Blog

Protéger votre marque contre le phishing – Création d’un enregistrement DMARC

Return Path | 11 juillet, 2013

Est-ce vraiment aussi simple de configurer un enregistrement DMARC ? Tout à fait ! Après tout, ce n’est jamais qu’une simple ligne de texte… Il y a même fort à parier pour que vous mettiez plus de temps à mettre la main sur les administrateurs de vos serveurs DNS et de messagerie d’entreprise qu’à créer un enregistrement DMARC.

Si vous vous intéressez à la création d’un enregistrement DMARC, il est fort probable que vous connaissiez déjà les conditions préalables à sa configuration. En voici toutefois un bref rappel.

1–Vérifiez l’alignement des domaines (c’est-à-dire l’alignement des identifiants). Ouvrez les en-têtes des emails que vous envoyez. Identifiez le (sous-)domaine répertorié dans les en-têtes d’email suivants :

  • Return Path:/Mail-From:/Envelope From:
  • From:
  • DKIM-Signature (Recherchez la balise « d= ».)

Sont-ils identiques ? Le cas échéant, vos domaines sont alignés et vous serez en mesure d’indiquer aux opérateurs de messagerie de rejeter les emails illégitimes prétendant émaner de votre marque. Dans le cas contraire, pas de chance, mais au moins, vous pourrez continuer à recevoir des rapports concernant ces messages.

2–Authentifiez vos messages avec DKIM et un enregistrement Sender ID conforme à SPF.

Une fois les étapes 1 et 2 passées, la procédure peut démarrer.

1–Créez des comptes de messagerie. Vous pourrez, par l’intermédiaire de DMARC, recevoir des rapports cumulés journaliers sur les éventuelles activités de phishing et d’usurpation d’identité (spoofing) dont vous faites l’objet. Assurez-vous d’avoir créé des comptes de messagerie pour les recevoir. Il peut être intéressant d’utiliser deux comptes distincts dans la mesure où vous pourriez être submergé de rapports journaliers. Cela dit, vous restez seul juge de la manière dont vous souhaitez filtrer vos emails.

2–Tirez parti de l’expérience de vos pairs. La meilleure façon d’apprendre consiste parfois à prendre exemple sur d’autres aussi, pourquoi ne pas examiner les règles DMARC appliquées par l’annonceur de votre choix ? Vous pouvez également consulter l’enregistrement DMARC de Return Path. Pour ce faire, accédez à la page DNSStuff et complétez les champs suivants comme suit :

3–Familiarisez-vous avec les balises DMARC. Il existe de nombreuses balises DMARC, mais elles ne sont pas toutes nécessaires ; il est de fait recommandé d’opter pour la simplicité et de se concentrer sur les balises « v », « p », « rua » et « ruf ».

4–Choisissez d’abord le mode de « surveillance » (monitor). Il s’agit d’une méthode très simple (et conseillée) pour mettre en œuvre DMARC. Précisez la version à l’aide de la balise « v » (fixe). Attribuez la valeur « none » à la balise « p » (règles), qui indique à l’opérateur de messagerie de n’appliquer aucune mesure (ni mise en quarantaine, ni rejet) s’il détecte des emails de phishing ou de spoofing. Demandez à recevoir les rapports cumulés journaliers des opérateurs de messagerie à l’aide de la balise « rua », en indiquant votre adresse email. Comme le mécanisme de traitement des échecs de l’authentification SPF doit correspondre à la configuration DMARC, il doit être défini sur « soft fail » (~all). Ajoutez cet enregistrement texte au fichier de zone DNS pour votre domaine d’envoi.

“v=DMARC1; p=none; rua=mailto:dmarc_agg@auth.returnpath.net”

Vous pouvez également demander à recevoir une copie de l’email de phishing/spoofing en ajoutant la balise « ruf ». Il est possible d’ajouter cette balise à ce stade ou plus tard lorsque vous vous serez familiarisé avec les rapports RUA. Notez toutefois que Gmail n’envoie pas de rapports RUF.

“v=DMARC1; p=none; rua=mailto:dmarc_agg@auth.returnpath.net;
ruf=mailto:dmarc_afrf@auth.returnpath.net

5–Activez ensuite le mode Mise en quarantaine (quarantine). Dans les rapports que vous recevrez, vous constaterez peut-être que vous avez oublié d’authentifier une campagne email envoyée par un tiers pour votre compte. L’erreur est humaine ! Le cas échéant, il vous suffira de procéder à son authentification. Dès que vous aurez résolu les problèmes identifiés, vous serez prêt à passer à l’étape suivante.

Pour indiquer aux opérateurs de messagerie de mettre les messages frauduleux en quarantaine en les plaçant dans le dossier Courriers indésirables, configurez votre enregistrement comme suit :

“v=DMARC1; p=quarantine; rua=mailto:dmarc_agg@auth.returnpath.net;
ruf=mailto:dmarc_afrf@auth.returnpath.net”

D’autres balises DMARC vous permettent de configurer des options supplémentaires intéressantes, par exemple la mise en quarantaine d’un pourcentage donné des emails de phishing/usurpés.

6–Configurez enfin le mode rejet (reject). Si les étapes précédentes se sont correctement déroulées, vous êtes en mesure de demander aux opérateurs de messagerie de rejeter tout message frauduleux. Votre mécanisme de traitement des échecs de l’authentification SPF doit dès lors être configuré sur « hard fail » (-all).

“v=DMARC1; p=reject; rua=mailto:dmarc_agg@auth.returnpath.net;
ruf=mailto:dmarc_afrf@auth.returnpath.net”

Félicitations ! Vous êtes sur le point de rejoindre l’élite des annonceurs qui ont publié des règles DMARC.

Your browser is out of date.
For a better Return Path experience, click a link below to get the latest version.