Vous menez des campagnes d'emailing professionnelles ou commerciales ? Vous vous demandez comment les mettre en œuvre ? Enregistrements DMARC Pour la validation et la sécurité des e-mails ? Le saviez-vous ? Vous pouvez configurer un protocole d’authentification DMARC pour… améliorer l'engagement par e-mail et protégez votre domaine contre les attaques par usurpation d'identité par courriel.

Par conséquent, cet article vous apprendra tout ce que vous devez savoir sur les enregistrements DMARC, notamment :

  • Définition de DMARC
  • Qu’est-ce que le Sender Policy Framework (SPF) ?
  • Qu'est-ce que l'authentification DomainKeys Identified Mail (DKIM) ?
  • L'importance de DMARC pour la sécurité du courrier électronique
  • Comment implémenter DMARC avec votre fournisseur DNS
  • processus de vérification DMARC
  • Comment fonctionne DMARC et plus encore

Ceci étant dit, commençons par la signification de DMARC.

Qu'est-ce que l'authentification DMARC ?

DMARC est l'abréviation de Domain-based Message Authentication, Reporting, and Conformance, un système d'authentification par courriel qui protège le domaine de messagerie de votre organisation contre l'usurpation d'identité par le biais de l'usurpation d'identité par courriel, du phishing et d'autres escroqueries par courriel.

L'objectif principal de la mise en œuvre de DMARC est d'améliorer la sécurité des courriels et de rendre plus difficile la réalisation d'attaques d'hameçonnage et d'usurpation d'identité par des acteurs frauduleux.

Mais avant d'appliquer les politiques d'enregistrement DMARC, vous devez d'abord appliquer :

  1. Cadre de politique d'expéditeur (SPF) et/ou
  2. Authentification DomainKeys Identified Mail (DKIM)

Pourquoi ? DMARC utilise ces deux programmes d’authentification pour renforcer la sécurité et la délivrabilité des e-mails. Il est donc recommandé d’appliquer les certifications SPF ou DKIM (les experts conseillent d’utiliser les deux).

Le Sender Policy Framework (SPF) et le DomainKeys Identified Mail (DKIM) sont des éléments essentiels qui contribuent à vous protéger, ainsi que vos destinataires, contre l'usurpation d'identité et les escroqueries. Mais que signifient ces termes (SPF et DKIM) ?

Examinons leurs définitions afin de mieux comprendre comment elles servent les intérêts de votre entreprise en matière de marketing par courriel.

Qu’est-ce que le Sender Policy Framework (SPF) ?

SPF est un système d'authentification des expéditeurs de courriels. Il permet aux fournisseurs d'accès à Internet (FAI) de confirmer qu'un serveur de messagerie est autorisé à envoyer des courriels depuis votre domaine ou un domaine spécifique. Autrement dit, SPF permet aux serveurs de messagerie destinataires de vérifier que vous avez autorisé la réception de messages provenant de votre domaine.

Par conséquent, la politique SPF comprend une liste d'adresses IP autorisées à envoyer des courriels utilisant votre nom de domaine. Ce processus contribue à détecter et à prévenir la falsification et autres fraudes par courriel.

Comment fonctionne la politique SPF

Le cadre de politique d'expéditeur fonctionne en trois étapes simples. Ce processus en 3 étapes comprend :

  1. Publiez votre politique SPF (également appelée enregistrements SPF) dans les enregistrements DNS qui décrivent tous les serveurs de messagerie légitimes autorisés à envoyer des e-mails depuis votre domaine. Cette politique doit contenir toutes les adresses IP que vous utilisez pour l'envoi d'e-mails.
  2. Une fois que les serveurs de messagerie entrants reçoivent les courriels, ils consultent le domaine principal du chemin de retour dans le rapport DNS. Ensuite, ils comparent les adresses IP des expéditeurs avec les adresses IP autorisées par votre politique SPF.
  3. Ensuite, les serveurs de messagerie entrants utiliseront les critères que vous avez définis dans vos enregistrements SPF pour déterminer la marche à suivre. Ainsi, en fonction de votre politique SPF, les serveurs de messagerie destinataires décideront d'approuver et d'accepter le courriel ou de le rejeter.

