SPF, DKIM et DMARC, la cohabitation est plus que recommandée.
Il y a quelques années, avant la naissance du protocole DMARC, les précédentes technologies d’authentification des emails, SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail), ont été déjà développées, toujours dans l’unique but de fournir une assurance quant à l’identité des expéditeurs des mails reçus.
L’adoption de ces technologies d’authentification n’a cessé de croître, bien que cela ne soit pas totalement suffisant selon nous. Toutefois, les problèmes liés aux emails frauduleux et trompeurs n’ont pas pour autant diminué. Il y a vraiment plusieurs dilemmes : comment avoir la certitude de la bonne réception des emails émis, d’une part ; et, comment garantir la légitimité des email reçus, d’autre part.
Le protocole DMARC (Domain-based Message Authentication, Reporting and Conformance), créé par PayPal en collaboration avec les géants comme Google, Microsoft et Yahoo, offre sans aucun doute une part de solution pour répondre à ces questions cruciales.
DMARC est clairement un mécanisme de validation par courrier électronique.
Si le SPF publie les relais de messagerie autorisés et le DKIM ajoute une signature numérique à chaque mail sortant, le DMARC quant à lui est un protocole d’authentification, de politique et de reporting en matière de transaction, échange de mails inter-domaines de messagerie.
Il permet à une organisation (l’Entreprise) de gagner en contrôle et en visibilité sur son système de messagerie vis-à-vis du monde extérieur, plus particulièrement de ses partenaires.
Chaque organisation peut clairement et facilement utiliser le protocole DMARC pour se protéger contre les abus du phishing et des autres types d’attaques comme le spoofing pour ne citer que celui-là (vérifiez vos domaines de messagerie dès à présent).
Autrefois, du temps des SPF et DKIM, avant le début de l’implémentation du DMARC, il était bien difficile de savoir si un email reçu était réel (légitime) ou non, bien que l’idée de se protéger était déjà une réalité qui nous taraudait tous.
Les administrateurs de messagerie faisaient de leur mieux en matière de sécurité pour assurer l’hygiène de la messagerie en filtrant les spams, les logiciels malveillants et le phishing. Mais, lorsque les filtres ne pouvaient pas déterminer si le mail était réellement légitime, ces derniers avaient tendance à laisser aux utilisateurs finaux le soin d’essayer de déterminer à leur tour la légitimité dont il est question.
Il était réellement, pour la machine comme pour l’homme, de centraliser la typologie et la physionomie des emails légitimes ou encore d’être manichéen.
Rappelons-le, le mail est impliqué dans plus de 90 % des attaques informatiques, par le biais d’exploits à l’instar du spear phishing (une variante de l’hameçonnage accentuée par des techniques de social engineering). Continuer à miser sur les utilisateurs finaux n’est pas forcément la bonne approche.
DMARC nous paraît une solution adaptée en matière d’hygiène et de filtrage, qui permet de déployer une protection astucieuse de son système de messagerie. Cela, en empêchant par exemple l’utilisation frauduleuse de son domaine de messagerie lors d’une vague de cyberattaque par mails.
Grâce au protocole DMARC, les entreprises ont une meilleure visibilité de l’utilisation, légitime comme frauduleuse, de leurs domaines de messagerie. Cette visibilité accrue permet de se protéger et protéger ses partenaires contre la cybercriminalité.
Les entreprises doivent mettre en œuvre le DMARC pour une bonne validation des emails sortants et entrants, en réduisant la surface d’attaque. Cela a pour effet de se préserver, baisser les coûts du support lié à la fraude, améliorer le scoring et enfin de prévenir des formes d’abus susmentionnées.
De notre fenêtre, DMARC a été conçu pour répondre à plusieurs niveaux d’exigence : minimiser les faux positifs, fournir des rapports d’authentification factuels, faire valoir la politique de l’expéditeur auprès des destinataires, réduire le nombre de livraisons de phishing réussies, travailler à toutes les échelles de façon sans limite et simplifiée …
D’une certaine manière, « réduire la complexité » revient à simplifier.
Pour terminer, implémenter DMARC ne doit pas être une option autour de sa solution de messagerie. Or, nous sommes toujours assez surpris du fait que cela ne soit pas un réflexe pour tous. Cela étant dit, d’autres entreprises butent encore avec des problématiques de SPF.
Thierry Adrian, avril 2020