Protéger votre domaine avec DMARC : Guide complet pour sécuriser vos emails

par

Protéger votre domaine avec DMARC est essentiel pour sécuriser vos emails. Dans ce guide complet, nous explorons comment DMARC, combiné aux protocoles SPF et DKIM, peut fortifier votre sécurité email contre le spam et l’usurpation d’identité.

Allier l’architecture sécurisée par conception de Google Workspace avec les protections intégrées de Gmail contre le spam, le phishing et les malwares est un excellent moyen de protéger vos utilisateurs contre les menaces provenant de l’extérieur de votre domaine… mais qu’en est-il des menaces posées par des acteurs malveillants qui détournent votre propre domaine pour se faire passer pour vos utilisateurs et lancer des attaques basées sur l’email contre vos clients, employés et votre marque ?

Pire encore, saviez-vous que n’importe qui sur Internet peut envoyer des emails « de » votre domaine, et ce, sans même avoir besoin d’accéder à votre compte pour le faire ?

C’est là que DMARC entre en jeu.

Avez-vous une politique DMARC ? 🚨
D-quoi ? 🤔

  • Domain-based
  • Message
  • Authentication,
  • Reporting and
  • Conformance

Sans une politique DMARC, les domaines qui envoient et reçoivent des emails laissent la porte grande ouverte pour que des tiers usurpent (ou imitent) leur domaine afin de :

  • Lancer des attaques de phishing 🎣
  • Distribuer du spam, des malwares ou des ransomwares ☣️
  • Exécuter des arnaques d’ingénierie sociale contre des clients ou des employés 💸

Une politique DMARC solide permet aux administrateurs de surveiller, de mettre en quarantaine ou de rejeter la livraison de messages envoyés en utilisant leur domaine par des expéditeurs non autorisés.

En d’autres termes : 👏🏼 100% 👏🏼 des entreprises ont besoin d’une politique DMARC pour protéger leur marque et la réputation de leur domaine.

Comment protéger votre domaine avec DMARC ?

DMARC fonctionne en effectuant deux fonctions :

Premièrement, DMARC vous envoie des rapports contenant la source (serveurs et domaines) des messages envoyés en utilisant votre domaine, et quel pourcentage d’entre eux réussissent ou échouent deux protocoles de sécurité mail importants :

  • Sender Protection Framework (SPF), qui spécifie les serveurs (adresses IP) et les domaines (par exemple, google.com) qui sont autorisés à envoyer des emails au nom de votre organisation.
  • Domain Keys Identified Mail (DKIM), qui ajoute une signature numérique à chaque message sortant, permettant aux serveurs receveurs de vérifier que le message vient réellement de votre organisation et qu’il n’a pas été modifié en transit.

Deuxièmement, DMARC recommande quelle action les serveurs de messagerie destinataires doivent prendre sur les messages qui échouent aux protocoles ci-dessus (en d’autres termes, les messages envoyés par des expéditeurs non autorisés) :

  • Aucune (livrer le message)
  • Quarantaine (livrer le message dans le spam)
  • Rejet (rejeter le message)

Étapes clés pour protéger votre domaine avec DMARC

La première chose à comprendre sur la mise en œuvre de DMARC est que c’est un processus.

Rejeter immédiatement 100 % des messages sortants qui échouent à DMARC (en d’autres termes, échouent à SPF et DKIM) risque d’interrompre la livraison de mails critiques. Par conséquent, je recommande aux administrateurs de Google Workspace d’adopter une approche graduelle pour introduire, puis renforcer, leur politique DMARC – en analysant les résultats et en surveillant les impacts négatifs à chaque étape.

Voici comment :

  1. Mettez en œuvre SPF et DKIM pour les expéditeurs autorisés.
    Votre première étape consiste à vous assurer que votre organisation a mis en œuvre SPF et DKIM pour les mails envoyés par les utilisateurs de votre domaine et autres expéditeurs autorisés (tels que votre site web ou plateforme de marketing par email.

DMARC indique aux serveurs de messagerie comment traiter les messages qui ne passent pas SPF ou DKIM, il est donc important de vous assurer qu’ils sont activés.

  1. Créez une adresse email dédiée pour collecter les rapports DMARC

Une fois votre politique DMARC en place, vous recevrez des rapports (sous forme de fichiers .xml) des serveurs de messagerie destinataires vous indiquant quels domaines et serveurs envoient des mails au nom de votre organisation (en utilisant votre domaine).

Au lieu de submerger votre propre adresse email avec des rapports DMARC, je recommande de créer un email dédié sous forme de groupe Google.

Pour créer votre groupe DMARC :

  • Connectez-vous à la console d’administration Google
  • Naviguez vers Annuaire / Groupes / Créer un groupe
  • Entrez DMARC dans Nom du groupe, entrez dmarc dans l’email du groupe, et entrez une description si souhaité. Ne pas entrer de propriétaire de groupe, et ne pas cocher l’étiquette Sécurité. Cliquez sur suivant.
  • Réglez tous les paramètres d’accès sur Propriétaires de groupe, sauf Qui peut poster : Externe. Définissez qui peut rejoindre le groupe sur Uniquement les utilisateurs invités et n’autorisez pas les membres extérieurs à votre organisation. Cliquez sur suivant, Créer un groupe, Terminé, Voir les paramètres du groupe, puis paramètres avancés.
  • Sous Politiques de publication, changez Qui peut joindre des fichiers en N’importe qui sur le web.
  1. Mettez en place une politique DMARC initiale (permissive, ou détendue)
    Votre politique DMARC conseillera aux serveurs de messagerie destinataires comment traiter les messages qui échouent à SPF ou DKIM, et où envoyer les rapports.