Générer une politique SPF et la publier dans l'enregistrement DNS est une méthode acceptable pour protéger votre domaine et les utilisateurs finaux de messagerie. Cependant, l'authentification de la source d'un e-mail nécessite l'application du protocole DKIM.

Qu'est-ce que DomainKeys Identified Mail (DKIM) ?

DKIM est l'acronyme de DomainKeys Identified Mail, un outil de vérification des e-mails qui utilise la « cryptographie à clé publique » pour garantir que les e-mails proviennent de serveurs de messagerie approuvés.

À l'instar de SPF, DKIM permet aux fournisseurs d'accès Internet de certifier que le contenu des courriels provenant de votre domaine ou d'un expéditeur vérifié est authentique. Il protège ainsi la réputation de l'entreprise, l'identité de l'expéditeur et les abonnés contre les adresses falsifiées et les courriels suspects, tels que l'usurpation d'identité.

Grâce à DKIM, le destinataire des courriels peut vérifier que l'administrateur du domaine a approuvé les courriels provenant d'un domaine spécifique. DKIM utilise ainsi des signatures numériques invisibles pour les utilisateurs finaux et validées par l'infrastructure.

Comment fonctionne DKIM ?

Comme indiqué précédemment, DKIM utilise des signatures numériques invisibles pour les destinataires. Cette solution de certification fonctionne donc en intégrant des signatures camouflées dans l'en-tête des messages électroniques.

Cependant, la signature DMARC comporte un processus en 3 étapes :

1). Vous (l'expéditeur du domaine) devez définir les éléments à ajouter à la signature numérique de l'enregistrement DKIM, tels que l'adresse du champ « De ». D'autres éléments, comme le sujet et le corps du message, doivent également être pris en compte.
Remarque : ces facteurs doivent rester inchangés. Toute modification ultérieure empêchera la certification DKIM.

2). Le service de messagerie que vous utilisez convertit les champs texte ajoutés à la signature DKIM en un hachage ou une clé, une opération qui transforme une valeur en une autre. Après la génération de cette chaîne de hachage, le système utilise une clé privée pour la chiffrer, la rendant ainsi accessible uniquement à l'expéditeur du message.

3). Une fois ces éléments en place, le serveur de messagerie sortante utilise les clés DKIM pour retrouver l'e-mail et décoder la signature lors de l'envoi d'un message. Il procède en identifiant la clé publique correspondant à la clé privée.

Ensuite, le serveur de messagerie destinataire génère une chaîne de hachage distincte des éléments ajoutés à la signature DKIM. Il compare ensuite cette chaîne de hachage avec la clé décodée afin de vérifier sa conformité.

Ainsi, cela garantit que le message électronique provient bien de l'expéditeur du domaine validé et que les éléments de la signature sont originaux et n'ont pas été altérés lors de la transmission.

Une fois les enregistrements SPF ou DKIM (ou les deux) configurés, vous pouvez démarrer la mise en œuvre de DMARC. Comment ? En configurant les enregistrements DMARC et en insérant les politiques dans vos enregistrements TXT (Domain Text Record).

Mais avant d'aborder les processus d'application de DMARC, il est nécessaire de comprendre pourquoi ce protocole est précieux pour la sécurité et la délivrabilité des courriels.

Pourquoi l'enregistrement DMARC est-il essentiel pour la sécurité du courrier électronique ?

Email Marketing L'email est l'un des meilleurs canaux de marketing digital pour fidéliser, acquérir et développer une clientèle. C'est pourquoi 87 % des spécialistes du marketing B2B utilisent l'email pour la diffusion de contenu, selon les données du Content Marketing Institute.

Graphique source via CMI.

De plus, 77 % des répondants utilisent les newsletters par e-mail pour optimiser leurs résultats en marketing de contenu. Par conséquent, compte tenu de l'importance accordée aux campagnes par e-mail, il est crucial de protéger vos expéditeurs et vos abonnés. C'est là que les protocoles SPF, DKIM et DMARC jouent un rôle essentiel.

L'application de DMARC est essentielle à la sécurité du courrier électronique car elle améliore la délivrabilité des e-mails Elle réduit ainsi le risque de menaces par courriel dans les boîtes de réception des destinataires. Grâce à cette solution de certification, les escrocs auront plus de mal à usurper l'identité de votre marque dans les boîtes de réception de vos clients.

