Passer au contenu principal
Les 5 principales erreurs de déploiement DMARC

Les 5 principales erreurs de déploiement DMARC

29 janvier 2020
DéploiementAperçu de la sécurité

Avec les exploits de phishing à un niveau record, la prise de conscience de la manière dont DMARC peut aider à protéger les domaines et à rendre les e-mails plus fiables ne cesse de croître. Il n'est un secret pour personne que la mise en œuvre de DMARC peut être un processus complexe et intimidant. Les équipes de projet DMARC s'aventurent souvent en terrain inconnu et commettent des erreurs lors du déploiement de ce protocole basé sur DNS. Nos équipes de support et de déploiement ont compilé quelques erreurs courantes à connaître pour vous aider à rendre votre projet DMARC plus fluide et plus réussi.

Les 5 principales erreurs DMARC

1. Enregistrement DMARC introuvable
Publier un enregistrement DMARC avec une politique définie sur p=none pour observer l'activité du domaine sans perturber les e-mails est la première étape du déploiement. En n'ayant pas d'enregistrement DMARC publié, non seulement vous ignorez comment votre domaine est utilisé en dehors de votre propre infrastructure surveillée, mais vous ne profitez pas de la protection de domaine que DMARC offre. Pour publier un enregistrement DMARC, vous pouvez commencer ici.

2. Application de la politique sur un domaine actif sans surveillance
Avoir un enregistrement DMARC avec une politique d'application mais sans rapports pour surveiller le domaine (par exemple, v=DMARC1; p=reject) ne vous donne pas la visibilité nécessaire pour maintenir la protection de votre domaine. La surveillance est essentielle pour comprendre qui et quoi envoie des e-mails en votre nom.

3. Spécifier des balises implicites
Par exemple, pct=100 est équivalent à ne pas inclure cette paire balise/valeur. Il en va de même pour rf=afrf, aspf=r, adkim=r. L'ajout de ces balises et valeurs rend l'enregistrement plus complexe et occupe plus d'espace, car l'enregistrement TXT devient plus long.

4. Envoyer des rapports à un domaine différent
L'envoi de rapports à une destination qui inclut un domaine différent dans les balises RUA et RUF sans créer d'enregistrement de vérification de domaine externe peut entraîner un risque de sécurité. Google, en particulier, ne vérifie pas cette exigence, vous recevez donc toujours des rapports. Cependant, d'autres rapporteurs DMARC suivent l'exigence de la spécification de ne pas envoyer de rapports à des destinations où le domaine dans les balises RUA et RUF est différent, à moins que le domaine dans ces balises ne publie explicitement l'enregistrement de vérification de domaine externe dans le DNS. Cet enregistrement indique au monde qu'il est autorisé à leur envoyer des rapports DMARC concernant d'autres domaines. Il s'agit d'une limitation de sécurité nécessaire pour prévenir les attaques DDoS, et il est probable que Google vérifiera cette exigence à l'avenir.

5. Syntaxe DMARC invalide
Voici quelques points à garder à l'esprit lors de la création d'enregistrements DNS :

  • N'oubliez pas de placer un point-virgule entre les paires balise/valeur.
  • Utilisez p=none et non p=monitor. p=monitor était une politique DMARC précoce, avant publication, qui a été remplacée par p=none, la politique de surveillance.
  • Spécifiez mailto: devant l'adresse de soumission des rapports.
  • Assurez-vous que l'enregistrement DNS TXT a le nom d'hôte _dmarc
  • Placez la balise p= après v=DMARC1 — elle est requise à cette position.
  • Supprimez les guillemets autour d'un enregistrement TXT dans le DNS, bien que certains fournisseurs DNS acceptent les guillemets.

dmarcian s'efforce de rendre les e-mails plus sûrs en développant la connaissance et la sensibilisation à DMARC. Si vous n'avez pas encore commencé votre projet DMARC, vous pouvez vous inscrire à un essai gratuit ici, sans engagement.

Vous souhaitez poursuivre la conversation ? Rendez-vous sur le Forum dmarcian.

DMARC

Articles connexes