2017/07/13 by Willem Stam.
Choosing the right DMARC policy
La publication d’enregistrements DMARC est plus populaire que jamais. Même parmi ceux qui n’ont pas de domaines liés à des activités vulnérables aux abus, telles que les institutions financières. Avez-vous réfléchi à une politique correspondant à vos objectifs en matière de DMARC ? Avez-vous même des objectifs clairs concernant DMARC ?
Les politiques DMARC
DMARC propose trois stratégies: none, quarantine et reject. Il est conseillé de connaître les risques et l’impact de chacune de ces politiques avant de choisir laquelle mettre en œuvre.
Il est toujours conseillé d’utiliser la politique none lors de la première configuration de DMARC. Cette politique n’aura pas d’incidence sur la délivrabilité et ne vous protégera pas contre les usurpations de votre domaine. Le but de cette politique est de collecter des informations sur l’utilisation ou l’abus du domaine d’en-tête via les rapports automatiques envoyés par les fournisseurs. Cette stratégie est utile pour inventorier les hôtes légitimes et pour vérifier les résultats d’alignement et d’authentification de ces hôtes.
La prochaine étape logique consiste à mettre en œuvre la stratégie quarantine. Cette politique conseille au fournisseur d’envoyer l’e-mail directement dans le dossier de courrier indésirable en cas d’échec de DMARC. Notez que nous écrivons “conseille”. On suppose souvent que la politique est définitive. Ce n’est pas le cas. Dans la plupart des cas, le FAI suivra la politique indiquée, mais il peut la remplacer s’il a des raisons de le faire. Par exemple, si Google détecte un faux positif, il peut outrepasser la politique DMARC. Une stratégie de quarantaine peut vous protéger, mais les attaques de phishing atteindront tout de même le dossier de courrier indésirable du destinataire. Cependant, cette stratégie devrait garantir que tous les courriels légitimes atteindront leur destination finale.
La politique reject est la plus stricte des trois options. Si un courrier électronique ne passe pas le contrôle DMARC, il sera rejeté. Le destinataire ne verra jamais cet e-mail. Dans le cas d’un faux positif, le message sera également rejeté. Cela signifie que les expéditeurs auront un certain pourcentage d’e-mails légitimes qui n’atteindront jamais leur destinataire.
En fin de compte, la plupart des gens choisissent la stratégie reject. Mais après avoir lu les risques et l’impact de chaque politique, est-ce vraiment ce que vous souhaitez ?
La politique reject a des conséquences, car il y a presque toujours des faux positifs qui vont bloquer des courriels légitimes. Choisir entre quarantine et reject revient à choisir entre garantir que les courriels légitimes aboutiront ou bien empêcher les destinataires de recevoir des courriels frauduleux.
Faites correspondre votre politique avec vos besoins
En conclusion, les risques et la nature des activités de l’entreprise détermineront la politique qu’elle choisira. Il est recommandé aux institutions financières de progresser avec précaution vers une politique de rejet, tandis que les entreprises dont les marques sont à faible risque pourront plutôt viser la mise en place d’une politique de type quarantine. Ces dernières sociétés continueront de bénéficier de DMARC car l’alignement est essentiel. Si leur domaine de from des en-têtes correspond à celui de l’enveloppe ainsi qu’au domaine de la signature DKIM (d=), ils ont déjà progressé significativement vers une meilleure délivrabilité.
Pour plus d’informations, n’hésitez pas à nous contacter , vous pouvez aussi lire notre section DMARC.