Aprés avoir rencontré ce problème auprès de mes clients (PME, TPE,ETI) j’ai souhaité développer ce sujet pour vous éclarer sur un aspet fondamental de l’internet.
- Le phishing est un risque.
- L’arnaque au Président est un risque.
- L’usurpation d’identité est un risque.
Pourquoi faciliter la tâche des criminels et des spammeurs lorsqu’on peut mettre en application certaines mesures simples ?
Cela devrait être une réflexe, comme l’utilisation de la ceinture en voiture.
On y go!
POURQUOI AUTHENTIFIER LES E-MAILS ?
Le spam n’a cessé de croître depuis son apparition au début des années 1990 et constitue toujours une menace énorme pour votre marque. Et les risques de voir le domaine de votre entreprise figurer sur une liste noire augmentent chaque jour.
Les listes noires sont utilisées par les solutions anti-spam pour filtrer les e-mails frauduleux et malveillants. Pour les entreprises, une fois que votre domaine figure sur une liste noire (vérification sur mxtoolbox), le mal est souvent déjà fait et certains e-mails ne sont pas délivrés.
Les pirates qui usurpent votre identité vous font croire qu’un e-mail a été légitimement envoyé par votre organisation ou par une organisation reconnue en réussissant à falsifier l’adresse d’origine d’un message électronique. Ex : Google, Yahoo, Garmin, Microsoft, Amazon, votre banque, etc…
Il est donc essentiel de vous assurer de l’authenticité des e-mails que vous recevez et envoyez. C’est là que DMARC rentre en jeu.
QU’EST-CE QUE DMARC ?
DMARC signifie Domain-based Message Authentication, Reporting & conformance.
C’est l’authentification des messages par un rapport de conformité basé sur le nom de domaine.
DMARC a été lancé en 2010/2011 afin d’aider le propriétaire d’un domaine à prouver qu’il est authentique, que les e-mails sont authentiques, qu’ils n’ont pas été altérés et qu’ils proviennent d’un serveur de messagerie autorisé à les envoyer. Grâce à la mise en place de DMARC, les propriétaires de domaines, grands et petits, peuvent lutter contre la compromission des e-mails professionnels, le phishing et l’usurpation d’identité.
C’est une solution technique qui est utilisée pour authentifier un e-mail, en combinant 2 mécanismes (voir ci-dessous) et qui vous permet de fournir la preuve que vos courriels sont 100% authentiques et que ceux des autres sont 100% faux.
- Le SPF, “Sender Policy Framework” (Technologie de vérification des e-mails) constitue la protection la plus simple et la plus courante.
- DKIM, “Domain Keys Identified Mail”, est un autre mécanisme de sécurité qui vérifie de manière cryptographique que le serveur qui envoie des e-mails pour votre domaine est autorisé à le faire. Lorsque DKIM est configuré, le serveur qui reçoit votre courrier peut rechercher la clé publique et valider que l’e-mail a été envoyé en toute légitimité depuis votre domaine.
DMARC s’appuie sur le DNS. Le DNS est le service de base d’internet qui convertit les noms de domaine amicaux que vous saisissez dans un navigateur (comme google.com) en adresses IP publiques qui sont utilisées par les appareils pour communiquer et convertit également les adresses IP en noms de domaine.
COMMENT DMARC PEUT PROTÉGER VOTRE MARQUE?
Aucune entreprise ne souhaite être associée à une fraude à l’encontre de ses clients actuels ou potentiels. Et dans le climat en ligne actuel, envahi par les activités frauduleuses, la protection de vos e-mails est une étape importante dans la consolidation de votre marque et de votre réputation.
Il existe de nombreux exemples de pirates se faisant passer pour votre entreprise et utilisant son nom de confiance pour voler des informations personnelles à des destinataires d’e-mails peu méfiants.
Si vous ne protégez pas votre domaine avec DMARC, les escrocs profiteront sans aucun doute de l’occasion pour tromper les destinataires de vos courriels.
Les destinataires associeront naturellement “négativité et tromperie” à votre marque.
Le protocole d’authentification des e-mails DMARC est là pour protéger les clients des messages non sollicités envoyés depuis votre domaine, ce qui permet de préserver votre réputation.
