DMARC : Sécurisez vos emails contre le phishing

DMARC, SPF, DKIM : Les Clés de la Sécurité de l’Emailing

Les attaques de phishing sont un problème majeur en cybersécurité, affectant des milliers d’entreprises et d’individus chaque année par des e-mails frauduleux. Une bonne gestion de la sécurité des e-mails est essentielle pour prévenir ces menaces, et cela passe par la mise en place de protocoles tels que DMARC, SPF, et DKIM. Ces technologies, lorsque bien configurées, permettent de renforcer la crédibilité de vos communications par email et de protéger votre domaine contre les attaques.

Qu’est-ce que DMARC, SPF et DKIM ?

SPF (Sender Policy Framework)

SPF est un protocole qui permet de définir les serveurs autorisés à envoyer des emails en votre nom. Cela empêche les attaquants d’utiliser votre domaine pour envoyer des e-mails malveillants, réduisant ainsi les risques d’usurpation d’identité.

• SPF Policy Types :
  • -all : Rejette tous les emails non autorisés.
  • ~all : Soft fail (les e-mails non autorisés seront marqués comme suspects).
  • ?all : Neutre (aucune action spécifique, laisse le serveur du destinataire décider).

Pour tester et vérifier votre configuration SPF, vous pouvez utiliser des outils en ligne comme MXToolbox.

DKIM (DomainKeys Identified Mail)

DKIM ajoute une signature numérique unique à chaque email envoyé, permettant au destinataire de vérifier que l’email est bien authentique et qu’il n’a pas été modifié durant son transit. Cette authentification assure l’intégrité des messages et contribue à établir la confiance.

• DKIM Configuration : La signature est générée par une paire de clés publique/privée. La clé publique est publiée dans les enregistrements DNS, et la clé privée est utilisée par le serveur d’envoi pour signer les emails.

DMARC (Domain-based Message Authentication, Reporting & Conformance)

DMARC se base sur les protocoles SPF et DKIM pour offrir une politique de validation unifiée. Il permet au propriétaire du domaine de définir la manière dont les emails non conformes doivent être traités (par exemple, rejeter, mettre en quarantaine). En plus de cette validation, DMARC fournit des rapports sur les échecs de vérification, ce qui permet une meilleure supervision et ajustement de la sécurité.

Exemples de Configuration pour DMARC, SPF et DKIM

Exemple de Configuration SPF

Pour configurer SPF, vous devez ajouter un enregistrement TXT à votre DNS. Voici un exemple :

"v=spf1 include:_spf.google.com -all"

Dans cet exemple :

• v=spf1 indique la version du SPF.
• include:_spf.google.com signifie que Google est autorisé à envoyer des e-mails au nom de votre domaine.
• -all définit que tout autre serveur non spécifié sera rejeté.

Exemple de Configuration DKIM

DKIM implique de générer une paire de clés publique/privée. La clé publique doit être ajoutée à vos enregistrements DNS :

"v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC... (clé publique abrégée)"

• v=DKIM1 : Version du DKIM.
• k=rsa : Type de chiffrement utilisé.
• p= : La clé publique qui sera utilisée pour vérifier la signature DKIM.

La clé privée est installée sur le serveur de messagerie, qui signe les e-mails sortants.

Exemple de Configuration DMARC

Pour DMARC, un enregistrement TXT doit être ajouté à votre DNS, comme ci-dessous :

"v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; pct=100"

• v=DMARC1 : Version de DMARC.
• p=reject : Politique appliquée aux e-mails non conformes (ici, rejet total des e-mails non validés).
• rua : Adresse e-mail de rapport agrégé.
• ruf : Adresse pour les rapports de forensic (rapports détaillés).
• pct=100 : Pourcentage d’e-mails auxquels appliquer la politique.

Comprendre les Différentes Politiques DMARC

Lors de la configuration de DMARC, vous avez le choix entre trois politiques : none, quarantine, et reject. Une politique en “none” est souvent utilisée lors des premières phases de mise en place, car elle permet de collecter des informations sans impacter la délivrabilité des e-mails. Cette phase est cruciale pour évaluer les résultats et ajuster la configuration des protocoles SPF et DKIM. Cependant, une politique en “none” n’offre aucune protection réelle contre les e-mails frauduleux.

• None : Le domaine n’exige aucune action sur les e-mails non conformes, mais reçoit des rapports pour observer le trafic. Cela permet de comprendre la provenance des problèmes avant de passer à des mesures plus strictes.
• Quarantine : Les e-mails non conformes sont mis en quarantaine (par exemple, redirigés vers le dossier spam).
• Reject : Les e-mails non conformes sont tout simplement rejetés et n’atteignent jamais la boîte de réception du destinataire.

Il est recommandé de passer progressivement de “none” à “reject” afin d’assurer une protection maximale contre les cyberattaques par e-mail, tout en évitant les interruptions involontaires de la délivrabilité.

DMARC et la Cybersécurité : Prévenir les Attaques de Phishing

Une des principales menaces pour les entreprises aujourd’hui est le phishing, où des attaquants envoient des e-mails qui semblent provenir de sources fiables dans le but de voler des informations sensibles. DMARC joue un rôle essentiel dans la prévention du phishing en évitant que des attaquants n’usurpent votre domaine pour envoyer ces faux e-mails.

Un exemple récent de campagne de phishing concerne les e-mails frauduleux visant les usagers de l’ANTS (Agence Nationale des Titres Sécurisés). Ces messages étaient conçus pour ressembler à des communications officielles afin de soutirer des informations personnelles. Si l’ANTS avait mis en place une politique stricte DMARC (comme “reject”), il aurait été possible d’empêcher la grande majorité de ces e-mails frauduleux d’atteindre leur cible.

En effet, de par la politique dmarc en none de france-identite.gouv.fr les attaquant on eu la possibilité d’envoyer des mails avec en expéditeur [email protected] ce qui est vraiment sensible. En effet le domaine utilisé est le bon et a part en regardant les headers c’est difficile de le voir (meme si gmail montre le relais de mémoire).

Lien vers l’alerte officielle ANTS concernant cette campagne de phishing.

Bonnes Pratiques en Emailing pour une Meilleure Sécurité

Pour assurer la sécurité de vos campagnes d’emailing et éviter que votre domaine soit utilisé à des fins malveillantes, il est important de suivre certaines bonnes pratiques :

1. Commencez par une phase de surveillance avec une politique DMARC en “none”, pour analyser les rapports et identifier les problèmes. Evidement si vous êtes sur un nouveaux domaine vous pouvez directement passer en reject (il n’ya pas de soucis de potentiellement casser l’existant).
2. Configurez correctement SPF et DKIM afin de garantir l’authenticité de vos e-mails.
3. Passez progressivement à une politique de “quarantine” puis de “reject”, pour renforcer la sécurité de vos e-mails et minimiser les risques de phishing.
4. Vérifiez régulièrement les rapports DMARC afin de maintenir une bonne délivrabilité et assurer une protection optimale.

Notons qu’actuellement DMARC est obligatoire pour envoyer des mails vers gmail ou yahoo (il faut l’enregistrement même en none)

Conclusion

La mise en place de DMARC, SPF, et DKIM est essentielle pour protéger les communications par email et améliorer la cybersécurité de votre organisation. En suivant une approche progressive, vous pouvez renforcer votre emailing et réduire considérablement les risques d’attaques par phishing. Comme l’illustre l’exemple de l’ANTS, des mesures strictes peuvent éviter des conséquences importantes pour les utilisateurs et les entreprises.