Début février 2024, Google et Yahoo! ont annoncé leur volonté de mieux contrôler l’authentification des mails à destination de leurs plateformes. Ainsi, les entreprises envoyant plus de 5 000 mails par jour à des adresses Google ou Yahoo! devront obligatoirement mettre en place la méthode DMARC en plus des protocoles SPF et DKIM. L’occasion pour Alinto de faire le point sur l’intérêt de DMARC et son réel impact sur la sécurité du mail.
De quoi s’agit-il ?
La méthode DMARC, aussi appelée Domain-based Message Authentication, Reporting and Conformance, est un protocole de validation d’authenticité des courriels. Il permet aux administrateurs de messagerie d’empêcher les pirates informatiques d’usurper l’identité de leur organisation et de leur domaine.
Concrètement, DMARC renforce le contrôle des mails réceptionnés sur une plateforme. Il indique aussi comment traiter ce mail s’il provient d’une source non déclarée par l’administrateur (tentative d’usurpation). Ainsi, trois solutions sont possibles :
- soit le mail est tout simplement rejeté (politique la plus sécurisée);
- soit il est mis en quarantaine afin de pouvoir l’examiner avant un éventuelle distribution ou le rejet ;
- soit rien n’est fait. et c’est l’anti-spam du destinataire qui décidera de la conduite à tenir.
Pour autant, la méthode DMARC reste encore peu utilisée. En témoigne une étude de l’AFNIC datant de mars 2023, selon laquelle moins de 10 % de noms de domaine en .fr ont mis en place la méthode DMARC.
DMARC, SPF, DKIM : quels liens ?
Pour autant, afin d’être un tant soit peu efficace, le DMARC doit surtout être couplé avec les protocoles SPF et DKIM. Utilisés ensemble, ils protègent les expéditeurs et destinataires contre les mails frauduleux au même titre que le DMARC. Revenons donc aux protocoles SPF et DKIM.
Tout d’abord, le protocole SPF. Il s’agit d’un mécanisme d’authentification de la provenance des courriers électroniques. Il permet aux administrateurs de domaines expéditeurs de spécifier les adresses IP autorisées à envoyer des mails en leur nom. Ainsi, lors de la réception d’un mail, le serveur de messagerie du destinataire peut vérifier si l’adresse IP de l’expéditeur est autorisée par le domaine d’origine à envoyer des courriels. Si c’est le cas, le courriel est alors considéré comme légitime.
DKIM, quant à lui, a été conçu pour vérifier l’authenticité du domaine d’envoi et l’intégrité d’un courriel. Il permet aux fournisseurs de services de messagerie de vérifier que les mails reçus proviennent bel et bien du domaine indiqué et n’ont pas été altérés lors de leur transit.
Pour qu’un message passe la validation DMARC, il est impératif qu’il ait été authentifié par SPF et DKIM. Le déploiement de DMARC nécessite donc préalablement le déploiement des protocoles SPF et DKIM.
DMARC, véritable intérêt ou effet marketing ?
C’est donc avec la ferme intention de lutter contre le spam que Google et Yahoo! ont décidé de durcir les contrôles d’authentification des mails qui sont destinés à leurs plateformes.
Néanmoins, au regard du rôle que jouent les protocoles SPF et DKIM, d’aucuns pourraient se demander si la méthode DMARC est véritablement nécessaire. Chez Alinto, nous y voyons aussi un effet marketing de la part des deux géants de la tech, et ce, pour plusieurs raisons :
- Tout d’abord, la méthode DMARC est inopérante sans les protocoles SPF et DKIM. Ces deux-là agissent comme un premier filtre pour identifier la provenance des mails. Et souvent le DMARC n’ajoute rien puisque le SPF peut produire les mêmes effets, notamment s’il est paramétré pour rejeter tous les mails ayant une provenance douteuse.
- Dans la majorité des cas, les entreprises configurent leur DMARC (p=none) afin de laisser la main à l’anti-spam du destinataire et le laisser gérer les autorisations et blocages de mails. Ainsi, pour bien se protéger, il reste nécessaire d’avoir une solution de sécurité contre le phishing, via les anti spam qui tirent aujourd’hui parti de l’IA et d’améliorations continues des techniques de filtrage.
Cela dit, le DMARC demeure important pour la réputation, notamment de domaines dont il est tentant d’usurper l’identité (grandes entreprises, services publics, financiers,…).
Chez Alinto, nous pensons qu’abondance de biens ne nuit pas et nous conseillons de mettre en place une politique DMARC et le faisons pour nos clients. Nous rappelons aussi que la meilleure sécurisation et politique d’authentification, en réponse aux directives de Google et Yahoo! passent surtout par la bonne mise en œuvre des protocoles SPF et DKIM, tout autant que la qualité des antispams déployés.