Bonnes pratiques : Faire progresser votre politique DMARC
Bien que la taille, la complexité et l'état d'avancement d'un projet DMARC puissent varier considérablement, ils ont tous en commun le défi de comprendre quand il est approprié de faire évoluer votre politique. Ce guide aborde les considérations clés, les conseils de validation d'étape et les directives de syntaxe DNS nécessaires pour vous aider à faire évoluer en toute confiance vos domaines vers une politique DMARC stricte de p=reject.
Politiques DMARC
Tout d'abord, un bref aperçu des politiques DMARC ; la séquence dans laquelle elles sont traditionnellement appliquées ; et comment elles varient en termes de protections contre le phishing, l'usurpation d'identité et l'utilisation non autorisée de vos domaines :
- Les trois modes de politique sont none, quarantine et reject.
- Ces politiques sont généralement appliquées dans l'ordre indiqué ci-dessus. Dans certaines circonstances, il peut être approprié d'appliquer la politique la plus stricte, à savoir p=reject au début si, par exemple, vous appliquez DMARC à des domaines parqués, c'est-à-dire des domaines qui ont été retirés ou qui ne sont pas utilisés.
- Les organisations qui reçoivent vos e-mails consulteront la politique DMARC de votre DNS afin de respecter la manière dont vous souhaitez que votre courrier soit traité.
- Enfin, les politiques :
- p=none est la première politique appliquée dans un projet DMARC traditionnel. La politique "None" est utilisée pour obtenir une visibilité totale sur la façon dont votre domaine est utilisé sans avoir d'impact ou d'influence sur la façon dont vos courriels sont traités par les destinataires. C'est comme si vous disiez à Gmail ou à Yahoo : "Ne traitez pas mon courrier électronique différemment de ce que vous feriez normalement, mais envoyez-moi des rapports DMARC pour que je puisse prendre une décision éclairée sur le reste de mon projet. En clair, "aucune" n'offre aucune protection, mais vous permet d'avoir la même visibilité que les autres politiques plus restrictives.
- p=quarantine est la deuxième politique appliquée dans un projet DMARC traditionnel. La politique de quarantaine offre une protection partielle contre l'utilisation non autorisée de votre domaine et représente une étape importante dans un projet DMARC. La quarantaine indique au destinataire du courriel qu'il doit quand même accepter le message, mais qu'il doit en diminuer la fiabilité et le placer dans son dossier spam/quarantaine.
- p=reject offre la meilleure protection contre l'utilisation non autorisée de votre domaine. La mention "Reject" indique aux destinataires des courriels de bloquer purement et simplement les courriels qui n'ont pas été vérifiés dans le cadre du programme DMARC. Contrairement à p=quarantineavec p=reject un avis de rejet du message est envoyé à l'expéditeur. Ces événements de blocage sont également mis en évidence dans les données DMARC, de sorte que vous pouvez facilement observer combien de messages sont rejetés et par quelle source de courrier électronique.
- p=none est la première politique appliquée dans un projet DMARC traditionnel. La politique "None" est utilisée pour obtenir une visibilité totale sur la façon dont votre domaine est utilisé sans avoir d'impact ou d'influence sur la façon dont vos courriels sont traités par les destinataires. C'est comme si vous disiez à Gmail ou à Yahoo : "Ne traitez pas mon courrier électronique différemment de ce que vous feriez normalement, mais envoyez-moi des rapports DMARC pour que je puisse prendre une décision éclairée sur le reste de mon projet. En clair, "aucune" n'offre aucune protection, mais vous permet d'avoir la même visibilité que les autres politiques plus restrictives.
Préparation à la progression des politiques DMARC
Avant de commencer à faire progresser les politiques DMARC, voici quelques considérations clés :
- Faire progresser votre politique trop tôt, ou sans visibilité adéquate, peut entraîner le blocage ou la dégradation de la livraison de vos e-mails légitimes. Vous devez avoir une compréhension appropriée de la norme DMARC ainsi qu'une visibilité sur vos sources d'e-mails. Nous recommandons également de disposer d'un minimum de quatre semaines de données pour réagir.
- Aligner chacune de vos sources légitimes de courrier électronique avec DMARC. L'alignement fait référence à la relation entre le domaine dans l'adresse de l'en-tête From et les domaines associés aux enregistrements SPF et DKIM. L'alignement exige que ces domaines correspondent. Seuls les messages électroniques alignés peuvent passer le DMARC..
- Interpréter votre taux de conformité DMARC en pourcentage et comment il devrait influencer la progression de votre politique DMARC. Dans la plupart des cas, après avoir atteint un taux de conformité de 98 % ou plus, vous pouvez commencer à faire progresser votre politique DMARC domaine par domaine. Cependant, s'il existe une source d'e-mails dont vous avez connaissance mais que vous choisissez de ne pas l'aligner (peut-être que le fournisseur ne respecte pas d'autres politiques/normes internes, etc.), vous pourriez très bien être prêt avant la barre des 98 %.