Pour éviter une perturbation potentielle du flux de courrier pour les expéditeurs autorisés (y compris les services que vous avez peut-être négligés), il est important de ne prendre aucune mesure sur les messages (potentiellement) non autorisés à ce stade.

Une bonne politique DMARC initiale (permissive) ressemble à ceci :

v=DMARC1; p=none; rua=mailto:dmarc@votredomaine.com

… où p=none recommande la livraison normale des messages qui échouent à SPF ou DKIM.

À mesure que vous gagnez en perspicacité (via les rapports DMARC et les impacts négatifs signalés par vos utilisateurs, le cas échéant) et activez SPF et DKIM pour des expéditeurs autorisés supplémentaires, vous pouvez progressivement resserrer votre politique pour mettre en quarantaine, et éventuellement rejeter, les messages d’expéditeurs non autorisés.

  1. Pour mettre en œuvre votre politique DMARC initiale :
  • Connectez-vous à la console DNS de votre registraire de domaine
  • Créez un nouvel enregistrement TXT comme suit :

Nom : _dmarc
Valeur : v=DMARC1; p=none; rua=mailto:dmarc@votredomaine.com
TTL : Par défaut (ou 60 minutes, ou 3600 secondes)

  1. Analysez les rapports DMARC
    Vous recevrez des rapports DMARC quotidiennement.

Au bout de quelques semaines, vous aurez suffisamment de données pour commencer à analyser vos rapports DMARC afin de comprendre :

  • Quels serveurs et domaines envoient des mails depuis votre domaine
  • Quel pourcentage de messages de votre domaine passent DMARC (SPF et DKIM)
  • Quels serveurs et domaines envoient des messages qui échouent à DMARC (SPF et DKIM)

Un excellent outil pour analyser les rapports DMARC est le convertisseur XML de DMARCian.

En fonction de votre analyse, ajustez votre mise en œuvre de SPF et DKIM pour vous assurer que tous les expéditeurs autorisés réussissent ces contrôles de sécurité (et donc, passent DMARC).

Une fois que vous avez utilisé les informations dans les rapports DMARC pour optimiser votre mise en œuvre de SPF et DKIM, sans résultats négatifs (comme des messages sortants rebondissant ou étant livrés dans le spam), il est temps de resserrer votre politique DMARC.

  1. Mettez en quarantaine certains, puis plus, et finalement tous les messages d’expéditeurs non autorisés
    À partir de ce moment, vous resserrerez votre politique DMARC par petites étapes (dont la taille peut dépendre de la taille, et donc de l’impact potentiel, sur votre organisation, des effets négatifs potentiels sur la livraison de courrier).

La politique DMARC est resserrée en éditant la valeur de l’enregistrement DMARC que vous avez ajouté à la console DNS de votre registraire de domaine.

Par exemple :

v=DMARC1; p=quarantine; pct=10; rua=mailto:dmarc@votredomaine.com

… où p=quarantine; pct=10 instruit les serveurs de messagerie destinataires de livrer 10 % des messages qui échouent à DMARC (SPF et DKIM) dans les dossiers spam des destinataires. Les 90 % restants des messages qui échouent à DMARC seront livrés normalement.

Une fois que vous avez ajusté votre politique DMARC :

  • Surveillez les impacts négatifs
  • Après quelques semaines, analysez vos rapports DMARC
  • Faites des ajustements à votre mise en œuvre de SPF et DKIM, si nécessaire

Lorsqu’aucun effet négatif n’est observé et qu’aucun ajustement à SPF et DKIM n’est nécessaire, augmentez progressivement le pourcentage de messages mis en quarantaine jusqu’à atteindre 100 %, en répétant ce cycle plusieurs fois.

  1. Rejetez les messages d’expéditeurs non autorisés
    Une fois que 100 % des messages qui échouent à DMARC sont mis en quarantaine sans effets négatifs, vous êtes prêt à franchir l’étape finale : rejeter les messages d’expéditeurs non autorisés.

Pour ce faire, vous ferez une dernière modification à votre enregistrement DMARC :

v=DMARC1; p=reject; rua=mailto:dmarc@votredomaine.com

… où p=reject instruit les serveurs de messagerie de rejeter (rebondir) les messages qui échouent à DMARC – en d’autres termes, si les messages ne sont pas envoyés par des utilisateurs ou des systèmes autorisés, ils ne seront pas livrés.

Bien qu’il soit possible pour les serveurs de messagerie destinataires de passer outre votre politique DMARC, c’est rare.

En suivant ce guide complet, vous avez maintenant les clés en main pour protéger votre domaine avec DMARC et assurer la sécurité de vos emails.

1 réflexion au sujet de « Protéger votre domaine avec DMARC : Guide complet pour sécuriser vos emails »

  1. Ping : Authentifier vos emails avec SPF - L'atelier informatique

Laisser un commentaire