Comment dmarcian identifie-t-il les sources/le renvoi/la menace ?
dmarcian maintient des règles pour classer les données DMARC en 4 grandes catégories. Nos catégories sont :
- Compatible DMARC
- Sources non conformes
- Services de redirection
- Menace/Inconnu
Lorsque nous analysons des données pour ajouter une règle, nous essayons d'identifier l'origine des e-mails et si la source peut être configurée pour la conformité DMARC. Nous publions les résultats de nos investigations sous licence Creative Commons sur dmarc.io — un site géré par dmarcian au profit de la communauté e-mail.
Voici les explications des quatre catégories.
Compatible DMARC
Si nous découvrons une source d'e-mails capable d'envoyer des e-mails conformes à DMARC, nous indiquerons si la source est conforme via SPF et/ou DKIM. Nous documenterons également comment la source peut être configurée pour envoyer des e-mails conformes à DMARC. Lorsqu'elles sont affichées dans les outils dmarcian, les sources compatibles DMARC sont souvent accompagnées de statistiques montrant le niveau actuel de conformité DMARC pour les e-mails associés à la source.
Sources non conformes
Lorsque nous examinons une source d'e-mails et constatons qu'elle n'est pas capable d'envoyer des e-mails conformes à DMARC, la source est finalement classée comme « Non-conforme ». Nous faisons cela 1) pour faire gagner du temps à nos utilisateurs afin qu'ils ne perdent pas leur temps à essayer de faire en sorte qu'une source d'e-mails envoie des e-mails conformes à DMARC, et 2) pour sensibiliser aux sources qui n'ont pas encore trouvé comment envoyer des e-mails conformes à DMARC. Si vous utilisez un service qui apparaît dans les « Sources non conformes », vous pouvez les orienter vers Comment envoyer des e-mails conformes à DMARC au nom d'autres personnes.
Services de redirection
La redirection d'e-mails se produit sur Internet. La redirection se produit généralement lorsque vous envoyez un e-mail à quelqu'[email protected] et que cette personne a configuré sa messagerie pour qu'elle soit redirigée vers un autre endroit comme quelqu'[email protected]. Les personnes qui ont une adresse e-mail datant de longtemps mais qui ont décidé de passer à un fournisseur de webmail entrent souvent dans cette catégorie. Autres exemples : les personnes ayant des adresses d'anciens élèves qui sont redirigées ailleurs et les listes de diffusion, comme les Google Groupes. Dans tous les cas, du point de vue du récepteur d'e-mails (celui qui génère les rapports DMARC XML), votre e-mail semble provenir d'une infrastructure qui n'a par ailleurs rien à voir avec vous.
La signature DKIM peut survivre à la redirection. Si votre domaine est couvert par DKIM, la capacité de dmarcian à détecter les redirections augmente. SPF ne fonctionne pas dans le contexte de la redirection, car SPF est simplement une liste de serveurs autorisés à envoyer au nom de votre domaine. Il n'est pas possible pour un propriétaire de domaine de maintenir une liste de services de redirection.
dmarcian maintient un petit ensemble de règles pour identifier les services de redirection bien connus. Certains services de redirection préservent DKIM s'il est présent, d'autres semblent toujours rompre les signatures DKIM.
Menace/Inconnu
Si nous n'avons pas de règle pour classer une donnée, nous placerons cette donnée dans la catégorie « Menace/Inconnu ». Les utilisateurs trouveront parfois des sources d'e-mails légitimes dans cette catégorie. Lorsque cela se produit, nous créons des règles pour retirer la source.
Enfin, nous maintenons un petit nombre de règles qui signalent des campagnes spécifiques de « Menace ». Notre philosophie n'est cependant pas de mettre l'accent sur les différentes manières, en constante évolution, dont les criminels peuvent envoyer de faux e-mails, et ces règles ne sont donc généralement pas très utiles. Pourquoi classer le tas de fumier en constante évolution que les criminels créent, alors qu'il est possible de tout bloquer simplement ?
Vous souhaitez poursuivre la conversation ? Rendez-vous sur le Forum dmarcian.
