Alignement DMARC

L'alignement est un concept clé dans l'introduction de DMARC ; il s'agit de l'exigence selon laquelle le domaine utilisé pour un résultat SPF ou DKIM valide DOIT correspondre au domaine de l'en-tête From dans le corps du message électronique.

Bien que SPF et DKIM soient des technologies généralement connues, il est important de comprendre que ni SPF ni DKIM, à eux seuls, n'ont de lien avec l'adresse d'expéditeur (From), celle que les utilisateurs voient habituellement dans un e-mail. C'est pourquoi le phishing, le spoofing, l'informatique parallèle (Shadow IT) et d'autres utilisations non contrôlées ou abusives de domaines sont monnaie courante aujourd'hui. Très peu de contrôles empêchent les acteurs malveillants d'envoyer un e-mail en votre nom. Le contrôle principal pour observer et restreindre l'utilisation des domaines de messagerie est DMARC.

L'alignement des identifiants est au cœur de DMARC. C'est ce qui établit le lien entre les mécanismes d'authentification SPF et DKIM et la politique d'application pour les courriers non authentifiés, telle que dictée dans l'enregistrement DMARC. L'alignement fait référence à la relation entre le domaine de l'adresse de l'en-tête From et les domaines associés aux vérifications d'authentification SPF et DKIM. L'alignement exige que ces domaines correspondent. Seuls les e-mails alignés peuvent passer DMARC. Une non-correspondance des domaines entraînera un échec DMARC.

Les exemples suivants illustrent la relation d'alignement :

Le processus d'alignement de votre messagerie prouve au monde extérieur qu'un fournisseur ou un serveur particulier a été explicitement autorisé à envoyer des e-mails au nom de votre organisation. L'idée générale est qu'une fois que vous avez aligné tous les courriers que vous souhaitez voir livrés, vous pouvez demander aux récepteurs d'e-mails de rejeter tout ce que vous n'avez pas approuvé. Sans alignement, des degrés d'incertitude sont introduits lorsqu'un récepteur d'e-mails tente de confirmer l'origine et la fiabilité d'un message.

Comme DMARC est un contrôle basé sur le domaine, vous devrez configurer individuellement chaque fournisseur qui envoie des e-mails en votre nom. Pour ce faire, vous devrez accéder au DNS de votre organisation et contacter les fournisseurs pour les configurer afin qu'ils envoient des e-mails alignés. Chaque fournisseur, ou source, comme nous l'appelons chez dmarcian, aura une variation légèrement différente sur la façon de configurer l'alignement ; ces particularités expliquent pourquoi il est important de comprendre comment identifier et organiser vos sources et d'avoir une compréhension de la gestion des fournisseurs par rapport à votre écosystème de messagerie.

Souvent, les fournisseurs tiers vous permettront d'intégrer leur solution sans les prérequis d'un projet DMARC, car ils ne veulent pas introduire d'obstacles à l'adoption de leur solution. En conséquence, de nombreux fournisseurs ont rendu l'authentification des e-mails facultative, bien que presque tous la prennent en charge. Nous avons catalogué et détaillé plus de 1 000 sources tierces, leurs capacités et les instructions sur la façon de configurer les paramètres associés.

Votre objectif ultime est d'atteindre un alignement aussi proche que possible de 100 % avec chacun de vos fournisseurs d'e-mails, puis de publier une politique DMARC de plus en plus restrictive de p=quarantine et p=reject. Une fois votre objectif d'alignement atteint, suivez ce guide pour en savoir plus sur chaque politique et minimiser l'impact sur les e-mails légitimes.