Démystifier l'enregistrement DMARC

Publié: 2021-08-18

La norme DMARC (Domain-based Message Authentication, Reporting & Conformance) est le meilleur outil dont disposent les marques pour lutter contre les attaques de phishing qui ciblent les clients en usurpant leurs domaines. Mais la mise en œuvre de DMARC peut rapidement devenir déroutante.

Dans cet article, nous allons démystifier l'enregistrement DMARC en définissant les balises DMARC qui le composent. Nous couvrirons à la fois les balises obligatoires et facultatives, et discuterons de certaines stratégies et cas d'utilisation où des balises DMARC moins connues peuvent offrir à votre organisation un niveau de sécurité de messagerie plus élevé.

Que sont les balises DMARC ?
Les balises DMARC sont le langage de la norme DMARC. Ils indiquent au destinataire de l'e-mail de (1) vérifier DMARC et (2) quoi faire avec les messages qui échouent à l'authentification DMARC.

Balises DMARC requises
Il n'y a que deux balises DMARC obligatoires : « v : » et « p : »

v : Version . Cette balise est utilisée pour identifier l'enregistrement TXT en tant qu'enregistrement DMARC, afin que les destinataires des e-mails puissent le distinguer des autres enregistrements TXT. La balise v: doit avoir la valeur « DMARC1 » et doit être répertoriée comme la première balise dans l'ensemble de l'enregistrement DMARC. Si la valeur ne correspond pas exactement à « DMARC1 » ou si la balise v : n'est pas répertoriée en premier, l'intégralité de l'enregistrement DMARC sera ignorée par le récepteur.

Exemple : v=DMARC1

p : Politique de réception de courrier demandée. Cette balise indique la politique à appliquer par le destinataire pour les messages qui échouent aux vérifications d'authentification et d'alignement DMARC, comme spécifié par le propriétaire du domaine. Cette politique s'appliquera au domaine interrogé et à tous les sous-domaines, à moins qu'une politique de sous-domaine distincte ne soit explicitement décrite (nous en parlerons plus tard dans l'article). Il y a trois valeurs possibles pour la balise p:

  1. p=none : le propriétaire du domaine ne demande aucune action spécifique sur les e-mails qui échouent à l'authentification et à l'alignement DMARC.
  2. p=quarantaine : le propriétaire du domaine souhaite que le courrier qui échoue aux vérifications d'authentification et d'alignement DMARC soit traité comme suspect par les destinataires du courrier. Cela peut signifier que les destinataires placent l'e-mail dans le dossier spam/courrier indésirable, signalent qu'il est suspect ou examinent cet e-mail avec une intensité supplémentaire.
  3. p=reject : le propriétaire du domaine demande aux destinataires de courrier de rejeter le courrier électronique qui échoue aux vérifications d'authentification et d'alignement DMARC. Le rejet doit se produire pendant la transaction SMTP. Il s'agit de la politique la plus stricte et offre le plus haut niveau de protection.

Compte tenu des informations ci-dessus, l'exemple d'enregistrement DMARC le plus basique pourrait être : v=DMARC1 ; p=aucun.

Balises DMARC facultatives
 Les balises DMARC facultatives ci-dessous permettent aux expéditeurs de courrier électronique de donner des instructions plus spécifiques sur ce qu'il faut faire avec le courrier qui ne s'authentifie pas, éliminant ainsi les conjectures pour les destinataires.

  • rua : indique où les rapports DMARC agrégés doivent être envoyés. Les expéditeurs désignent l'adresse de destination au format suivant : rua=mailto:[email protected]
  • ruf : indique où les rapports DMARC judiciaires doivent être envoyés. Les expéditeurs désignent l'adresse de destination au format suivant : ruf=mailto:[email protected]

Les balises facultatives suivantes ont une valeur par défaut qui sera prise en compte si la balise est exclue. La liste des balises avec une valeur par défaut supposée est :

