L'essor de l'adoption de DMARC : Le mandat de Google et Yahoo
En octobre 2023, Google et Yahoo ont annoncé que les expéditeurs d'envois en nombre devaient mettre en place DMARC et d'autres bonnes pratiques pour les expéditeurs à partir de février 2024. Un an après l'annonce de cette obligation, nous profitons de l'occasion pour faire le point sur l'impact de cette mesure sur l'écosystème de la messagerie électronique.
Ces changements sont comme une mise au point pour le monde du courrier électronique, et en corrigeant certaines choses sous le capot, nous pouvons faire en sorte que le courrier électronique fonctionne en douceur. Mais tout comme une mise au point, il ne s'agit pas d'un exercice ponctuel. Le maintien d'une messagerie électronique plus sûre, plus conviviale et exempte de spam nécessite une collaboration et une vigilance constantes de la part de l'ensemble de la communauté de la messagerie électronique. Nous continuerons à travailler ensemble pour garantir la sécurité de votre boîte de réception.
Neil Kumaran, chef de produit, Gmail Security & Trust
Compte tenu de l'expansion constante du paysage des menaces liées au courrier électronique et des pertes dues à l'exploitation des courriers électroniques, il est encourageant de constater que les nouvelles exigences font la différence. Bien que les données de Yahoo ne soient pas encore disponibles, il est facile de comprendre que leur mandat DMARC a considérablement réduit les spams et les courriels d'hameçonnage, tout comme pour Gmail. Nous ne manquerons pas de vous communiquer les chiffres de Yahoo dès qu'ils seront disponibles.
Pourquoi DMARC ?
Certains se sont demandés pourquoi DMARC a été inclus dans la mise à jour des exigences relatives à l'expéditeur. L'un des principaux arguments est que le courrier électronique a été et continue d'être la principale méthode d'attaque des cybercriminels. Une fois le courrier électronique compromis, les malfaiteurs peuvent accéder aux ressources de l'organisation telles que les réseaux, les bases de données et les fournisseurs tiers. DMARC est le principal moyen d'observer et de restreindre le domaine du courrier électronique.
Les acteurs malveillants sont mieux à même de se cacher en raison de la prolifération des expéditeurs en masse qui ne sécurisent pas leurs domaines d'envoi. Google et Yahoo réagissent à l'augmentation du trafic de spam et de phishing et sont motivés pour que leurs boîtes de réception restent utiles en n'étant pas envahies par des intrusions indésirables.
De nombreuses plateformes SaaS qui envoient des courriers électroniques pour le compte de leurs clients, comme les services de marketing numérique, les lettres d'information et les systèmes de gestion de la relation client, sont très attachées aux meilleures pratiques en matière de délivrabilité, car leur positionnement dans la boîte de réception se répercute directement sur l'efficacité de leurs services. Les initiatives de Yahoo et de Google signifient que ces plateformes ont désormais intérêt à intégrer les meilleures pratiques DMARC dans leurs processus d'intégration, notamment en garantissant l'exactitude des enregistrements SPF, la signature DKIM et en fournissant des recommandations DMARC.
Ash Morin, dmarcian Directeur du déploiement, Amériques
Cela accroît également leur responsabilité en matière d'éducation de leurs clients. Il est donc impératif que les propriétaires de domaines et les fournisseurs de services tiers reçoivent de l'aide pour comprendre le DMARC afin de soutenir au mieux leurs organisations respectives. Nous sommes tous dans le même bateau, aujourd'hui plus que jamais.
Impact sur l'écosystème
Orchestrée par deux des plus grands fournisseurs de boîtes de réception au monde, l'exigence DMARC pour les expéditeurs a motivé les pairs de l'écosystème de la messagerie à s'aligner sur la norme de l'industrie. Microsoft, un autre grand fournisseur de boîtes de réception, prépare le terrain pour imposer DMARC aux expéditeurs, bien qu'il n'ait pas encore publié de calendrier au moment de la rédaction de cet article.
Les fournisseurs de services de courrier électronique (ESP), qui travaillent avec les propriétaires de domaines pour envoyer des courriers électroniques en leur nom, s'alignent également sur les besoins de leurs clients pour garantir la fonctionnalité de DMARC et de ses protocoles d'authentification éprouvés SPF et DKIM. Ces sourcescomme nous les appelons, sont des entreprises qui disposent d'une infrastructure pour envoyer des courriels au nom d'autres personnes. Il peut s'agir d'ESP, de fournisseurs de services internet et d'autres services tels que les systèmes d'assistance/de billetterie, les fournisseurs de paiement, les services de commerce électronique, etc.
Quel que soit leur fournisseur de courrier électronique, tous les utilisateurs méritent de bénéficier de l'expérience la plus sûre possible. Dans le monde interconnecté de la messagerie électronique, il faut pour cela que nous travaillions tous ensemble.
Marcel Becker, directeur principal des produits chez Yahoo
Quelle est la prochaine étape ?
Le mandat 2024 de Google et Yahoo exige que la politique DMARC soit à l'adresse suivante p=noneCe qui permet de contrôler les sources qui envoient des courriels au nom d'un domaine particulier, mais n'a pas d'effet sur leur distribution. Il s'agit de la première phase du déploiement de DMARC, mais elle n'offre aucune protection contre l'hameçonnage ou les abus de domaine.
Chez dmarcian, nous avons remarqué que la grande majorité des domaines qui sont entrés au cours de cette période sont restés à l'adresse p=noneet le resteront probablement jusqu'à ce que Google ou Yahoo mettent à jour leurs directives et exigent un niveau d'application plus élevé. Si certains ont eu du mal à mettre en place l'exigence de base cette année, on peut s'attendre à une nouvelle vague de travail à mesure que les organisations progresseront dans le processus d'identification des sources valides qui envoient des messages en leur nom.
Dans le cadre de notre mission visant à promouvoir l'adoption du DMARC, nous avons créé la ressource d'expéditeurs la plus vaste et la plus complète sur dmarc.io. Cette base de données gratuite et non soumise à autorisation répertorie des milliers d'expéditeurs dans le monde entier, ainsi que des informations détaillées sur leur capacité à prendre en charge DMARC et les technologies SPF et DKIM qui l'accompagnent. Ces informations alimentent le puissant moteur de classification des sources de notre plateforme de gestion DMARC, qui facilite grandement l'identification des utilisations valides de vos domaines de courrier électronique.
L'une des conséquences du mandat de Google et Yahoo est que DMARC, en tant que technologie, passe du domaine des techniciens informatiques spécialisés et des spécialistes de la cybersécurité à celui des services de marketing et des propriétaires de petites entreprises.
Pour répondre à cette évolution, dmarcian s'engage à fournir des ressources éducatives gratuites et à améliorer continuellement ses offres pour refléter ce changement dynamique. Nous sommes là pour faciliter le travail des personnes qui s'efforcent d'améliorer le courrier électronique.
Consultez nos ressources DMARC gratuites :
Nous sommes là pour vous aider
Avec une équipe d'experts en sécurité du courrier électronique et une mission visant à rendre le courrier électronique et l'Internet plus fiables grâce à la sécurité des domaines, dmarcian est là pour aider à évaluer le catalogue de domaines d'une organisation et à mettre en œuvre et gérer DMARC à long terme.
Vous voulez continuer la conversation ? Rendez-vous sur le forum dmarcien.