2015/10/29 by Jérôme Gays.

DMARC, trois ans et demi plus tard, où en sommes-nous?

Cela fera bientôt quatre ans que les spécifications de DMARC ont été dévoilée et que nous publions notre premier article sur le sujet. Pour rappel, DMARC est un système de validation destiné à lutter contre le Spoofing. Basé sur les technologies SPF et DKIM, il permet aux émetteurs d’emails de déclarer au serveurs de réception ce qu’il faut faire en cas de non-conformité de l’authentification. DMARC permet en outre à l’émetteur d’origine d’être tenu au courant de tout échec des mécanismes d’authentification SPF et DKIM.

Si vous désirez en savoir plus sur le fonctionnement de DMARC, n’hésitez pas à lire notre article de 2012 qui vous expliquera tous les détails techniques sur le sujet.

UTILISATION DE DMARC PAR LES FAI
Avant de nous focaliser sur les pratiques des annonceurs, il est intéressant de nous pencher sur les pratiques des FAI et des Webmails. Chez ces acteurs, nous pouvons séparer deux problématiques très différentes.

D’une part, il y a l’utilisation de DMARC pour les emails en sorties des FAI et des Webmails. En avril 2014, en changeant sa politique DMARC pour la passer en policy « Reject » (p=reject), Yahoo! Décidait qu’il n’était plus possible d’émettre des emails ayant une adresse @yahoo.com depuis un serveur SMTP non autorisé.

Cette décision a fait couler beaucoup d’encre dans la mesure où de nombreux utilisateurs d’adresses Yahoo! expédiaient leurs emails depuis un client email comme Outlook ou Thunderbird en utilisant le relais SMTP de leur fournisseur d’accès internet. De la même manière de nombreuses newsletters envoyées par des petits annonceurs depuis une plateforme de routage de pouvaient plus utiliser une adresse @yahoo.com.

Quelques jours plus tard, c’était AOL qui s’y mettait et d’autres ont suivi.

Si nous faisons une petite analyse des domaines grand public les plus rencontrés en France, voici les conclusions que l’on pourrait en tirer :

> Gmail.com – v=DMARC1; p=none; rua=mailto:mailauth-reports@google.com – Pas de rejet, seulement de l’écoute des erreurs.
> Hotmail.com – v=DMARC1; p=none; pct=100; rua=mailto:d@rua.agari.com; ruf=mailto:d@ruf.agari.com; fo=1 – Pas de rejet, seulement de l’écoute des erreurs.
> Orange.fr – Aucun enregistrement DMARC
> Sfr.fr – Aucun enregistrement DMARC
> Free.fr – Aucun enregistrement DMARC
> LaPoste.net – v=DMARC1; p=quarantine; rua=mailto:dmarc.agg@laposte.net,mailto:dmarc_agg@auth.returnpath.net; ruf=mailto:dmarc.afrf@laposte.net,mailto:dmarc_afrf@auth.returnpath.net; rf=afrf; – Mise en quarantaine des erreurs et écoute de celles-ci.

On le voit, en France, sur les emails sortants, c’est Laposte.net qui est le plus en avance puisqu’il demande aux serveurs recevant des emails dont DKIM et SPF ne sont pas validés de les mettre en quarantaine. Nous sommes toutes fois encore loin de la demande de rejet de Yahoo! et AOL.

L’envers du décor (qui est plus difficile à mesurer), c’est la gestion de DMARC en entrée. S’il est évident que le domaine paypal.com aura une policy « reject », encore fait-il que les webmails et les FAI recevant des emails frauduleux analysent correctement les instructions données par Paypal et rejettent les emails.

Voici ce que l’on sait des différents opérateurs cités :

> Gmail : Les emails sont correctement filtrés sur base des déclarations DMARC
> Hotmail/Outlook.com : Les emails sont correctement filtrés sur base des déclarations DMARC
> Orange : Aucune action
> SFR : Aucune action
> Free : Aucune action
> LaPoste.net : Aucune action
Le bilan est donc très mitigé et sur le marché français, on ne peut pas dire que les différents fournisseurs de messageries grand public soient en avance. A part quelques expérimentation chez LaPoste.net, il y a encore un travail majeur à fournir.

