Skip to main content
Comment dmarcian identifie-t-il les sources/les destinataires/les menaces ?

Comment dmarcian identifie-t-il les sources/les destinataires/les menaces ?

-
Plate-forme dmarcienne

dmarcian maintient des règles pour classer les données DMARC en 4 catégories de haut niveau. Nos catégories sont :

  • Compatible avec DMARC
  • Sources non conformes
  • Transporteurs
  • Menace/Inconnu

Lorsque nous enquêtons sur les données pour ajouter une règle, nous essayons d'identifier d'où proviennent les e-mails et si la source peut être configurée ou non pour la conformité DMARC. Nous publions les résultats de nos enquêtes sous une licence Creative Commons sur dmarc.io-unsite que dmarcian gère pour le bénéfice de la communauté du courrier électronique.

Les explications des quatre catégories suivent.

Compatible avec DMARC

Si nous découvrons une source d'e-mails capable d'envoyer des e-mails conformes à DMARC, nous noterons si la source est conforme via SPF et/ou DKIM. Nous documenterons également comment la source peut être configurée pour envoyer des e-mails conformes à DMARC. Lorsqu'elles sont affichées dans les outils dmarcian, les sources compatibles DMARC sont souvent accompagnées de statistiques montrant le niveau actuel de conformité DMARC pour les e-mails associés à la source.

Sources non conformes

Lorsque nous enquêtons sur une source de courrier électronique et que nous constatons qu'elle n'est pas en mesure d'envoyer des messages conformes à la norme DMARC, la source est classée dans la catégorie "non conforme". Nous faisons cela 1) pour faire gagner du temps à nos utilisateurs, afin qu'ils ne perdent pas leur vie à essayer de faire en sorte qu'une source d'e-mails envoie des e-mails conformes à la norme DMARC, et 2) pour sensibiliser les utilisateurs aux sources qui n'ont pas encore compris comment envoyer des e-mails conformes à la norme DMARC. Si vous utilisez un service qui figure dans la liste des "Sources non conformes", vous pouvez le renvoyer à la page Comment envoyer des messages conformes à la norme DMARC pour le compte d'autres personnes.

Transporteurs

Le transfert de courrier électronique se produit sur l'Internet. La redirection se produit généralement lorsque vous envoyez un message à someone@EXAMPLE.ORG et que cette personne a configuré son message pour qu'il soit redirigé vers un autre endroit, comme someone@SAMPLE.NET. Les personnes qui possèdent une adresse électronique datant d'il y a longtemps mais qui ont décidé de passer à un fournisseur de messagerie Web entrent souvent dans cette catégorie. Autres exemples : les personnes ayant des adresses d'anciens élèves qui sont redirigées vers un autre endroit et les listes de diffusion, comme Google Groups. Dans tous les cas, du point de vue du destinataire de l'e-mail (celui qui génère les rapports DMARC XML), votre e-mail semble provenir d'une infrastructure qui n'a rien à voir avec vous.

La signature DKIM peut survivre à la redirection. Si votre domaine est couvert par DKIM, la capacité de dmarcian à détecter le transfert augmente. SPF ne fonctionne pas dans le contexte du transfert, car SPF est simplement une liste de serveurs qui sont autorisés à envoyer des messages au nom de votre domaine. Il n'est pas possible pour un propriétaire de domaine de maintenir une liste de transitaires.

dmarcian maintient un petit ensemble de règles pour identifier les transitaires bien connus. Certains transitaires préservent la signature DKIM si elle est présente, d'autres semblent toujours casser les signatures DKIM.

Menace/Inconnu

Si nous n'avons pas de règle pour classer une donnée, nous la placerons dans la catégorie "Menace/Inconnu". Les utilisateurs trouvent parfois des sources légitimes de courrier électronique dans cette catégorie. Lorsque cela se produit, nous créons des règles pour retirer la source.

Enfin, nous maintenons un petit nombre de règles qui appellent des campagnes spécifiques de "Menace". Notre philosophie n'est pas de mettre l'accent sur les différentes et changeantes façons dont les criminels peuvent envoyer de faux e-mails, cependant, et donc ces règles ne sont généralement pas très utiles. Pourquoi classer le tas de fumier en constante évolution que les criminels créent, alors qu'il est possible de tout bloquer ?

Vous voulez poursuivre la conversation ? Rendez-vous sur le forum dmarcien.