- Scénario : Le personnel de sécurité informatique responsable du projet DMARC apprend qu'une personne au sein de son organisation utilise un fournisseur de services de messagerie tiers pour envoyer des messages d'abandon de panier. Ce fournisseur tiers a été acquis par une autre équipe mais n'a pas été intégré conformément aux normes et politiques établies par l'organisation. Ce fournisseur est jugé non autorisé à envoyer des messages au nom de cette organisation particulière. Le personnel de sécurité informatique décide de continuer à renforcer sa politique DMARC, sachant pertinemment que ces messages non autorisés seront affectés.
- Scénario : Le personnel de sécurité informatique responsable du projet DMARC apprend qu'une personne au sein de son organisation utilise un fournisseur de services de messagerie tiers pour envoyer des messages d'abandon de panier. Ce fournisseur tiers a été acquis par une autre équipe mais n'a pas été intégré conformément aux normes et politiques établies par l'organisation. Ce fournisseur est jugé non autorisé à envoyer des messages au nom de cette organisation particulière. Le personnel de sécurité informatique décide de continuer à renforcer sa politique DMARC, sachant pertinemment que ces messages non autorisés seront affectés.
- Assurez-vous de communiquer sur votre projet DMARC, les progrès réalisés, et offrez à vos collègues un moyen de poser des questions s'ils estiment que des e-mails sont affectés.
Le rôle de la balise de pourcentage de DMARC
Bien que la balise pct soit facultative dans un enregistrement DMARC, en augmentant progressivement le pourcentage, vous pouvez découvrir les actions nécessaires et y remédier avant d'établir un enregistrement DMARC à 100 %. p=quarantine ou p=reject DMARC à 100 %. Vous trouverez nos recommandations concernant les balises pct dans la section ci-dessous.
Si vous n'incluez pas la balise pct dans un enregistrement DMARC, 100% est la valeur par défaut ; les valeurs de la balise vont de 1% à 100%. Parce que p=none étant une politique de surveillance sans action sur les flux d'e-mails, la balise pct est superflue et ne doit pas être utilisée avec p=none.
Progression délibérée des politiques DMARC
Le processus de mise en place d'une politique DMARC est progressif. Une fois que vos domaines et vos sources de courrier électronique sont conformes à DMARC, vous pouvez commencer à faire passer votre politique de p=none à p=quarantinepuis de p=reject. Vous pouvez également faire bon usage de la balise optionnelle de pourcentage (pct), qui vous permet de contrôler plus finement votre déploiement DMARC.
Une fois que vos domaines et sources sont conformes à DMARC, nous recommandons une progression de politique averse au risque qui se présente comme suit :
Lorsque vous faites progresser vos politiques et augmentez les balises pct, vous devez prêter une attention particulière à vos flux d'e-mails pour vous assurer que vous avez atteint et maintenu un taux élevé de conformité DMARC. Généralement, un taux de conformité DMARC supérieur à 98 % par domaine est recommandé.
Pour vérifier le taux de conformité DMARC d'un domaine particulier, nous recommandons d'utiliser le Detail Viewer et de filtrer pour le ou les domaines en question. Pour rappel, la conformité DMARC est atteinte en configurant SPF ou DKIM pour qu'ils passent et s'alignent. Les scores d'alignement SPF ou DKIM individuels ne sont pas aussi importants que le taux de conformité DMARC global.
Voici un exemple de DMARC p=quarantine à 25 %, où 25 % des courriels qui échouent seront déplacés vers le spam et les 75 % restants seront placés dans la catégorie p=none:
Et voici un exemple de DMARC p=reject à 100 % ; le serveur de réception rejettera tous les courriels qui échouent à l'authentification DMARC :
Que peut-on attendre d'une p=quarantine Politique DMARC
A p=quarantine vous demandez aux destinataires d'envoyer les courriels qui ne satisfont pas au contrôle DMARC dans le dossier spam du destinataire local. Il y a deux détails importants à retenir pour cette politique :
- Le récepteur est susceptible d'accepter ces messages et de les traiter de la même manière que les spams. Si vous envoyez des messages à une boîte aux lettres orientée consommateur (ex. gmail.com, hotmail.com, yahoo.com), ces messages seront acheminés vers le dossier de spam du destinataire. Si vous envoyez des messages à une boîte aux lettres orientée entreprise (ex. Microsoft 365, Google Workgroups, Mimecast), ces messages peuvent être acheminés vers une zone de quarantaine gérée par leur personnel informatique. À aucun moment vous n'aurez accès à l'un de ces environnements pour inspecter ce qui a été mis en quarantaine. La seule exception concerne le courrier destiné à votre propre organisation. Les plateformes DMARC, telles que dmarcian, doivent être utilisées pour aider à identifier quels flux de courrier et à quelle fréquence les messages sont mis en quarantaine.
