Skip to main content
Comment déployer DMARC pour le traitement des flux entrants ?

Comment déployer DMARC pour le traitement des flux entrants ?

- 17 décembre 2015
DéploiementConseils techniques

Avec l'adoption croissante de DMARC, de plus en plus de personnes envisagent d'utiliser DMARC pour filtrer leurs propres e-mails. Nous avons rédigé cet article pour vous expliquer comment faire du "DMARC entrant".

Le courrier électronique est vaste et DMARC est encore en cours d'adoption. Lorsque vous commencerez à filtrer les e-mails entrants à l'aide de DMARC, vous découvrirez deux choses importantes :

  1. Les e-mails arrivent de toutes sortes d'endroits différents.
  2. Les courriels légitimes utilisant votre domaine peuvent provenir du monde extérieur.

L'application de la politique DMARC (y compris celle de votre propre domaine !) à votre courrier électronique entrant sans tenir compte de ce qui précède entraînera le blocage de courriers électroniques légitimes. Il est certain que cela rendra les gens mécontents.

Courriel à partir de différents endroits

Lorsque le courrier électronique circule de "A" à "B", le filtrage est facile et tout fonctionne en quelque sorte.

Diagramme de flux

Lorsque le courrier électronique passe de "A" à "F" pour arriver à "B", c'est là que le traitement des messages entrants devient délicat.

diagramme de flux

Lors du traitement du courrier électronique entrant, vous recevrez un message prétendant provenir de "A", et "A" aura mis en place une politique de rejet DMARC. Malheureusement, cet e-mail arrivera de "F" avant de se retrouver chez vous ("B"). Le hic, c'est que "F" pourrait vous empêcher d'utiliser DMARC pour déterminer la légitimité de l'e-mail.

Le SPF ne fonctionne pas

Lorsque le courriel passe par une étape intermédiaire, la liste des serveurs autorisés que SPF vérifie n'inclut pas l'étape intermédiaire. Dang.

DKIM va casser

Si "F" finit par modifier le contenu de l'e-mail, DKIM sera rompu. Cela se produit lorsque des listes de diffusion ajoutent des pieds de page, ou lorsqu'une machine ajoute quelque chose comme "Scanné par Blahsoft pour les virus !" Dang x2.

"F" se produit sur l'Internet. Le transfert, les listes d'adresses électroniques (ou listservs), les alias de messagerie de groupe, les services d'analyse... tous ces éléments sont susceptibles d'être utilisés aujourd'hui pour le courrier électronique entrant dans votre infrastructure.

Pour traiter le "F"

  1. Identifiez les "F" qui affectent votre capacité à vérifier DMARC.
  2. Créez des exceptions à votre traitement afin que DMARC ne soit pas appliqué à des flux d'e-mails légitimes qui sont autrement déchirés par un "F".
  3. Si vous le pouvez, faites savoir à "F" qu'il y a une meilleure façon de transmettre les e-mails.

E-mails externes légitimes sur votre domaine

Lorsque vous avez la possibilité de créer des exceptions, le traitement de la deuxième idée est similaire à celui de la première. Identifiez les sources d'e-mails légitimes mais non conformes qui utilisent votre domaine et créez des exceptions pour ces sources d'e-mails.

Si la source du courrier électronique utilise votre domaine et ne communique qu'à vos propres utilisateurs, vous pouvez l'inscrire sur une liste blanche dans votre propre traitement des messages entrants et le tour est joué. Si la source envoie des messages à d'autres organisations, vous devrez la mettre en conformité avec DMARC. Même si vous l'ajoutez à votre propre liste blanche, il n'est pas judicieux de compter sur d'autres personnes pour identifier cette source comme une exception dans leur propre traitement des messages entrants.

Plan de mise en œuvre entrant

Ceci étant dit, voici un plan de mise en œuvre de l'inbound.

Tout d'abord, configurez le traitement entrant pour vérifier les résultats DMARC. Ne faites rien avec ces résultats, activez simplement la vérification afin d'avoir des données utiles pour commencer.

Ensuite, configurez le traitement entrant pour générer à la fois des rapports agrégés basés sur XML et des rapports individuels d'échec/de vérification. Cependant, n'envoyez pas ces rapports aux propriétaires de domaines. À ce stade, vous êtes toujours en train de collecter vos propres données.

Analysez les rapports que vous avez générés. Les rapports couvriront tous les domaines trouvés dans le courrier entrant que vous avez traité, y compris vos propres domaines. Pour vos domaines, identifiez les services et les partenaires qui utilisent votre domaine pour envoyer des e-mails à vos propres utilisateurs. Pour les autres domaines, identifiez les sources légitimes d'e-mails qui ne respectent pas la signature DKIM.

Sur la base de l'analyse ci-dessus, créez des exceptions si nécessaire et mettez vos propres sources de courrier électronique en conformité avec DMARC. Dans la mesure du possible, incluez dans les rapports agrégés basés sur XML si des exceptions sont appliquées. Cela permet aux autres propriétaires de domaines de comprendre comment vous traitez leurs e-mails, y compris ceux qui passent par un "F".

Lorsque vous êtes sûr que toutes les exceptions nécessaires sont en place et que toutes les sources de courrier électronique de votre domaine envoient des messages conformes à la norme DMARC :

  • Configurer le traitement entrant pour agir sur les résultats DMARC, et
  • configurer le traitement entrant pour envoyer des rapports agrégés basés sur XML aux propriétaires de domaines. La décision d'envoyer ou non des rapports individuels d'échec ou d'expertise aux propriétaires de domaine est une décision de principe qui doit être prise par votre propre organisation.

La prise en charge des fonctions qui permettent de suivre le plan de mise en œuvre ci-dessus varie considérablement d'un fournisseur de messagerie à l'autre.

Les informations et l'article ci-dessus ont été inspirés par Franck Martin et son travail chez LinkedIn pour mettre en place le traitement DMARC entrant. Merci Franck !

DMARCEntrant

Postes connexes