DMARC S’EST-IL IMPOSÉ CHEZ LES ANNONCEURS ?
Parmi les entreprises à la base de DMARC, on retrouve des sociétés comme Bank of America, JPMorganChase, PayPal et encore LinkedIn ou Facebook. En tant que victimes classiques de tentatives de Spoofing et de Phishing, il est normal que l’on retrouve dans cette liste les plus grands noms de la finance et les réseaux sociaux majeurs.

Mais qu’en est-il en France ? Est-ce que nos institutions publiques (qui n’a jamais reçu d’email de la CAF ou des impôts vous promettant un remboursement) ont passé le cap ? Est-ce que les grandes banques françaises ont pris la mesure de ce risque ?

Pour en avoir une petite idée, voici quelques acteurs que nous avons analysé :

> Crédit Agricole – Aucun enregistrement DMARC
> Ameli.fr – Aucun enregistrement DMARC
> CAF.fr – Aucun enregistrement DMARC
> Impots.gouv.fr – Aucun enregistrement DMARC (pas d’enregistrement non plus pour gouv.fr)
> Caisse-epargne.fr : Aucun enregistrement DMARC
> Societegenerale.fr – Possède un enregistrement DMARC en policy « none ».
> bnpparibas.com – Aucun enregistrement DMARC

Nous avons analysé un grand nombre de domaines, mais malheureusement, dans le secteur publique ou dans la banque-assurance, très peu de domaines sont protégés. Cela pose un constant interpellant, est-ce que ces acteurs, cibles privilégiées des attaques de phishing, ont bien pris la mesure du problème ? D’autre part, les FAI constituent eux-même des annonceurs à haut risque concernant ces attaques de phishing, et de leur côté, pas grand chose n’a été mis en place concernant DMARC.

Pourtant, DMARC n’est pas si compliqué à mettre en place. Si l’utilisation d’une policy en mode « reject » ou « quarantine » peut faire peur, il n’est pas indispensable de l’adopter dans un premier temps. La plupart des entreprises intègrent d’abord une policy « none » afin de mettre en place le monitoring des alertes et c’est seulement après analyse durant plusieurs semaines qu’ils décident de la bonne policy à mettre en place.

DeliverNow, a intégré DMARC dans sa suite de monitoring email. De cette manière, les rapports d’erreur envoyés par les fournisseurs sont analysés et disponibles dans nos tableaux de bord délivrabilité. Par ce biais, nous recevons des informations relatives aux adresses IP non-autorisées à émettre des emails pour les noms de domaine de nos clients. Nous pouvons aussi de cette manière détecter d’éventuels problèmes d’authentification sur des emails légitimes. Un système d’alertes permet d’être averti en temps réel de tout problème significatif.

QUELQUES INFORMATIONS DE DERNIÈRE MINUTE CONCERNANT DMARC
À l’occasion du 35ème General Meeting du M³AAWG, nous avons reçu quelques informations concernant des changements DMARC chez certains opérateurs :

> Début novembre, Yahoo! va étendre sa policy « reject » aux domaines ymail.com et rocketmail.com avant d’autres domaines dans les prochains mois.
> Google a annoncé qui allait lui aussi bouger et devenir plus stricte afin de protéger ses noms domaines. Gmail.com devrait passer en policy « reject » à partir de juin 2016.

Exemple de rapport DMARC dans la suite de monitoring délivrabilité de DeliverNow :

Share this

Les commentaires sont fermés.

Vous trouverez ci-dessous une liste d’articles tout aussi intéressants classés par catégorie.

Notre blog est là pour vous apporter des informations sur l’email et la délivrabilité.

Abonnez vous à notre newsletter