Comment le transfert d'e-mails affecte DMARC
Le transfert d'e-mails peut parfois perturber les résultats d'authentification DMARC, et nous recevons souvent des questions sur la gestion des e-mails transférés, en particulier avec les listes de diffusion.
Les e-mails sont transférés automatiquement en permanence, plus souvent que la plupart des gens ne l'imaginent. Le transfert se produit automatiquement lorsque vous envoyez un e-mail à [email protected] et que cette personne a configuré sa messagerie pour qu'elle soit transférée vers une boîte de réception distincte, comme [email protected].
Un autre cas courant de transfert automatique est une liste de diffusion, comme Google Groups. Du point de vue du récepteur d'e-mails – celui qui génère les rapports DMARC XML – votre e-mail semble provenir d'une infrastructure qui n'a rien à voir avec vous.
Dans Google Groups, les données DMARC qui affichent le transfert montreront votre domaine comme expéditeur, une IP Google comme expéditeur, et une variété de récepteurs qui envoient le rapport DMARC dans le cadre de leur vérification DMARC. Ce nombre peut augmenter de manière assez spectaculaire si le transfert est effectué dans le cadre de la livraison de Google Group. Les Google Groups se comportent de la même manière que les listes de diffusion.
La signature DKIM peut survivre au transfert. Si votre domaine est couvert par DKIM, la capacité de dmarcian à détecter le transfert augmente. SPF ne fonctionne pas dans le contexte du transfert car SPF est simplement une liste de serveurs autorisés à envoyer au nom de votre domaine, et il n'est pas réalisable de maintenir une liste de forwarders dans un enregistrement SPF. dmarcian prend en charge un ensemble de règles pour identifier les forwarders bien connus sur notre plateforme afin d'aider les utilisateurs à identifier et analyser le trafic d'e-mails transférés.
L'onglet « Expéditeurs » (Forwarders) de notre Afficheur détaillé ci-dessous indique quelles sources transfèrent des e-mails en votre nom et si le transfert passe ou non DMARC. Comme nous l'avons mentionné précédemment, les e-mails transférés ne peuvent être authentifiés que par DKIM, bien que les signatures DKIM puissent être involontairement rompues en raison de la manière dont les messages sont transférés via différents types d'infrastructures de messagerie. Pour les e-mails transférés, votre conformité DMARC est égale à la « survie » de vos signatures DKIM lorsqu'elles transitent par les expéditeurs.
Globalement, notre onglet « Expéditeurs » (Forwarders) est conçu pour vous montrer dans quelle mesure et à quelle fréquence les e-mails que vous envoyez sont généralement transférés, ainsi que leur conformité DMARC. Pour améliorer cette conformité, déployez DKIM partout où cela est possible sur vos sources d'e-mails.
Asher Morin, Directeur du déploiement chez dmarcian
Pour aider les opérateurs à suivre la capacité de transfert des sources d'e-mails, nous maintenons un répertoire qui liste les expéditeurs d'e-mails liés à DMARC et leur interopérabilité DMARC à l'adresse https://dmarc.io/forwarders/.
Pour augmenter vos taux de conformité DMARC avec le transfert, assurez-vous d'utiliser la signature DKIM avec vos sources compatibles DMARC qui prennent en charge DKIM. Cela permettra aux messages transférés de passer les vérifications DMARC à l'étape suivante, tant que l'intermédiaire n'a pas modifié le corps ou les en-têtes pertinents.
Il est également important de garder à l'esprit qu'en tant que propriétaire de domaine, vous n'avez aucun contrôle sur le moment et l'endroit où les destinataires définissent une règle de transfert automatique pour les e-mails reçus de votre part. Ils seront informés en cas d'échecs dus au transfert, et il leur incombe de prendre des mesures correctives afin de recevoir vos e-mails avec succès.
Nous sommes là pour vous aider
Avec une équipe d'experts en sécurité e-mail et une mission visant à rendre l'e-mail et Internet plus fiables grâce à la sécurité des domaines, dmarcian est là pour aider à évaluer le catalogue de domaines d'une organisation, et à implémenter et gérer DMARC sur le long terme.
Vous souhaitez poursuivre la conversation ? Rendez-vous sur le Forum dmarcian.
