Comment assurer l’authentification de vos mails grâce au DMARC ?

Le protocole de sécurité DMARC (Domain-based Message Authentication), appliqué lors de l’envoi de mails, intéresse de plus en plus les entreprises. Et pour cause, s’il protège les destinataires des courriers électroniques frauduleux et malveillants, il concourt également à améliorer la réputation des expéditeurs, gage d’un meilleur taux de délivrabilité email.

Mais alors que des normes de sécurité telles que DKIM ou SPF sont déjà adoptées par de nombreuses organisations, comment le DMARC se distingue-t-il ? Quels sont ses avantages ?

Pour comprendre les atouts du Domain-based Message Authentication, focus sur sa définition, son fonctionnement, mais également son implémentation.

Le DMARC se définit comme une spécification technique créée par un groupe de contributeurs fondateurs (Gmail, Hotmail, AOL, etc.).

L’ambition de cette norme est de pallier les problèmes de sécurité liés à l’authentification des mails, en détectant notamment l’usage abusif des noms de domaine de l’expéditeur.

Dans l’univers du mailing, l’usurpation d’identité est malheureusement devenue une pratique courante. Nous avons tous été confrontés à ce type de courriers électroniques malveillants. Pour les fraudeurs, la pratique consiste à falsifier le domaine d’une entreprise et les mails qu’elle diffuse, afin de faire croire au destinataire qu’ils proviennent d’un expéditeur familier et/ou légitime. L’objectif ? Inciter les victimes à installer un logiciel malveillant, ou encore à livrer des informations confidentielles telles leurs coordonnées bancaires.

Le but de DMARC est de lutter contre ces usages, en vérifiant que l’expéditeur est digne de confiance. En somme, cette spécification technique constitue un excellent moyen de lutter contre le spam et autres tentatives de phishing (ou hameçonnage).

L’enjeu est alors double pour les entreprises :

• éviter qu’un individu malveillant usurpe leur identité ;
• augmenter leur taux de délivrabilité des mails. En effet, grâce au DMARC, les organisations montrent « patte blanche » aux serveurs de messagerie de leurs destinataires. Elles évitent ainsi de se retrouver sur des listes noires (pour cause d’appropriation de leur domaine), et donc de voir leurs mails rejetés ou relégués en courriers indésirables.

Pour fonctionner, le DMARC s’appuie sur deux autres protocoles de sécurité :

Grâce au DKIM, le destinataire s’assure que le mail provenant d’un domaine particulier a bien été approuvé par ce dernier.

Pour ce faire, cette norme repose sur une signature cryptographique. Dès lors que cette dernière a été apposée, elle garantit la non-altération du message envoyé.

À destination, la qualité du mail peut alors être vérifiée grâce à la concordance entre :

• la clé privée qui a servi à enregistrer le message,
• et la clé publique disponible dans l’enregistrement DNS (Domain Name System, ou système du nom de domaine).

Le protocole SPF permet aux entreprises et aux organisations de préciser qui a le droit d’envoyer des emails avec leur nom de domaine.

Elles procèdent alors à l’enregistrement des adresses IP qu’elles approuvent (à l’exemple des adresses IP de leur fournisseur de service d’emailing) dans leur DNS.

SPF se révèle donc un excellent moyen de vérifier l’authenticité de l’expéditeur, en identifiant les emails frauduleux qui usurpent les adresses et les noms de domaine « from ».

Toutefois, le seul usage des protocoles DKIM et SPF a révélé quelques limites. En effet, ils impliquent que le MTA (Mail Transfer Agent) destinataire connaisse parfaitement les mesures à entreprendre au cas où l’authentification échouerait. De surcroît, l’expéditeur manque de visibilité sur les actions déployées.

C’est là que le DMARC apporte toute sa valeur : l’expéditeur cadre en amont les mesures à adopter par le MTA destinataire, c’est-à-dire la façon dont il doit réagir en cas d’échec des vérifications DKIM et SPF.

