Vidéo : DMARC - Comment ça marche
Nous avons réalisé une courte vidéo sur le fonctionnement de DMARC :
Cette vidéo fait partie d'une série de vidéos sur tout ce qui concerne DMARC.
La transcription suit :
Cette courte vidéo décrit le fonctionnement de DMARC.
DMARC est une spécification technique qui décrit comment les expéditeurs d'e-mails peuvent rendre leurs e-mails faciles à identifier en utilisant les technologies libres et ouvertes existantes. Les courriels conformes à DMARC sont très faciles à traiter et les destinataires des courriels ont adopté DMARC comme moyen courant de déterminer l'identité de base d'un courriel.
DMARC s'appuie sur deux technologies existantes qui sont utilisées pour associer un courriel à un domaine. SPF, qui signifie Sender Policy Framework, et DKIM, qui signifie DomainKeys Identified Mail, fonctionnent de manière différente mais complémentaire pour créer un lien entre un e-mail et un domaine.
SPF et DKIM sont des technologies autonomes qui existent depuis de nombreuses années et peuvent être utilisées indépendamment de DMARC. En soi, SPF et DKIM peuvent associer un courriel à un domaine. Dans le langage de DMARC, SPF et DKIM génèrent des "identifiants authentifiés". DMARC tente de lier les résultats de SPF et DKIM - les identifiants authentifiés - au contenu du courrier électronique : plus précisément au domaine trouvé dans l'en-tête From : d'un courrier électronique.
Le domaine figurant dans l'en-tête From : d'un courriel est l'entité qui relie tous les traitements DMARC. Le "D" de DMARC signifie "Domain-based" (basé sur le domaine), et j'espère que vous pouvez maintenant voir de quel domaine il s'agit. Comme n'importe qui peut acheter un domaine et mettre en place SPF et DKIM (y compris les criminels !), les résultats du traitement de SPF et DKIM - c'est-à-dire les identifiants authentifiés - doivent être liés au domaine trouvé dans l'en-tête From : pour être pertinents pour DMARC. Ce concept est appelé "alignement des identifiants". L'alignement des identifiants finit par représenter une grande partie du travail de déploiement de DMARC.
Pour permettre au propriétaire d'un domaine de messagerie de déployer avec précision SPF et DKIM, DMARC décrit comment un retour d'information peut être envoyé au propriétaire du domaine concernant l'utilisation de son domaine de messagerie sur Internet. Ce retour d'information peut prendre deux formes : des rapports qui fournissent une vue d'ensemble du trafic d'un domaine (tel qu'il est perçu par l'organisation qui génère le rapport), et des rapports qui sont des copies expurgées des courriels individuels qui ne sont pas 100% conformes à DMARC.
Les rapports complets sont basés sur XML et comprennent des informations telles que le nombre de messages, les adresses IP et les résultats du traitement de SPF et DKIM. Bien que certains humains et la plupart des androïdes puissent lire directement le XML, dmarcian est spécialisé dans le traitement de ces rapports et l'identification des mesures à prendre pour que les gens normaux puissent mettre en place DMARC sans avoir à devenir des experts en authentification des e-mails.
Les rapports qui sont des copies expurgées d'emails individuels ne sont pas générés par tous les récepteurs d'emails qui participent à DMARC. La raison pour laquelle un récepteur d'emails ne génère pas ce type de rapport est de trois ordres :
- des problèmes de confidentialité, car les courriels individuels peuvent contenir des informations permettant d'identifier les personnes,
- les rapports peuvent potentiellement être extrêmement volumineux,
- Les rapports sont parfois agréables à consulter, mais ils se sont avérés inutiles pour mener à bien le processus de déploiement de DMARC.
Enfin, un certain nombre d'organisations ne veulent même pas demander ces types de rapports car elles veulent éviter toute sorte de responsabilité potentielle dans le domaine de la vie privée. Pourtant, ces rapports peuvent faire la lumière sur les types spécifiques d'abus qu'un domaine peut rencontrer. dmarcian traite les deux types de retour d'information pour rendre le déploiement de DMARC beaucoup plus facile pour la plupart des gens.
La visibilité fournie par les rapports de retour d'information... lorsqu'ils sont traités par des outils comme dmarcian... donne au propriétaire du domaine la possibilité de déployer SPF et DKIM avec un très haut degré de précision. Une fois que le propriétaire d'un domaine de messagerie est sûr d'avoir déployé SPF et DKIM sur l'ensemble de ses flux de messagerie, il peut dire au monde entier d'agir contre les e-mails qui ne sont pas conformes à DMARC. L'action qui peut être entreprise - ou plutôt la politique que le propriétaire du domaine peut publier - consiste à mettre en quarantaine ou à rejeter les e-mails. La mise en quarantaine consiste généralement à classer dans un dossier de courrier indésirable les courriels qui ne satisfont pas à la vérification DMARC, mais si un opérateur ne met pas en place un dossier de courrier indésirable traditionnel, il peut augmenter l'agressivité du filtrage du courrier indésirable lors du traitement des courriels non conformes. Rejeter, en revanche, signifie bloquer purement et simplement tout courriel qui échoue à la vérification DMARC.
Les propriétaires de domaines s'efforcent généralement d'atteindre la politique de rejet, car cela interdit l'utilisation non autorisée du domaine, ce qui constitue une mesure anti-hameçonnage très efficace. Mais le plus important, c'est que les e-mails conformes à DMARC sont beaucoup plus faciles à traiter, ce qui fait rapidement de DMARC une exigence pour quiconque souhaite que ses e-mails soient délivrés de manière fiable.
C'est ainsi que fonctionne DMARC, et que DMARC utilise les domaines pour faciliter l'identification des e-mails.
Avec une équipe d'experts en sécurité du courrier électronique et une mission visant à rendre le courrier électronique et l'Internet plus fiables grâce à la sécurité des domaines, dmarcian est là pour aider à évaluer le catalogue de domaines d'une organisation et à mettre en œuvre et gérer DMARC à long terme.
Vous pouvez nous contacter ou vous inscrire à un essai gratuit, où notre équipe d'accueil et d'assistance vous aidera tout au long du processus.