Les avantages de la mise en œuvre des enregistrements DMARC :

  • DMARC vous protège, vous et votre entreprise, contre les compromissions de messagerie professionnelle (BEC), l'usurpation de domaine, l'usurpation d'identité par e-mail et les attaques de phishing par e-mail.
  • L'application du protocole DMARC améliore la réputation de l'expéditeur des courriels.
  • DMARC contribue à améliorer votre taux de délivrabilité des e-mails de 10 % au fil du temps.
  • L'application du protocole DMARC à votre serveur de domaine garantit que vos e-mails ne seront jamais signalés comme spam, ce qui augmente en fin de compte les taux d'ouverture.

De plus, les entreprises peuvent facilement enregistrer une personne autorisée à envoyer des courriels professionnels depuis leur domaine. Cela permet de se prémunir contre les activités frauduleuses. Comment ? En publiant l’enregistrement DMARC de votre domaine dans le DNS, tous les serveurs de messagerie destinataires valideront les courriels entrants afin d’en garantir la crédibilité avant leur distribution dans la boîte de réception des destinataires.

Par conséquent, les courriels qui ne passent pas le contrôle feront l'objet de deux actions possibles : la mise en quarantaine ou le rejet du message afin de bloquer les logiciels malveillants et de protéger les destinataires contre les tentatives d'escroquerie. Cela permet également d'empêcher toute utilisation illégale de votre domaine de messagerie.

Comment implémenter les enregistrements DMARC auprès de votre fournisseur DNS

Puisque vous avez installé avec succès SPF et DKIM, vous pouvez maintenant configurer et appliquer les enregistrements DMARC auprès de votre fournisseur DNS.

Les processus de mise en place et d'implémentation :

1)Connectez-vous à votre fournisseur DNS et repérez le champ permettant de créer un enregistrement TXT dans votre DNS pour _dmarc.[votre-domaine] avec votre enregistrement DMARC. (Toutefois, vous n'aurez peut-être besoin que de modifier des enregistrements TXT déjà créés.)

2) Utilisez les balises recommandées : v=, p=, fo=, rua et ruf.

  • v=Version du protocole DMARC1.
  • p= représente différents modèles de politiques DMARC. Par exemple, p=none correspond au système de surveillance. Il permet de recueillir des données précieuses sur l'ensemble de votre système de messagerie et de définir quels e-mails sont authentifiés et lesquels ne le sont pas. D'autres politiques existent, comme « p=quarantine » et « p=reject ».
  • fo= est un rapport d'enquête forensique ; il indique aux fournisseurs de services de messagerie d'envoyer des rapports sur les messages qui échouent aux contrôles SPF et DKIM.
  • rua= est l'endroit où vous ajoutez votre adresse pour recevoir les rapports qui vous aident à déterminer et à approuver les courriels vérifiés.
  • ruf= est l'endroit où vous ajoutez l'adresse de réception des rapports d'analyse forensique permettant d'évaluer les courriels d'hameçonnage et autres attaques par courrier électronique.

3)Utilisez l'ordre de mots suivant pour vos enregistrements DMARC : v=DMARC1; p=aucun; fo=1; rua=mailto:[email protected]; ruf=mailto:[email protected] (Vous recevrez des rapports d'expertise judiciaire agrégés aux adresses que vous avez saisies).

4)Il est temps de mettre en place votre rapport DMARC chez votre fournisseur d'hébergement DNS.

*Important* Consacrez au moins une semaine à la surveillance de vos domaines professionnels afin de vous assurer que l'authentification de vos adresses e-mail s'effectue correctement. Ensuite, vous pourrez appliquer une politique de quarantaine ou de rejet.

Source : Administration Google Workplace

Comment vérifier les enregistrements DMARC

Après la configuration et l'activation, il est essentiel de vérifier le bon fonctionnement de votre enregistrement DMARC. Rassurez-vous, c'est très simple et aucune connaissance en programmation n'est requise. Plusieurs outils gratuits d'inspection d'enregistrements DMARC vous permettront de confirmer la bonne publication de vos enregistrements TXT.

