Skip to main content
Meilleures pratiques : Faire progresser votre politique DMARC

Meilleures pratiques : Faire progresser votre politique DMARC

- 21 avril 2023
DéploiementConseils techniques

Bien que la taille, la complexité et l'état d'avancement d'un projet DMARC puissent varier considérablement, ils ont tous en commun le défi de comprendre quand il est approprié de faire évoluer votre politique. Ce guide aborde les considérations clés, les conseils de validation d'étape et les directives de syntaxe DNS nécessaires pour vous aider à faire évoluer en toute confiance vos domaines vers une politique DMARC stricte de p=reject.

Politiques DMARC

Tout d'abord, un bref aperçu des politiques DMARC, de l'ordre dans lequel elles sont traditionnellement appliquées et de la manière dont elles varient dans la protection contre le phishing, le spoofing et l'utilisation non autorisée de vos domaines :

  • Les trois modes de politique sont : aucun, quarantaine et rejet.
  • Ces politiques sont généralement appliquées dans l'ordre indiqué ci-dessus. Dans certaines circonstances, il peut être approprié d'appliquer une politique plus stricte au début si, par exemple, vous appliquez DMARC à un domaine parqué ou inactif.
  • Les organisations qui reçoivent votre courrier électronique considèrent la politique DMARC de votre DNS comme un moyen de respecter la manière dont vous souhaitez que votre courrier soit traité.
  • Enfin, les politiques :
    • p=none est la première politique appliquée dans un projet DMARC traditionnel. L'option "Aucun" est utilisée pour obtenir une visibilité totale sur la manière dont votre domaine est utilisé sans avoir d'impact ou d'influence sur la manière dont vos courriels sont traités par les destinataires des courriels. C'est comme si vous disiez à Gmail ou à Yahoo : "Ne traitez pas mon courrier électronique différemment de ce que vous feriez normalement, mais envoyez-moi des rapports DMARC pour que je puisse prendre une décision éclairée sur le reste de mon projet. En clair, "aucune" n'offre aucune protection, mais vous permet d'avoir la même visibilité que les autres politiques plus restrictives.
    • p=quarantine est la deuxième politique appliquée dans un projet DMARC traditionnel. La politique de "quarantaine" offre une protection partielle contre l'utilisation non autorisée de votre domaine et représente une étape importante dans un projet DMARC. La "quarantaine" indique au destinataire du courrier électronique qu'il doit quand même accepter le message, mais qu'il doit en diminuer la fiabilité et le placer dans son dossier spam/quarantaine.
    • p=reject offre la meilleure protection possible contre l'utilisation non autorisée de votre domaine. L'option "Rejeter" indique aux destinataires du courrier électronique de bloquer purement et simplement les courriers électroniques qui n'ont pas été vérifiés dans le cadre du programme DMARC. Contrairement à p=quarantine, p=reject génère une notification de rejet du message à l'expéditeur. Ces événements de blocage sont également mis en évidence dans les données DMARC, de sorte que vous pouvez facilement observer combien de messages sont rejetés et par quelle source de courrier électronique.
Tableau des niveaux de politique DMARC

Préparation à la progression de la politique DMARC

Avant de commencer à mettre en place des politiques DMARC, voici quelques éléments clés à prendre en compte :

  • Si vous mettez en œuvre votre politique trop tôt, ou si vous ne disposez pas d'une visibilité suffisante, vous risquez de bloquer ou de réduire l'acheminement de votre courrier électronique légitime. Vous devez avoir une bonne compréhension de la norme DMARC ainsi qu'une bonne visibilité de vos sources de courrier électronique. Nous recommandons également de disposer d'un minimum de quatre semaines de données pour réagir.
  • Aligner chacune de vos sources légitimes de courrier électronique avec DMARC. L'alignement fait référence à la relation entre le domaine dans l'adresse de l'en-tête From et les domaines associés aux enregistrements SPF et DKIM. L'alignement exige que ces domaines correspondent. Seuls les courriels alignés peuvent passer le DMARC..
  • Interprétation de votre taux de conformité DMARC et de son influence sur la progression de votre politique DMARC. Dans la plupart des cas, lorsque vous atteignez un taux de conformité de 98 % ou plus, vous pouvez commencer à faire évoluer votre politique DMARC domaine par domaine. Toutefois, s'il existe une source de courrier électronique dont vous avez connaissance mais que vous avez choisi de ne pas aligner (le fournisseur ne respecte peut-être pas d'autres politiques/normes internes, etc.), il se peut très bien que vous soyez prêt avant la barre des 98 %.
    • Scénario : L'équipe de sécurité informatique responsable du projet DMARC apprend qu'une personne au sein de son organisation utilise un fournisseur de messagerie tiers pour envoyer des messages d'abandon de panier. Ce fournisseur de messagerie tiers a été acheté par une autre équipe, mais n'a pas réussi à l'intégrer conformément aux normes et politiques établies par l'organisation. Il s'avère que ce fournisseur n'est pas autorisé à envoyer des messages pour le compte de cette organisation. Le personnel chargé de la sécurité informatique décide de continuer à renforcer sa politique DMARC, tout en sachant pertinemment que ces messages non autorisés seront touchés.
  • Veillez à faire connaître votre projet DMARC et les progrès réalisés, et à fournir à vos collègues un moyen de faire une demande s'ils pensent que le courrier électronique est affecté.