CE QUE FAIT DMARC (en théorie!)
DMARC peut vous aider à faire plusieurs choses :
- Définir une politique de traitement des e-mails qui échouent à la vérification SPF ou DKIM.
- Définir une politique sur le degré de rigueur de la vérification SPF (aspf=s vs aspf=r) ou DKIM (adkim=s vs adkim=r).
- Définir une politique pour indiquer si un serveur de messagerie compatible doit fournir des rapports de succès et d’échec par rapport à la transmission des e-mails.
- Définir une politique sur le pourcentage d’e-mails auxquels appliquer les règles.
- Définir une politique sur la manière de traiter les e-mails provenant de sous-domaines.
DMARC permet aux organisations de surveiller leurs canaux de messagerie avec une plus grande visibilité. Les organisations sont en mesure de voir les courriels envoyés et reçus, et de connaître la réputation de ces courriels.
Il leur permet également de bloquer les courriels malveillants envoyés via leurs domaines afin de protéger leurs clients des messages de domaines usurpés et des attaques de phishing.
Un certain nombre de solutions DMARC sont apparues pour permettre aux entreprises de renforcer la sécurité de leurs courriels. Ces outils aident les organisations à :
- Activer et configurer les protocoles DMARC,
- Présenter des rapports DMARC digestes qui offrent une visibilité sur les canaux de messagerie,
- Permettre aux organisations de définir des politiques DMARC qui bloquent l’envoi d’e-mails malveillants à partir de leurs domaines.
La fonction la plus avantageuse et à valeur ajoutée des solutions disponibles est l’établissement de rapports, car elles effectuent une agrégation automatique des rapports reçus et les présentent de manière très digeste.
La plupart proposent un abonnement gratuit ou payant en fonction du volume d’e-mails, du nombre de domaines, etc. Certains, comme Valimail, proposent une solution gratuite si vous utilisez Microsoft 365.
COMMENT METTRE EN OEUVRE DMARC, VOTRE 1ERE POLITIQUE DMARC?
La mise en place de SPF, DKIM et DMARC est assez simple.
- Dressez la liste de vos serveurs qui envoient des e-mails et vérifiez qu’ils prennent en charge SPF, DKIM et DMARC. Tous ne le font pas !
- Mettez en œuvre SPF
- Vérifiez à l’aide de MXTOOLBOX que l’enregistrement DNS est correct. Votre sécurité dépend de la garantie que les services de noms de domaine sont également authentiques et fiables. La prévention de l’usurpation d’identité par le DNS peut être réalisée grâce à quelques mesures de sécurité qui incluent :
-
- Configuration des extensions de sécurité DNS (DNSSEC).
- Utilisation des serveurs DNS qui bloquent les noms d’hôtes malveillants.
- L’assurance que vos fichiers de zone sont propres et à jour.
- La protection de votre DNS à l’aide de MFA
- Mettez en œuvre DKIM
DKIM protège contre les changements d’adresse IP ou le partage d’espace IP entre clients par les grands fournisseurs de services. Puisque ces IP sont partagées, l’e-mail passera toujours les contrôles SPF, mais pas DKIM. - Vérifier à l’aide de MXTOOLBOX que l’enregistrement DNS est correct.
- Tester et confirmer que SPF et DKIM fonctionnent.
- Implémenter DMARC.
- Vérifier avec MXTOOLBOX que l’enregistrement DNS est correct.
- Tester DMARC
Ce n’est qu’une fois DMARC correctement implémenté que le SPF et le DKIM d’un domaine peut avoir un impact sur les e-mails provenant d’un sous-domaine.
POUR NE PAS PERDRE LE FIL À LA MISE EN PLACE, PENSEZ À:
- Mettre en œuvre DMARC avec une politique souple au début.
- Utiliser les options de rapports d’expertise pour obtenir des rapports sur la livraison des e-mails avec la politique en vigueur.
- Utiliser les informations de ces rapports pour augmenter la rigueur de la politique DMARC initialement établie.
J’espère que cet article vous aura permis d’y voir plus clair sur ce qu’est DMARC et en quoi il peut vous être bénéfique.
Besoin d’aide pour votre entreprise ?
N’hésitez pas à prendre contact avec moi directement.