Choisissez donc l'outil d'inspection ou de recherche d'enregistrements DMARC de votre choix, saisissez votre domaine et cliquez sur le bouton « Analyser votre domaine », « Analyser maintenant » ou « Authentifier votre domaine ». L'outil analysera votre domaine et vous affichera des résultats détaillés.

Par exemple, j'ai utilisé l'outil d'analyse de domaine EasyDMARC pour vérifier la fonction GetResponse. Voici les résultats :

Comme vous pouvez le voir sur la capture d'écran ci-dessus, saisissez votre nom de domaine et cliquez sur le bouton « Analyser maintenant ».

Le vérificateur DMARC analysera votre domaine et vous fournira un résultat complet avec un score de 1 à 10. L'image ci-dessus montre que le domaine GetResponse a obtenu un score de 7 sur 10. Cela signifie que le propriétaire du site doit améliorer ses procédures d'authentification pour obtenir de meilleurs résultats.

Cette fiche de performance détaillée révèle que le DMARC et Archives BIMI Certains protocoles présentent des problèmes, tandis que SPF et DKIM sont excellents. Par conséquent, quel que soit le type d'e-mail que vous envoyez (transactionnel ou professionnel), utilisez ce système pour protéger votre domaine.

Par conséquent, choisissez un analyseur d'enregistrements DMARC qui vous convient et testez votre domaine après la configuration pour vous assurer que votre enregistrement TXT est légitime et publié correctement.

Comment fonctionne DMARC ?

Comme indiqué précédemment, DMARC s'appuie sur deux autres systèmes d'authentification de courriel : SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail), afin de renforcer la certification des courriels. DMARC utilise ces outils de certification supplémentaires pour indiquer si le domaine d'envoi d'un message est sécurisé et validé par SPF et DKIM.

Cependant, DMARC ne détermine pas directement si les courriels de l'expéditeur sont frauduleux ou indésirables. Il exige plutôt que les courriels réussissent les authentifications SPF ou DKIM. Ainsi, DMARC vérifie le domaine de l'expéditeur et s'assure qu'il correspond au nom de domaine validé.

Mais si le rapport de confirmation indique que les courriels n'ont pas passé l'authentification SPF ni DKIM, DMARC indique aux serveurs de messagerie destinataires les actions à entreprendre. Le client de messagerie destinataire exécutera les trois politiques DMARC suivantes si le domaine de l'expéditeur échoue au contrôle :

  1. Moniteur (p=aucun)Envoyez l'e-mail comme d'habitude avec un message d'avertissement et ajoutez-le à un rapport des e-mails qui n'ont pas passé les tests SPF ou DKIM.
  2. Quarantaine (p=quarantaine)Envoyer le courriel en quarantaine (dossier spam ou courrier indésirable) pour approbation manuelle avant livraison
  3. Rejeter (p=rejeter): Rejeter l'e-mail ou le soumettre à une politique personnalisée (ces e-mails sont bloqués/supprimés et n'atteignent jamais la boîte de réception des destinataires)

En tant qu'administrateur de domaine de marque, vous pouvez sélectionner la politique DMARC souhaitée et publier vos préférences dans le DNS sous forme d'enregistrements TXT. L'enregistrement TXT vous permet (à l'administrateur du domaine) d'insérer du texte dans le DNS.

Vous pouvez voir un exemple d'enregistrement TXT DNS iciPar ailleurs, le serveur de noms de domaine a deux applications essentielles :

  1. Protection contre le spam par e-mail
  2. vérification de la propriété du domaine

En définitive, la mise en œuvre de DMARC peut vous aider. améliorer le taux de rebond des e-mails et améliorer vos performances marketing.

Qu'est-ce qu'une politique DMARC ?

Dans la section précédente, vous avez appris qu'en tant qu'administrateur de domaine, vous devez créer une politique DMARC et l'ajouter au DNS public. Mais qu'est-ce qu'une politique DMARC exactement ?

Une politique DMARC est un mécanisme qui indique comment un client ou un lecteur de messagerie fournit des commentaires au domaine de l'expéditeur concernant les messages électroniques qui réussissent ou échouent au contrôle de vérification SPF ou DKIM, ou aux deux.

Lorsque vous créez une politique de mise en œuvre DMARC, vous indiquez aux clients de messagerie les étapes à suivre si un e-mail prétendant provenir de votre domaine ne réussit pas les contrôles de certification.