- L'impact de p=quarantine est observé par les destinataires. Aucune notification n'est envoyée aux expéditeurs ; seuls les destinataires remarquent que les courriels sont soudainement traités comme des spams ou isolés dans un système de quarantaine. Ce signal existe dans le Visualisateur de détails de dmarcian où nous suivons le taux de courrier mis en quarantaine ou rejeté pour vous aider à identifier les succès, les lacunes dans l'authentification et les modèles d'envoi.
Gardez à l'esprit que si l'option p=quarantine peut vous aider à recueillir des données et à tester votre déploiement DMARC, une politique de p=reject à 100 % est l'état le plus sûr de la protection du domaine et empêchera les messages non authentifiés d'être délivrés à partir de votre domaine. Même en l'absence de DMARC, le destinataire d'un message électronique fait ce qu'il juge approprié. Certains messages frauduleux sont rejetés même sans DMARC ; lorsque vous déployez DMARC, c'est vous qui contrôlez la situation et qui prenez la décision, et non le destinataire.
Que peut-on attendre d'un p=reject Politique DMARC
Cette politique d'application DMARC ordonne au récepteur de rejeter définitivement l'e-mail. Dans de nombreux cas, un message de rebond dur de la série 5XX est généré et communiqué au serveur d'envoi.
Pour suivre les messages rejetés, nous recommandons d'établir une cadence régulière de vérification de vos données DMARC afin de détecter les changements de modèles. La politique p=reject est la protection ultime contre les e-mails non authentifiés, y compris l'informatique parallèle (shadow IT) et les e-mails malveillants, provenant de votre domaine.
Étape suivante : Maintenance DMARC
Une fois que vous avez atteint votre objectif d'application de la politique DMARC, à savoir p=rejectl'étape suivante consiste à mettre en place un processus de gestion à long terme de la conformité DMARC et à minimiser les problèmes potentiels liés à l'application de votre politique DMARC. La phase "Life after Reject" du projet DMARC vise à préparer l'organisation à des développements inattendus ainsi qu'à des changements planifiés. Voici quelques éléments à surveiller avec l'aide de notre plateforme de gestion DMARC après avoir atteint la phase de p=reject:
- Vérifications périodiques des enregistrements SPF - Utilisez notre SPF Surveyor pour vous assurer que vos enregistrements SPF sont à jour en vérifiant si les IP ou les blocs de réseau autorisés à envoyer des courriels au nom de l'organisation sont utilisés ou non. C'est toujours une bonne pratique de vérifier le contenu de votre enregistrement pour les fournisseurs que vous n'utilisez plus ou qui ont été ajoutés par erreur précédemment. C'est ce que l'on appelle la surauthentification, qui est généralement mal vue par les destinataires.
- Processus d'approbation des modifications SPF - Assurez-vous qu'aucune modification SPF n'est effectuée sans l'approbation du responsable du projet DMARC au sein de votre organisation. Créez des alertes pour vous avertir de toute modification inattendue.
- Surveillance de la rotation périodique des clés DKIM – Les clés DKIM doivent être renouvelées régulièrement ; cela peut être tous les quelques mois ou annuellement.
- Vérification périodique des données DMARC – Assurez-vous de rechercher de nouvelles sources d'e-mails légitimes. Vous pouvez également lancer d'autres investigations telles que le suivi des opportunités de consolidation de fournisseurs, les changements de volume d'e-mails, les régressions de conformité chez un fournisseur particulier et les schémas de livraison inattendus.
- Rapports - Configurez dmarcian pour qu'il envoie des rapports sur l'utilisation et l'abus de vos domaines.
- Gestion interne des incidents – S'il y a des problèmes de délivrabilité des e-mails suspectés d'être liés à DMARC, recherchez les problèmes et les solutions. Vous pouvez obtenir une image beaucoup plus complète en filtrant les données DMARC pour comprendre l'étendue du problème.
En savoir plus sur la phase « Vie après Reject » de la gestion DMARC
La mission de dmarcian est de diffuser DMARC dans l'écosystème du courrier électronique afin de rendre le courrier électronique et l'internet plus sûrs. Faire évoluer votre politique DMARC vers p=reject améliore les taux de délivrabilité et empêche les criminels d'utiliser vos domaines à des fins malveillantes. Notre politique de montée en puissance progressive est un moyen sûr d'empêcher les mauvais acteurs de s'emparer de votre domaine.
Cet article fait partie de notre série Progresser avec DMARC, une collection d'articles pour vous aider à comprendre DMARC et à le déployer sur l'ensemble de votre catalogue de domaines de messagerie.
