Le guide Red Sift pour atteindre l’application DMARC

L’email est l’un des canaux de communication les plus exploités et souvent la cible d’hameçonnage, d’usurpation et de cyberattaques. Domain-based Message Authentication, Reporting, and Conformance (DMARC) constitue une défense puissante contre ces menaces, mais son véritable impact dépend d’une adoption et d’une application généralisées.

Malgré ses avantages avérés, la mise en œuvre de DMARC reste inégale dans le monde entier. L’obtention d’une application à l’échelle mondiale exige la collaboration des gouvernements, des entreprises et des organismes internationaux.

Ce guide propose une feuille de route claire afin de promouvoir l’adoption de DMARC, d’aborder les aspects réglementaires et juridiques, et de répondre aux défis régionaux. En travaillant ensemble, nous pouvons avancer vers l’application et créer un internet plus sûr pour tous.

L’application de DMARC empêche les emails frauduleux d’atteindre vos employés, clients, fournisseurs et utilisateurs. Elle garantit que seuls les emails légitimes sont correctement authentifiés, permettant ainsi aux serveurs de messagerie du monde entier de rejeter les messages non autorisés.

Ces attaques d’usurpation incluent aussi bien des campagnes hautement ciblées de whaling et de spear-phishing menées par des hackers étatiques ou des menaces persistantes avancées (APT) que des escroqueries d’hameçonnage courantes qui peuvent s’avérer tout aussi dommageables. L’application de DMARC protège votre organisation contre les deux types d’attaques.

Avant de viser une application mondiale de DMARC, il est essentiel de comprendre comment y parvenir. La clé réside dans une approche progressive—en appliquant les politiques DMARC étape par étape avec DKIM (DomainKeys Identified Mail) et SPF (Sender Policy Framework). Ce déploiement contrôlé assure que seuls les emails légitimes sont envoyés depuis votre domaine, tout en bloquant les tentatives d’usurpation et d’hameçonnage. En suivant ce chemin structuré, les organisations peuvent renforcer leur sécurité et préparer la voie à une adoption plus large dans le secteur.

Le reporting DMARC commence par l’ajout d’une entrée DNS _dmarc sur tous vos domaines. Cela indique aux serveurs de messagerie où trouver votre politique DMARC et comment gérer les échecs d’authentification.

Avec Red Sift OnDMARC, il suffit de mettre à jour votre DNS une seule fois pour chaque domaine. En pointant vos enregistrements DMARC vers les services dynamiques OnDMARC, vous pouvez gérer votre politique directement depuis l’interface OnDMARC—plus besoin de modifier manuellement le DNS, évitant ainsi erreurs et retards.

Avant de mettre en application DMARC, vous avez besoin de données pour comprendre votre paysage email actuel et vous assurer que les changements n’affecteront pas la délivrabilité. C’est pourquoi DMARC commence en mode “none” (uniquement reporting)—tous les emails sont livrés pendant que vous collectez des informations.

Une fois Red Sift OnDMARC installé, vous recevrez des rapports des serveurs de messagerie détaillant comment votre domaine est utilisé. Il existe deux types de rapports :

• Rapports agrégés (le standard) : Envoyés quotidiennement par la plupart des serveurs, ils donnent un aperçu global des résultats d’authentification.
• Rapports forensiques (informations avancées par Red Sift) : Envoyés lorsqu’un email individuel échoue DMARC, apportant un éclairage précis sur l’incident.

Les deux types de rapports sont au format XML lisible par une machine, mais leur analyse manuelle peut s’avérer complexe. Red Sift OnDMARC simplifie ce processus en traitant automatiquement les rapports et en fournissant un tableau de bord accessible, pour repérer et résoudre rapidement les problèmes de sécurité.

"v=DMARC1; p=none; rua=mailto:dmarc-reports@example.com; ruf=mailto:forensic@example.com; fo=1"

• p=none : Surveillance uniquement, sans application. Cela signifie que les emails sont toujours délivrés, même s’ils échouent aux contrôles.
• rua=mailto:dmarc-reports@example.com : Adresse email de réception des rapports agrégés. C’est là que commence la capacité de reporting de DMARC.
• ruf=mailto:forensic@example.com : Adresse email de réception des rapports d’échec.
• fo=1 : Envoi des rapports forensiques en cas d’échec SPF ou DKIM.

