Que signifie DMARC pour vous ?

Il y a une semaine, un DMARC est devenu public, provoquant une vague de publicité, de discussions et de buzz. De nombreux expéditeurs demandent maintenant ce qu’ils devraient faire. Dans cet article, je vais essayer de mettre les choses en perspective, afin que les expéditeurs puissent mieux juger ce que DMARC signifie pour eux.

Tout d’abord, DMARC n’est pas quelque chose de complètement nouveau. Paypal, Cloudmark, Facebook, Google et d’autres travaillent depuis 18 mois sur un nouveau cadre réglementaire. Ils reconnaissent que les destinataires n’appliquent pas les règles SPF en raison du problème de transfert et que de nombre d’entres eux hésitent à utiliser ADSP (RFC5617) en raison de l’approche «tout ou rien» des politiques ADSP.

Le framework DMARC est maintenant devenu public, mais cela ne signifie pour autant pas qu’il s’agit d’un standard et que celui-ci est prêt à être utilisé par tout le monde. Le but est d’obtenir des retours de la part des premiers utilisateurs afin de mettre au point un standard commun. Les expéditeurs doivent comprendre de quoi il s’agit. Mais il n’y a pas encore raison impérative de le mettre en œuvre à ce stade.

Alors, qu’est ce que DMARC exactement? Jusqu’à présent, l’authentification des emails permettait essentiellement aux destinataires d’évaluer la réputation d’un domaine. Mais l’un des principaux objectifs de l’authentification a toujours été d’empêcher l’usurpation d’identité et le phishing. Pour cela, DMARC indique à un destinataire quoi faire lorsque l’authentification est manquante ou échoue pour un domaine de From d’en-tête spécifique. Cela signifie que DMARC ne devrait pas vraiment être considéré comme une «meilleure pratique» en matière de délivrabilité pour les expéditeurs commerciaux mais plutôt comme une mesure de sécurité pour les expéditeurs susceptibles d’être ciblés par des attaques de spoofing et de phishing.

Pour les organisations souhaitant utiliser l’authentification des emails dans le but de se prévenir contre l’usurpation d’identité et le phishing, DMARC relève les défis suivants:

  • Permet de vérifier que toutes les sources d’emails valides sont correctement authentifiées
  • Supprime les risques liés à l’adoption brusque d’une politique d’authentification stricte
  • Supprime le risque que des défaillances accidentelles de SPF ou de DKIM provoquent des faux positifs
  • Prend en compte le cas des emails correctement authentifiés mais utilisant des en-têtes forgés
  • Encourage les receveurs à appliquer des politiques strictes
  • Permet d’obtenir des informations sur les flux d’emails de phishing non authentifiés

Pour ces organisations, DMARC est une avancée important. À l’avenir, cela pourrait signifier qu’elles n’auront plus à recourir à des services commerciaux, tels que Return Path Domain Assurance ou Agari, pour mettre en place des stratégies d’authentification.

Même si vous n’êtes pas sujet aux attaques de phishing et que vous êtes uniquement intéressé par votre propre délivrabilité, DMARC apporte aussi des fonctionnalités intéressantes. Une de celles-ci est “l’alignement”. SPF s’applique au domaine de from de l’enveloppe (return-path). DKIM , quant à lui, s’applique à un domaine arbitraire (d =). Enfin, le domaine vu par l’utilisateur final  est celui de l’adresse d’en-tête From:. Il peut s’agir de 3 domaines complètement différents. Pour les destinataires, répondre à la question «qui a effectivement envoyé cet email?» peut donc s’avérer difficile.

ADSP exigeait déjà que le domaine de signature DKIM corresponde au domaine d’en-tête visible From:. Désormais, DMARC exige également que l’expéditeur de l’enveloppe et le domaine de signature DKIM aient le même «domaine d’organisation» que le domaine d’en-tête From:. Le «domaine organisationnel» est un suffixe public auquel s’ajoute une partie du domaine privé, tel que firstbank.com ou secondbank.co.uk. Même si le phishing n’est pas un problème, l’alignement améliorera la confiance dans la véritable identité de l’expéditeur.

Si vous êtes un ESP, l’alignement signifie que vous devez préparer à proposer des domaines DKIM personnalisés ainsi que des domaines d’expéditeur d’enveloppe personnalisés à vos clients. Une signature DKIM tierce et un domaine émetteur d’enveloppe communs pourraient être moins pris au sérieux par les destinataires à l’avenir. Mais, dans ce cas, les ESPs pourront utiliser le mécanisme de feedback de DMARC pour vérifier l’authentification, même si aucune stratégie n’est appliquée.

Google a déjà adopté DMARC, même à ce stade expérimental. Malheureusement, de nombreux petits FAIs et webmails doivent encore adopter la validation SPF et / ou DKIM. Espérons que la publicité autour de DMARC permettra d’en accélérer l’adoption par ceux-ci. Tant qu’ils n’appliqueront pas les stratégies demandées, SPF et DKIM resteront une vitrine pour la délivrabilité au lieu de devenir de réelles mesures anti-phishing efficaces.

Plus d’informations sur DMARC ?

Si vous souhaitez savoir comment nous pouvons vous aider, envoyez-nous simplement un message via notre page de contact.

Share this

Les commentaires sont fermés.

Vous trouverez ci-dessous une liste d’articles tout aussi intéressants classés par catégorie.