Le rôle de l'étiquette "pourcentage" de DMARC

Bien que la balise pct soit facultative dans un enregistrement DMARC, en augmentant progressivement le pourcentage, vous pouvez découvrir les actions nécessaires et y remédier avant d'établir une politique DMARC à 100 % p=quarantine ou p=reject . Vous trouverez nos recommandations concernant les balises pct dans la section ci-dessous.

Si vous n'incluez pas la balise pct dans un enregistrement DMARC, 100% est la valeur par défaut ; les valeurs de la balise vont de 1% à 100%. Étant donné que p=none est une politique de surveillance sans action sur les flux de courrier électronique, la balise pct est superflue et ne doit pas être utilisée avec p=none.

Progression délibérée de la politique DMARC

Le processus de mise en œuvre d'une politique DMARC est progressif. Une fois que vos domaines et vos sources de courrier électronique sont conformes à la norme DMARC, vous pouvez commencer à faire passer votre politique de p=none à p=quarantine, puis à p=reject. Vous pouvez également faire bon usage de la balise optionnelle de pourcentage (pct), qui vous permet de contrôler plus finement votre déploiement DMARC.

Une fois que vos domaines et vos sources sont conformes à la norme DMARC, nous vous recommandons d'adopter une politique d'aversion au risque qui se présente comme suit :

Calendrier de progression de la politique DMARC

Lorsque vous développez vos politiques et augmentez les balises pct, vous devez porter une attention particulière à vos flux de courrier électronique afin de vous assurer que vous avez atteint et maintenu un taux élevé de conformité DMARC. En règle générale, il est recommandé d'atteindre un taux de conformité DMARC supérieur à 98 % par domaine.

Pour vérifier le taux de conformité DMARC d'un domaine particulier, nous recommandons d'utiliser le Visualisateur de détails et de filtrer le(s) domaine(s) en question. Pour rappel, la conformité DMARC est obtenue en configurant SPF ou DKIM pour qu'ils passent et s'alignent. Les scores individuels d'alignement SPF ou DKIM ne sont pas aussi importants que le taux de conformité DMARC global.

Voici un exemple de politique DMARC p=quarantine à 25 %, où 25 % des courriels qui échouent seront déplacés vers le spam et les 75 % restants seront sur p=none:

Voici un exemple de politique DMARC p=reject à 100 % ; le serveur de réception rejettera tous les courriels qui échouent à l'authentification DMARC :

Que peut-on attendre d'une politique DMARC sur le site p=quarantine ?

À l'adresse p=quarantine , vous demandez aux destinataires d'envoyer les courriels qui ne satisfont pas au contrôle DMARC dans le dossier spam du destinataire local. Il y a deux détails importants à retenir pour cette politique :

  • Le destinataire est susceptible d'accepter ces messages et de les traiter de la même manière que le spam. Si vous envoyez des messages à une boîte aux lettres grand public (par exemple, gmail.com, hotmail.com, yahoo.com), ces messages seront acheminés vers le dossier spam du destinataire. Si vous envoyez des messages à une boîte aux lettres professionnelle (par exemple Microsoft 365, Google Workgroups, Mimecast), ces messages peuvent être acheminés vers une zone de quarantaine gérée par leur personnel informatique. À aucun moment vous n'aurez accès à l'un ou l'autre de ces environnements pour inspecter ce qui a été mis en quarantaine. La seule exception concerne le courrier destiné à votre propre organisation. Les plates-formes DMARC, telles que dmarcian, doivent être utilisées pour aider à identifier les flux de courrier et la fréquence à laquelle les messages sont mis en quarantaine.
  • L'impact de p=quarantine est observé par les destinataires. Aucune notification n'est envoyée aux expéditeurs ; seuls les destinataires remarquent que les courriels sont soudainement traités comme des spams ou isolés dans un système de quarantaine. Ce signal existe dans le Visualisateur de détails de dmarcian où nous suivons le taux de courrier mis en quarantaine ou rejeté pour vous aider à identifier les succès, les lacunes dans l'authentification et les modèles d'envoi.