En moins de 24 heures, vous devriez recevoir votre premier rapport DMARC à examiner.

Avec Red Sift OnDMARC, l’analyse de vos rapports est simple. Vous verrez rapidement quelles sources d’envoi sont autorisées, repérerez toute configuration manquante et identifierez les expéditeurs non autorisés. Il peut s’agir de services légitimes à mettre à jour ou de tentatives d’usurpation.

• Le volume total d’emails et les taux de réussite de l’authentification.
• Répartition des réussites/échecs pour DMARC, SPF et DKIM.
• Une liste détaillée des expéditeurs, avec la performance de chaque service.

Avec cette visibilité, vous pouvez facilement cibler et corriger les problèmes, assurant ainsi la protection totale de votre domaine.

De la même manière que vous pouvez pointer votre enregistrement DMARC vers Red Sift OnDMARC pour une gestion simple sans modifications DNS manuelles, vous pouvez faire de même avec DKIM et SPF grâce à nos services Dynamic DKIM et Dynamic SPF. Vous pouvez ainsi gérer tous les paramètres d’authentification email au même endroit—plus de gestion fastidieuse des DNS.

Configurer Dynamic DKIM

Pour configurer Dynamic DKIM, copiez toutes vos clés DKIM existantes dans votre DNS dans Dynamic DKIM. Pointez ensuite le DKIM “_domainkey” de votre domaine vers Dynamic DKIM en ajoutant un enregistrement NS unique dans votre DNS.

Toute gestion future des clés DKIM, ajout ou suppression, pourra alors se faire via la plateforme, sans modification manuelle de vos DNS.

Pour configurer Dynamic SPF, importez votre enregistrement SPF dans Dynamic SPF. Remplacez ensuite l’intégralité de votre enregistrement SPF par une seule directive include pointant vers Dynamic SPF.

Votre enregistrement SPF ressemblera à : v=spf1 include:_u.example.org._spf.smart.ondmarc.com ~all

Une fois configuré, vous pouvez gérer votre enregistrement SPF entièrement via la plateforme, ajouter ou supprimer des mécanismes sans avoir à modifier le DNS.

Pour les expéditeurs légitimes, visez une conformité DKIM quasi parfaite. Pour cela, votre fournisseur DMARC doit prendre en charge DKIM et vous fournir des instructions claires. En général, cela implique l’une des méthodes suivantes :

• Enregistrements CNAME pointant vers des clés publiques DKIM hébergées (option recommandée).
• Enregistrements TXT contenant les clés publiques DKIM.

Une taille minimale de clé DKIM de 1024 bits est recommandée, mais si possible, demandez du 2048 bits pour une sécurité renforcée. Si vous utilisez Dynamic DKIM d'OnDMARC, vous gérez les configurations DKIM directement dans la plateforme—pas d’édition DNS manuelle, donc moins de risques et un gain de temps.

*Certains expéditeurs, comme Microsoft Exchange Online, rendent plus difficile la distinction entre les rapports provenant d’expéditeurs originaux et des emails transférés, ce qui peut affecter le suivi de la conformité DKIM.

Pour les expéditeurs légitimes utilisant votre domaine dans leur adresse de retour**, vous devez configurer SPF afin d’autoriser leurs adresses IP.

Si vous utilisez Dynamic SPF d’OnDMARC, vous pouvez gérer ces paramètres directement dans la plateforme—plus besoin de modifier les DNS, moins de risques, gain de temps.

**L’adresse de retour est aussi appelée MAIL FROM, Return-Path ou Envelope From.

Après chaque modification, validez toujours en envoyant des emails de test depuis chaque expéditeur pour vous assurer que tout fonctionne correctement.

Avec Red Sift OnDMARC, utilisez l’outil intégré “Investigate” pour examiner rapidement les résultats d’authentification, identifier les problèmes et obtenir des informations claires, sans déchiffrer les en-têtes complexes d’emails.

