noms de boîte aux lettres sélectionnés et créés dans notre domaine, la prochaine étape consiste à mettre en place des outils pour lire ces boîtes aux lettres et utiliser les données, notamment les rapports de données agrégées, qui encore une fois sont conçus pour être parsés par machine, plutôt que lus par un humain. Les rapports médico-légaux, en revanche, pourraient être gérables simplement en les lisant nous-mêmes, mais notre capacité à le faire dépendra à la fois de la façon dont notre client de messagerie comprend comment afficher des messages dans le format AFRF et du volume de rapports que nous recevons.
Bien qu'il soit possible pour nous de créer nos propres outils pour traiter les rapports DMARC, jusqu'à ce que Bird fournisse de tels services aux clients de bird.com (quelque chose que nous envisageons, mais ne promettons pas encore), nous recommandons d'utiliser des outils déjà disponibles pour cette tâche.
Quelle DMARC Policy to Use
La spécification DMARC fournit trois choix pour que les propriétaires de domaine spécifient leur traitement préféré du courrier qui échoue aux vérifications de validation DMARC. Ils sont :
none, ce qui signifie traiter le courrier de la même manière qu'il serait traité indépendamment des vérifications de validation DMARC
quarantine, ce qui signifie accepter le courrier mais le placer ailleurs que dans l'Inbox du destinataire (typiquement le dossier spam)
reject, ce qui signifie rejeter le message directement
Il est important de garder à l'esprit que le propriétaire du domaine ne peut que demander un tel traitement dans son enregistrement DMARC ; il appartient au destinataire du message de décider d'honorer ou non la politique demandée. Certains le feront, tandis que d'autres peuvent être un peu plus indulgents dans l'application de la politique, comme ne déplacer le courrier vers le dossier spam que lorsque la politique du domaine est reject.
Nous recommandons à tous nos clients de lancer avec une politique de none, simplement pour être prudents. Bien que nous soyons confiants dans notre capacité à authentifier correctement votre courrier via la signature DKIM, il est préférable de prendre le temps d'examiner les rapports sur votre domaine avant de devenir plus agressif avec votre politique DMARC.
Publication de Votre Politique DMARC
La politique DMARC d’un domaine est annoncée en publiant un enregistrement DNS TXT à un endroit spécifique dans l’espace de noms DNS, à savoir « _dmarc.nomdedomaine.tld » (notez le souligné initial). Un enregistrement basique de politique DMARC pour notre domaine d’exemple d’avant, joesbaitshop.com, pourrait ressembler à ceci :
En décomposant cet enregistrement, nous avons :
v=DMARC1 spécifie la version DMARC (1 est le seul choix actuellement)
p=none spécifie le traitement préféré, ou la politique DMARC
rua=mailto:agg_reports@joesbait.com est la boîte aux lettres à laquelle les rapports agrégés doivent être envoyés
ruf=mailto:afrf_reports@joesbait.com est la boîte aux lettres à laquelle les rapports judiciaires doivent être envoyés
pct=100 est le pourcentage d'emails auquel le propriétaire du domaine souhaite que sa politique s'applique. Les domaines qui commencent juste avec DMARC, en particulier ceux susceptibles de générer un volume élevé de rapports, peuvent vouloir commencer avec un chiffre beaucoup plus bas ici pour voir comment leurs processus de gestion des rapports résistent à la charge.
Il existe d’autres options de configuration disponibles pour qu'un propriétaire de domaine puisse les utiliser dans son enregistrement de politique DMARC également, mais les conseils que nous avons fournis devraient être un bon point de départ.
Résumé
Il y a beaucoup à déballer dans les informations ci-dessus ! Nous espérons que vous trouvez le guide pour créer un enregistrement de politique DMARC utile. Nous espérons également que notre explication sur l'importance de DMARC vous aide à comprendre pourquoi vous devriez commencer à utiliser cet outil important pour protéger votre réputation email.
Bien sûr, ce n'est pas un document complet ou autoritaire sur le sujet. Si vous voulez approfondir ou souhaitez plus d'aide, un excellent point de départ est la FAQ officielle de DMARC. Et, il va sans dire que l'équipe de support Bird est prête à vous aider à configurer votre compte Bird pour DMARC également.
Merci de lire—et commencez à protéger vos domaines avec DMARC aujourd'hui!