Le rôle de la configuration DMARC est de s’assurer que les mails envoyés respectent au moins un des deux protocoles suivants :

• l’authentification et l’alignement SPF,
• l’authentification et l’alignement DKIM.

Pour cela, le propriétaire du nom de domaine informe les serveurs de messagerie de la mise en place des techniques DKIM et SPF. Lorsque le mail arrive côté serveur, celui-ci vérifie la réussite de l’authentification par au moins une de ces deux techniques.

DMARC n’agira donc que si au moins un des deux protocoles ci-dessus n’a pas été respecté, car le mail concerné sera considéré comme suspect. Dans ce cas, l’action entreprise dépendra des règles de sécurité choisies en amont par le propriétaire du domaine. Il en existe trois différentes :

• DMARC policy none : ici, le mail est quand même remis au destinataire. En parallèle, un rapport DMARC est envoyé au propriétaire du domaine pour signaler son statut et l’informer sur le manque d’alignement.

• DMARC policy quarantine : le courrier électronique concerné est placé en « quarantaine », dans un dossier spécifique. Il pourra être traité plus tard.

• DMARC policy reject : le mail est rejeté, c’est-à-dire qu’il n’est pas transmis au destinataire.

Le DMARC est donc une solution à privilégier en matière de politique d’authentification, puisque l’expéditeur précise au destinataire le comportement à suivre en cas de suspicion. Elle ne laisse pas de place au doute.

Par ailleurs, grâce aux possibilités de mise en quarantaine ou de rejet, le protocole évite toute exposition aux messages dangereux.

Vous l’aurez compris, puisque la politique DMARC repose sur SPF et DKIM, vous devez d’abord implémenter ces deux protocoles.

Ensuite, il vous faut vous rendre dans le champ TXT de votre domaine pour paramétrer le tag. Celui-ci doit obligatoirement comporter les deux éléments suivants :

• v : il s’agit de la version du protocole. L’enregistrement doit alors commencer par « v=DMARC1 ; »,
• p : cette lettre correspond à la règle de sécurité sélectionnée parmi les trois décrites précédemment :
  • « none »,
  • « quarantine »,
  • « reject ».

À cela s’ajoutent des éléments non obligatoires, que vous choisissez ou non de renseigner :

• pct : le pourcentage de messages filtrés,
• adkim : l’alignement avec le protocole DKIM :
  • « s » pour strict,
  • « r » pour relax,
• aspf : l’alignement avec le protocole SPF :
  • « s » pour strict,
  • « r » pour relax,
• sp : la procédure applicable aux sous-domaines de votre domaine (« none », « quarantine » et « reject »). Si vous n’apportez pas cette précision, alors la valeur de « p » sera appliquée par défaut,
• ruf : l’adresse email qui réceptionnera le rapport en cas d’échec,
• fo : les conditions de l’envoi du rapport :
  • « 1 » pour échec de DKIM et/ou de SPF,
  • « d » pour échec de DKIM,
  • « s » pour échec de SPF,
  • « 0 » pour échec de DKIM et de SPF, par défaut,
• rua : l’adresse email qui réceptionnera les rapports agrégés.

💡 Pour voir concrètement à quoi peut ressembler un paramètre de tag, voici un exemple fourni par Wikipédia :

v=DMARC1;pct=42;adkim=s;aspf=s;p=quarantine;sp=none;ruf=mailto:forensik@example.org;fo=1;rua=mailto:postmaster@example.org!50m

Toutefois, notez que la réussite de la mise en place de votre politique DMARC peut s’avérer complexe. En effet, une bonne gestion implique d’aller plus loin que la simple configuration de votre DNS. C’est pourquoi des logiciels tels que Merox existent. En effet, ce dernier vous soutient dans le déploiement et les mises à jour de votre protocole DMARC, en simplifiant notamment :

• sa configuration,
• la collecte des rapports,
• l’agrégation des rapports,
• la visualisation des données.

De quoi vous assurer une protection optimale de vos domaines, mais également la réussite de vos campagnes marketing au moyen d’un taux de délivrabilité email optimal !