Le National Institute of Standards and Technology fournit des conseils sur DMARC
Ce n'est pas une surprise pour la plupart d'entre vous que le nombre d'exploits de phishing dans le monde augmente et bat des records. L'Anti-Phishing Working Group (APWG), une organisation internationale à but non lucratif, a récemment publié son rapport sur les tendances de l'activité de phishing au premier trimestre 2022, dans lequel elle a "observé 1 025 968 attaques de phishing au total. C'est le pire trimestre pour le phishing que l'APWG ait jamais observé, et la première fois que le total trimestriel dépasse le million."
Un courriel digne de confiance
Compte tenu de ces chiffres inquiétants, nous pensons qu'il est temps de rappeler à nos lecteurs la publication spéciale 800-177 du NIST (TrustworthyEmail). Les publications du NIST fonctionnent généralement dans le domaine des principes et n'incluent pas toujours des contrôles spécifiques ; Trustworthy Email est une exception.
Le résumé indique que "les technologies recommandées pour soutenir le protocole de transfert de courrier simple (SMTP) et le système de noms de domaine (DNS) de base comprennent des mécanismes d'authentification d'un domaine d'envoi : Sender Policy Framework(SPF), DomainKeys Identified Mail(DKIM) et Domain-based Message Authentication, Reporting and Conformance(DMARC)."
Le public visé par Trustworthy Email est très large et comprend les administrateurs de messagerie, les spécialistes de la sécurité de l'information et les gestionnaires de réseau des entreprises, des systèmes informatiques fédéraux et des petites et moyennes organisations. C'est-à-dire à peu près tous ceux qui ont un domaine Internet.
Le guide du NIST "fournit des recommandations pour le déploiement de protocoles et de technologies qui améliorent la fiabilité du courrier électronique. Ces recommandations réduisent le risque que le courrier électronique usurpé soit utilisé comme vecteur d'attaque et réduisent le risque que le contenu du courrier électronique soit divulgué à des parties non autorisées."
Bon nombre des contrôles couverts par le guide font appel à des technologies qui dépassent les cadres de base de la messagerie électronique pour inclure le système de noms de domaine (DNS), l'infrastructure à clé publique et d'autres conventions Internet fondamentales.
Envoi de l'authentification du domaine
Le guide indique que "l'objectif de l'authentification du domaine d'envoi est d'empêcher les expéditeurs (qu'il s'agisse d'acteurs aléatoires ou malveillants) d'usurper le domaine d'un autre et d'envoyer des messages avec un faux contenu, et d'empêcher les acteurs malveillants de modifier le contenu des messages en transit. SPF est la méthode normalisée permettant à un domaine d'envoi d'identifier et de confirmer les expéditeurs de courrier autorisés pour un domaine donné. DKIM est le mécanisme qui permet d'identifier les serveurs d'envoi et d'éliminer la vulnérabilité de la modification du contenu par l'homme du milieu en utilisant des signatures numériques générées par le serveur de courrier d'envoi.
DMARC a été conçu pour permettre aux expéditeurs de courrier électronique de définir une politique sur la manière dont leur courrier doit être traité, les types de rapports de sécurité que les destinataires peuvent renvoyer et la fréquence à laquelle ces rapports doivent être envoyés. Le traitement normalisé de SPF et DKIM élimine les incertitudes quant à l'authenticité d'un message donné, ce qui permet aux destinataires de mettre en quarantaine et de rejeter avec plus de certitude le courrier non autorisé. En particulier, les destinataires comparent l'adresse "From" du message aux résultats SPF et DKIM, s'ils sont présents, et à la politique DMARC dans le DNS. Les résultats sont utilisés pour déterminer comment le courrier doit être traité. Le récepteur envoie des rapports au propriétaire du domaine sur le courrier prétendant provenir de son domaine. Ces rapports devraient permettre de déterminer dans quelle mesure des utilisateurs non autorisés utilisent le domaine et la proportion de courrier reçu qui est "bon".
La section 4, intitulée "Authentification d'un domaine d'envoi et de messages individuels", couvre les signatures numériques SPF, DKIM, DMARC et S/MIME de manière très détaillée, de la définition et l'historique aux étapes de configuration. Nous n'entrerons pas dans les détails ici, mais vous pouvez y jeter un coup d'œil dans la publication Trustworthy Email.
Le cas d'utilisation initial de DMARC est celui de la vérification de l'identité pour lutter contre la fraude par courriel. DMARC permet de savoir comment un domaine est utilisé et empêche les expéditeurs non autorisés d'envoyer des courriels au nom d'une organisation ; la confiance dans le domaine est ainsi renforcée. Cette confiance s'accompagne d'une fiabilité du courrier électronique. DMARC est la base de la distribution officielle du courrier électronique et constitue souvent la première mesure prise pour résoudre les problèmes de distribution.
Nous sommes là pour vous aider
Avec une équipe d'experts en sécurité du courrier électronique et une mission visant à rendre le courrier électronique et l'Internet plus fiables grâce à la sécurité des domaines, nous sommes là pour aider à évaluer le catalogue de domaines d'une organisation et à mettre en œuvre et gérer DMARC à long terme. Vous pouvez nous contacter ou vous inscrire pour un essai gratuit. Notre équipe d'accueil et d'assistance vous aidera tout au long du processus.
Vous voulez continuer la conversation ? Rendez-vous sur le forum dmarcien.