Gardez à l'esprit que si la politique p=quarantine peut vous aider à recueillir des points de données et à tester votre déploiement DMARC, une politique p=reject à 100 % est l'état le plus sûr de la protection du domaine et empêchera les messages non authentifiés d'être délivrés à partir de votre domaine. Même en l'absence de DMARC, le destinataire d'un message électronique fait ce qu'il juge approprié. Certains messages frauduleux sont rejetés même sans DMARC ; lorsque vous déployez DMARC, c'est vous qui contrôlez la situation et qui prenez la décision, et non le destinataire.

Que peut-on attendre d'une politique DMARC sur le site p=reject ?

Cette politique d'application de DMARC demande au destinataire de rejeter définitivement l'e-mail. Dans de nombreux cas, un message de rebond (hard bounce) de la série 5XX est généré et communiqué au serveur d'envoi.

Pour garder une trace des messages rejetés, nous vous recommandons de vérifier régulièrement vos données DMARC afin de découvrir les changements de modèle. La politique p=reject est la protection ultime contre le courrier électronique non authentifié, y compris le shadow IT et le courrier électronique malveillant, provenant de votre domaine.

Prochaine étape : Maintenance de DMARC

Une fois que vous avez atteint votre objectif d'application de la politique DMARC ( p=reject), l'étape suivante consiste à établir un processus de gestion à long terme de la conformité DMARC et à minimiser les problèmes potentiels liés à l'application de votre politique DMARC. La phase "Life after Reject" du projet DMARC vise à préparer l'organisation à des développements inattendus ainsi qu'à des changements planifiés. Voici quelques éléments à surveiller avec l'aide de notre plateforme de gestion DMARC après avoir atteint p=reject:

  • Vérifications périodiques des enregistrements SPF - Utilisez notre SPF Surveyor pour vous assurer que vos enregistrements SPF sont à jour en vérifiant si les IP ou les blocs de réseau autorisés à envoyer des courriels au nom de l'organisation sont utilisés ou non. C'est toujours une bonne pratique de vérifier le contenu de votre enregistrement pour les fournisseurs que vous n'utilisez plus ou qui ont été ajoutés par erreur précédemment. C'est ce que l'on appelle la surauthentification, qui est généralement mal vue par les destinataires.
  • Processus d'approbation des modifications SPF - Assurez-vous qu'aucune modification SPF n'est effectuée sans l'approbation du responsable du projet DMARC au sein de votre organisation. Créez des alertes pour vous avertir de toute modification inattendue.
  • Contrôle de la rotation périodique des clés DKIM - Les clés DKIM doivent faire l'objet d'une rotation régulière, soit tous les deux mois, soit tous les ans.
  • Vérification périodique des données DMARC - Veillez à rechercher de nouvelles sources de courrier électronique légitime. Vous pouvez également lancer d'autres investigations telles que le suivi des opportunités de consolidation des fournisseurs, les changements de volume de courrier électronique, les régressions de conformité chez un fournisseur particulier et les modèles de livraison inattendus.
  • Rapports - Configurez dmarcian pour qu'il envoie des rapports sur l'utilisation et l'abus de vos domaines.
  • Gestion des incidents internes - En cas de problèmes de délivrabilité du courrier électronique soupçonnés d'être liés à DMARC, recherchez les problèmes et les solutions. Vous pouvez obtenir une image beaucoup plus complète en filtrant les données DMARC pour comprendre la portée du problème.

En savoir plus sur la vie après la phase de rejet de la gestion DMARC

La mission de dmarcian est de diffuser DMARC dans l'écosystème du courrier électronique afin de rendre le courrier électronique et l'internet plus sûrs. L'avancement de votre politique DMARC à p=reject améliore les taux de délivrabilité et empêche les criminels d'utiliser vos domaines à des fins malveillantes. Notre politique de montée en charge progressive est un moyen sûr d'empêcher les mauvais acteurs d'utiliser votre domaine.

Protégez les personnes qui dépendent de votre courrier électronique
Passer à DMARC

Cet article fait partie de notre série Moving Through DMARC, une collection d'articles destinés à vous aider à comprendre DMARC et à le déployer dans votre catalogue de domaines de messagerie.

DMARCAvantages de DMARCRécepteurs DMARCEnregistrements DMARC

Postes connexes