  • adkim : indique un alignement d'identifiant DKIM strict ou assoupli. La valeur par défaut est détendu.
  • aspf : indique un alignement d'identifiant SPF strict ou assoupli. La valeur par défaut est détendu.
  • rf : format des rapports d'échec de message. Le format par défaut est le format de rapport d'échec d'authentification, ou « AFRF ».
  • ri : nombre de secondes écoulées entre l'envoi de rapports agrégés à l'expéditeur. La valeur par défaut est 86 400 secondes ou un jour.
  • pct : pourcentage de messages auxquels la politique DMARC doit être appliquée. Ce paramètre permet de mettre en œuvre progressivement et de tester l'impact de la politique.
  • fo : dicte quel type de vulnérabilités d'authentification et/ou d'alignement sont signalés au propriétaire du domaine.
  • Il y a quatre valeurs pour ce dernier fo: tag :
  • 0 : générez un rapport d'échec DMARC si tous les mécanismes d'authentification sous-jacents ne parviennent pas à produire un résultat de « réussite » aligné. (Défaut)
  • 1 : générez un rapport d'échec DMARC si un mécanisme d'authentification sous-jacent produit autre chose qu'un résultat de « réussite » aligné.
  • d : générer un rapport d'échec DKIM si le message avait une signature qui a échoué à l'évaluation, quel que soit son alignement.
  • s : génère un rapport d'échec SPF si le message a échoué à l'évaluation SPF, quel que soit son alignement.

Alors que la valeur par défaut est « fo=0 », Return Path conseille aux clients d'utiliser fo:1 pour générer les rapports d'échec les plus complets, offrant ainsi une visibilité beaucoup plus granulaire sur le canal de messagerie.

Vous trouverez ci-dessous un exemple d'enregistrement DMARC. Sur la base de ce que vous avez appris jusqu'à présent, essayez de déchiffrer chaque balise :

v=DMARC1 ; p=rejeter ; fo=1; rua=mailto:[email protected] ; ruf=mailto:[email protected]; rf=afrf; pc=100

Et les sous-domaines ?
La dernière balise DMARC dont nous discuterons aujourd'hui est la balise sp:, qui est utilisée pour indiquer une politique demandée pour tous les sous-domaines où le courrier échoue aux vérifications d'authentification et d'alignement DMARC. Cette balise ne s'applique qu'aux domaines de premier niveau (domaines de niveau organisationnel). Il est plus efficace lorsqu'un propriétaire de domaine souhaite spécifier une politique différente pour le domaine de premier niveau et tous les sous-domaines.

Pour les scénarios suivants, nous utiliserons le domaine de premier niveau de « domain.com » et le sous-domaine de « mail.domaine.com » pour illustrer les cas d'utilisation.

  1. Le propriétaire du domaine souhaite appliquer une politique de rejet pour "domain.com", mais une politique de quarantaine pour "mail.domain.com" (et tous les autres sous-domaines). L'enregistrement DMARC pour « domain.com » inclurait alors « v=DMARC1 ; p=rejeter ; sp=quarantaine. Il s'agit d'une stratégie efficace si l'organisation doit maintenir une politique DMARC distincte pour le domaine de premier niveau et tous les sous-domaines.
  2. Le propriétaire du domaine souhaite appliquer une politique de rejet pour "mail.domain.com" (et tous les autres sous-domaines) mais pas pour appliquer une politique de rejet pour "domain.com". L'enregistrement DMARC pour « domain.com » inclurait alors « v=DMARC1 ; p=aucun ; sp=rejeter. Ce serait une stratégie efficace pour lutter contre les attaques par dictionnaire dans le cas où le domaine de premier niveau n'est pas prêt à appliquer la politique, mais les fraudeurs usurpent des sous-domaines comme mail.domain.com, abc.domain.com, 123.domain. com, xyz.domain.com, etc. Définir la balise sp: à rejeter protégera l'organisation contre ces attaques par dictionnaire ciblant les sous-domaines sans affecter les e-mails envoyés depuis le domaine de premier niveau, « domain.com »

Maintenant que vous comprenez l'ADN de l'enregistrement DMARC, apprenez-en plus sur les types d'attaques qu'il bloque et les types d'attaques qu'il ne fait pas dans The Email Threat Intelligence Report .