En 2024, les attaques de phishing ont connu une augmentation significative, avec une hausse de 58,2 % par rapport à l’année précédente. Les cybercriminels envoient désormais environ 3,4 milliards d’emails de phishing chaque jour, représentant environ 1,2 % de l’ensemble du trafic email mondial.*
Face à ces menaces croissantes, DMARC (Domain-based Message Authentication, Reporting & Conformance) s’impose comme une norme essentielle pour renforcer la sécurité des emails. En s’appuyant sur les protocoles SPF et DKIM, DMARC permet de contrôler qui est autorisé à envoyer des emails en votre nom et de définir des règles pour bloquer les tentatives de fraude.
Dans cet article, nous explorerons en détail l’alignement SPF et DKIM, éléments clés du bon fonctionnement de DMARC. Comment fonctionnent-ils ? Pourquoi sont-ils importants ? Et surtout, comment les implémenter efficacement pour protéger votre domaine ? Toutes les réponses se trouvent ici.
DMARC, ou Domain-based Message Authentication, Reporting & Conformance, est un protocole qui s’appuie sur les mécanismes d’authentification SPF et DKIM pour protéger les domaines contre l’usurpation d’identité, telle que le phishing ou le spoofing. En définissant des règles de vérification pour les emails envoyés depuis votre domaine, il permet aux serveurs de messagerie des destinataires de vérifier si les messages sont conformes aux standards de sécurité établis par votre domaine. En cas de non-conformité, DMARC indique les actions à entreprendre, comme la mise en quarantaine ou le rejet des emails suspects, tout en fournissant des rapports pour mieux comprendre et ajuster votre politique d’authentification. Ce dispositif renforce la sécurité et la réputation de votre domaine, réduisant ainsi les risques de fraude par email.
L’objectif ? Assurer que seuls les emails autorisés (par votre entreprise ou vos services) puissent utiliser votre nom de domaine tout en vous offrant une visibilité sur les tentatives d’usurpation. Cela améliore la sécurité de votre domaine et renforce votre réputation en tant qu’expéditeur.
Pour bien comprendre DMARC, il est important de se pencher d’abord sur les deux piliers qui le précèdent : SPF et DKIM.
SPF (Sender Policy Framework) :
Ce protocole permet de définir les adresses IP autorisées à envoyer des emails pour un domaine donné. Concrètement, il s’agit d’un enregistrement DNS spécifiant les serveurs de messagerie légitimes.
Validation SPF : Pour vérifier qu’un email passe la validation SPF, l’adresse IP du serveur émetteur est comparée avec la liste des serveurs autorisés. Si elle correspond, l’email passe la validation SPF.
DKIM (DomainKeys Identified Mail) : DKIM utilise une signature cryptographique pour garantir que l’email n’a pas été modifié après son envoi par le domaine d’origine. Cela se fait via l’ajout d’une signature dans l’en-tête de l’email, qui peut être vérifiée par le destinataire à l’aide d’une clé publique disponible dans le DNS.
Validation DKIM : Pour valider DKIM, le destinataire compare la signature incluse dans l’email avec la clé publique disponible dans les DNS. Si les deux correspondent, l’email passe la validation DKIM.
Pour valider un email via DMARC, il faut que l’email passe la vérification SPF ou DKIM (ou les deux), tout en respectant l’alignement défini dans votre politique DMARC. DMARC utilise ces résultats pour déterminer si un email est conforme à votre politique et pour définir le traitement des emails (accepter, mettre en quarantaine ou rejeter les emails non conformes).
La mise en place d’une politique DMARC consiste à publier un enregistrement DNS qui définit les règles à appliquer pour les emails envoyés depuis votre domaine. Cette politique précise les actions à entreprendre pour les emails non conformes (comme la mise en quarantaine ou le rejet) et spécifie le degré d’alignement attendu pour les vérifications SPF et DKIM afin de valider l’authenticité des envois.
Voici la liste des principaux arguments à paramétrer pour un enregistrement DMARC :
L’alignement SPF dans le cadre de DMARC consiste à comparer le domaine utilisé dans l’adresse d’enveloppe d’envoi (souvent appelée MAIL FROM ou Return-Path) avec celui indiqué dans le champ From: de l’email. Cette comparaison vise à s’assurer que l’expéditeur de l’email est bien autorisé à utiliser le domaine figurant dans l’adresse visible par le destinataire.
DMARC propose deux niveaux d’alignement pour SPF :
Alignement strict : Le domaine ou sous-domaine du Mail from (Return-path) doit être exactement identique au domaine ou sous-domaine du champ From.
Exemple :
Alignement relaxé : Dans ce mode, le domaine du Mail From (Return-Path) et le domaine du champ From doivent appartenir au même domaine parent. Cela signifie qu’un sous-domaine peut être utilisé sans invalider l’alignement.
Exemple :
Quelques exemples
Prenons différents cas de figure et voyons comment ils se comportent suivant les règles d’alignement SPF.
L’alignement DKIM repose sur la comparaison entre le domaine utilisé dans la signature DKIM (d=) et le domaine utilisé dans le champ From de l’email. Comme pour SPF, il existe deux niveaux d’alignement :
Alignement strict : Le domaine spécifié dans la signature DKIM (d=) doit être exactement identique au domaine utilisé dans le champ From.
Exemple :
Ici, l’alignement est strict car d= correspond exactement au domaine utilisé dans From.
Alignement relaxé : Le domaine utilisé dans la signature DKIM (d=) peut être un sous-domaine du domaine utilisé dans le champ From.
Exemple :
Dans cet exemple, l’alignement est relaxé, car sousdomaine.exemple.com est un sous-domaine de exemple.com.
Quelques exemples
Comme pour SPF, analysons quelques cas de figure pour l’alignement DKIM.
Pour qu’un email soit considéré comme conforme à DMARC, il doit :
Par défaut, si les alignements aspf et adkim ne sont pas spécifiés, ils sont considérés comme relâché.
Quelques exemples
Pour une bonne implémentation de DMARC, il est recommandé de commencer avec une politique p=none afin de surveiller les résultats sans impacter la délivrabilité des emails. Cette approche permet d’analyser les rapports DMARC (rua et ruf) pour identifier d’éventuels problèmes d’alignement et ajuster la configuration en conséquence. Il est essentiel d’adapter l’alignement SPF et DKIM en fonction des besoins, notamment si plusieurs services tiers envoient des emails au nom du domaine. Une fois les configurations testées et validées, il est conseillé de renforcer progressivement la politique de DMARC en passant d’abord à p=quarantine, puis à p=reject, afin de sécuriser efficacement le domaine contre le phishing et l’usurpation d’identité.
Nous verrons dans un prochain article qu’une politique p=quarantine à minima est un pré-requis à l’implémentation de BIMI.
L’alignement SPF et DKIM est un paramètre clé de DMARC. Une configuration rigoureuse permet de maximiser l’efficacité du protocole contre le phishing et l’usurpation d’identité. Il est essentiel d’adapter ces réglages en fonction des besoins et des infrastructures de messagerie utilisées, tout en exploitant les rapports DMARC pour affiner progressivement la politique de protection.
Les experts ACTIVECOM peuvent vous accompagner dans la mise en place et l’optimisation de votre politique DMARC afin de garantir une protection optimale de votre domaine et une délivrabilité maximale de vos emails.