En fonction de ces informations, le destinataire du courriel peut le rejeter, le mettre en quarantaine ou l'approuver. J'ai déjà présenté les trois politiques DMARC ci-dessus ; veuillez les réexaminer attentivement.

Quelle politique DMARC devez-vous utiliser ?

Vous vous demandez quel programme de gestion des politiques utiliser ? Les trois programmes ont des fonctionnalités différentes, et il est important de choisir celui qui convient le mieux à votre domaine. Beaucoup optent pour la politique de « rejet », car elle bloque ou supprime les courriels provenant d'expéditeurs non autorisés, empêchant ainsi les logiciels malveillants et les spams d'atteindre les boîtes de réception de vos clients.

Il serait toutefois préférable de commencer par la spécification de politique « p=none » et de passer progressivement aux autres. Pourquoi ? Ce type de politique n’empêche aucun message d’arriver dans la boîte de réception du destinataire.

Au lieu de cela, il permet aux e-mails d'atteindre la boîte de réception des destinataires, suit ceux envoyés depuis votre domaine et vous fournit un retour d'information en conséquence. Ainsi, vous pouvez garantir la délivrabilité de vos e-mails tout en identifiant précisément les e-mails légitimes et ceux qui sont frauduleux.

Ensuite, à mesure que votre campagne par e-mail progresse et que vous collectez des données précieuses, vous pouvez passer à l'étape suivante : « p=quarantaine » politique. Au lieu d'autoriser tous les messages dans la boîte de réception, elle les met en quarantaine. courriels suspects et non authentifiés dans les dossiers spam ou courriers indésirables. p = quarantaine Cette approche vous permettra d'approuver manuellement les courriels comme légitimes.

De plus, vous pouvez utiliser la politique de « rejet » DMARC pour bloquer les messages non approuvés. Toutefois, pour garantir que vos e-mails parviennent bien dans la boîte de réception de leurs destinataires, vous devez ajouter tous vos fournisseurs de messagerie à la liste blanche. L'ajout d'expéditeurs autorisés garantit que vos e-mails marketing atteindront la boîte de réception de leurs destinataires.

Sinon, la politique p=reject bloquera tout e-mail provenant d'expéditeurs de domaines non confirmés et de tous les fournisseurs d'envoi ne figurant pas sur la liste blanche. Par exemple, vous utilisez probablement un ou plusieurs des outils de messagerie suivants :

  • Suite G
  • Office 365
  • Avoir une réponse
  • Mailerlite
  • ConvertKit
  • Hub de marketing HubSpot

Ces applications logicielles fonctionnent de manière similaire, notamment pour l'envoi d'e-mails. Par conséquent, si vous utilisez l'une d'entre elles ou une alternative, il serait judicieux de l'ajouter à la liste blanche avant d'opter pour la politique « p=reject » de DMARC.

Conclure

En tant que chef d'entreprise, il est compréhensible que vous envoyiez des campagnes d'emails marketing (commerciaux ou transactionnels) pour développer votre activité. En effet, l'email marketing vous permet de communiquer avec vos prospects et vos clients.

Mais votre domaine de messagerie est-il vraiment protégé contre l'usurpation d'identité, le phishing et autres attaques par courriel ? Le phishing par courriel représente l'une des plus grandes menaces en ligne pour votre entreprise.

Les recherches révèlent qu'en 2020, 75% des entreprises Des attaques de phishing ont été constatées dans le monde entier., avec 74 % de Les attaques de phishing par e-mail sont de plus en plus fréquentes aux États-Unis. Il est donc essentiel de prendre des mesures pour protéger le nom de domaine de votre entreprise. L'authentification par enregistrement DMARC est par conséquent indispensable.

Ce système contribue à protéger votre domaine de messagerie, à empêcher l'usurpation d'identité et à bloquer les attaques de phishing. Il préserve également la réputation de votre marque et améliore la délivrabilité de vos e-mails. Par conséquent, appliquez les conseils ci-dessus pour protéger le domaine de votre entreprise.

Toutefois, si vous ne savez pas comment configurer et mettre en œuvre les enregistrements DMARC, veuillez demander de l'aide à l'administrateur DNS de votre entreprise !