Si tout est validé : parfait ! Sinon, examinez pourquoi et ajustez la configuration.

Répétez les étapes 1 à 4 et révisez, configurez, validez jusqu’à ce que tous vos domaines et expéditeurs légitimes soient correctement configurés, autorisés et passent DMARC, DKIM et SPF.

Passer de none à quarantine indique aux serveurs de messagerie d’envoyer les emails non autorisés dans les courriers indésirables, réduisant ainsi le risque d’hameçonnage ou d’usurpation tout en maintenant une surveillance active.

Il n’y a aucune différence entre une attaque d’usurpation non autorisée et frauduleuse, et un expéditeur légitime mais non autorisé ou mal configuré. Dans les deux cas, l’authentification échouera. C’est pourquoi une configuration DMARC correcte est essentielle : en autorisant correctement tous les expéditeurs légitimes, vous évitez les interruptions tout en bloquant les menaces réelles.

Après avoir relevé votre politique à “quarantine”, il est important de surveiller vos rapports DMARC pendant au moins quelques jours. Nous recommandons une vérification hebdomadaire pour suivre quels expéditeurs sont mis en quarantaine et s’assurer qu’il s’agit bien de non-autorisés. Durant cette période, soyez attentif aux signalements de mails légitimes arrivant dans les spams.

Si vous découvrez que des emails légitimes sont en quarantaine, prenez le temps de configurer et valider le bon expéditeur. Durant ces ajustements, vous pouvez décider de repasser temporairement à une politique “none” ou de progresser vers l’application totale.

Après avoir passé suffisamment de temps en mode “quarantine”, procédez à la dernière étape : appliquez la politique p=reject. Elle offre la meilleure protection, empêchant toute tentative d’usurpation et limitant les risques pour vos employés, clients, fournisseurs et utilisateurs.

En définissant p=reject, votre organisation bénéficie de :

• Protection totale contre l’usurpation et l’hameçonnage : Les emails non autorisés et échouant l’authentification DMARC sont automatiquement rejetés. Les tentatives d’usurpation sont bloquées et les risques d’hameçonnage réduits. En associant cela à la sensibilisation, au MFA et à la formation du personnel, vous renforcez la sécurité globale.
• Confiance accrue dans la marque : Prévient tout hameçonnage utilisant votre domaine et protège votre réputation auprès de vos clients.
• Meilleure délivrabilité : Les fournisseurs d’accès reconnaissent vos emails authentifiés comme légitimes, ce qui réduit le risque qu’ils soient signalés comme spam.
• Visibilité complète sur l’activité email : Les rapports DMARC vous aident à suivre l’usage autorisé ou non de vos domaines.
• Éligibilité BIMI : Avec DMARC pleinement appliqué, le logo de votre marque peut s’afficher à côté de vos emails authentifiés, améliorant la notoriété et la confiance, et menant à un taux d’ouverture supérieur de 39 %.
• Conformité réglementaire : De nombreuses normes et réglementations exigent ou recommandent l’application DMARC comme pratique de cybersécurité.

En atteignant p=reject, votre domaine est totalement sécurisé : seuls les emails légitimes sont délivrés, toutes les tentatives d’usurpation sont bloquées.

Votre organisation évolue en permanence, tout comme votre configuration email. Pour maintenir l’application DMARC, vérifiez régulièrement vos rapports afin d’identifier les nouveaux expéditeurs légitimes devant être configurés. Rester proactif garantit que votre sécurité reste optimale.

N’oubliez pas de protéger l’ensemble de vos domaines, y compris ceux qui sont seulement “garés” et non utilisés : vérifiez au minimum chaque trimestre votre liste de domaines pour ne pas en oublier.

Les principaux fournisseurs DMARC, comme Red Sift OnDMARC, simplifient ce suivi en permettant d’ajouter de nouveaux expéditeurs directement via la plateforme, sans modification DNS manuelle. C’est un vrai gain de temps, moins d’erreurs et une protection continue sans complexité inutile.