DMARC : Qu'est-ce que c'est + Comment cela aide à protéger votre marque contre la fraude par e-mail

Publié: 2016-10-04

Dans le monde du courrier électronique, il est étonnamment facile de prétendre être quelqu'un que vous n'êtes pas. Presque toute personne ayant une compréhension de base du fonctionnement des e-mails peut donner l'impression qu'un message provient de l'expéditeur de son choix, et bien sûr, les escrocs en profitent.

Il existe un nombre infini d'exemples où des criminels se font passer pour une marque, puis utilisent la réputation de confiance de la marque pour voler des informations personnelles ou des détails de carte de crédit aux destinataires des e-mails. C'est le cauchemar d'un commerçant.

Heureusement, il existe des mécanismes qui aident les marques à éviter ce type de fraude par e-mail : les protocoles d'authentification par e-mail.

Domain-based Message Authentication, Reporting & Conformance—ou DMARC—est l'ajout le plus récent à la liste des protocoles d'authentification de courrier électronique. Il s'appuie sur deux frameworks existants et largement déployés, les protocoles Sender Policy Framework (SPF) et DomainKeys Identified Mail (DKIM).

Vous ne connaissez pas votre DKIM de votre SPF ?

Nous savons que cela peut être déroutant ! Révisez les bases de la livraison des e-mails avant de vous lancer dans les moindres détails de DMARC.

Rafraîchir les bases →

Ce qui distingue DMARC des autres protocoles d'authentification des e-mails (et le rend particulièrement précieux pour chaque marketeur) est sa fonction de reporting. Avec DMARC, vous pouvez voir qui envoie des e-mails au nom de votre domaine (votre marque) et empêcher les spammeurs de l'utiliser pour envoyer des e-mails frauduleux.

Comprendre l'authentification des e-mails n'est pas facile et, dans la plupart des cas, ce n'est pas quelque chose que les spécialistes du marketing par e-mail peuvent gérer eux-mêmes. Néanmoins, en tant que voix de votre marque, chaque spécialiste du marketing par e-mail doit avoir une compréhension de base de l'e-mail. smj_headshot l'authentification et DMARC, et comment utiliser les outils disponibles pour aider à protéger votre marque contre la fraude par e-mail.

Pour apporter un peu plus de clarté dans le monde déroutant de l'authentification des e-mails, nous nous sommes assis avec Steven Jones, directeur exécutif de DMARC.org , et lui avons demandé tout ce que nous avons toujours voulu savoir sur l'authentification des e-mails et DMARC :

  1. Qu'est-ce que l'authentification et pourquoi les spécialistes du marketing par e-mail devraient-ils s'en soucier ?
  2. Qu'est-ce que DMARC, comment fonctionne-t-il et qu'est-ce qui le rend différent des autres protocoles d'authentification (DKIM et SPF) ? comment travaillent-ils ensemble?
  3. Quels sont les avantages de la configuration de DMARC ? Comment cela aide-t-il à protéger ma marque ?
  4. Que peut-il se passer si je ne le configure pas ?
  5. À quoi ressemblent les rapports DMARC ? Quels types d'informations contiennent-ils ?
  6. Pourquoi DMARC est-il également important pour les fournisseurs de boîtes de réception (FAI) ?
  7. Combien de marques et de FAI utilisent déjà DMARC ?
  8. Si un fournisseur de boîte de réception vérifie les e-mails entrants pour DMARC mais que ma marque ne l'a pas encore configuré, cela peut-il nuire à mon taux de livraison ?
  9. Les fournisseurs de boîtes de réception attachent-ils des avertissements de sécurité aux e-mails de marques qui ne sont pas authentifiées ? Les destinataires des e-mails sont-ils informés des échecs d'authentification ?
  10. Qu'en est-il des domaines qui n'envoient pas d'e-mails ? Devraient-ils également être authentifiés ?
  11. Qui est généralement responsable de la configuration du DMARC pour une marque : quelqu'un de mon entreprise ou de mon ESP ? Qui peut aider à la mise en œuvre technique ?
  12. Combien coûte la mise en place de DMARC ?
  13. En plus du DMARC, quelles autres pratiques recommandez-vous pour vous protéger contre la fraude par e-mail ?

1. Qu'est-ce que l'authentification et pourquoi les spécialistes du marketing par e-mail devraient-ils s'en soucier ?

L'authentification des e-mails fait référence à des mécanismes ou des protocoles qui vous permettent, à vous ou à votre serveur de messagerie, de vérifier qu'un message utilisant un domaine Internet particulier dans le champ de provenance était réellement autorisé à utiliser ce domaine. En d'autres termes, si vous recevez un message avec une adresse de [email protected], est-ce que BigBank.com a vraiment autorisé ce message ?

Différents protocoles d'authentification de courrier électronique ont été introduits au cours de la dernière décennie. Les protocoles les plus populaires sont :

  • Sender Policy Framework, ou SPF
  • Message identifié par DomainKeys ou DKIM
  • Authentification, rapport et conformité des messages basés sur le domaine ou DMARC.

De nombreux fournisseurs de messagerie dans le monde utilisent ces protocoles pour filtrer les messages entrants. Les spécialistes du marketing n'ont pas besoin de chercher plus loin que Google, Yahoo et Microsoft pour constater que plus de la moitié de leurs listes moyennes sont vérifiées pour les trois protocoles.

De nombreux spécialistes du marketing par e-mail envoient des messages au nom des clients, en utilisant les domaines du client dans l'adresse de provenance, mais n'envoient pas les messages à partir de l'infrastructure du client. C'est essentiellement ce que font les spammeurs et les hameçonneurs, il faut donc plus de travail de la part des fournisseurs de messagerie pour distinguer les mauvais acteurs des commerçants légitimes.

Les protocoles d'authentification des e-mails visent à faciliter cette tâche, et les spécialistes du marketing doivent être très motivés pour s'assurer que les messages qu'ils envoient peuvent être vérifiés comme étant légitimes. Cela évite les retards ou les détournements accidentels vers le dossier spam.

2. Qu'est-ce que DMARC, comment fonctionne-t-il et qu'est-ce qui le différencie des autres protocoles d'authentification (DKIM et SPF) ? comment travaillent-ils ensemble?

DMARC est essentiellement une couche de politique et de rapport au-dessus de DKIM et SPF.

Du côté des rapports, les récepteurs compatibles DMARC vous diront :

  • Combien de messages ils ont reçus en utilisant votre domaine Internet dans l'adresse De :
  • D'où viennent ces messages
  • Si ces messages ont passé les contrôles DKIM et SPF.

Ceci est incroyablement utile aux organisations qui introduisent l'authentification par courrier électronique et leur permet de voir si des criminels se font passer pour eux.

Le côté politique de DMARC permet au propriétaire du domaine de demander un traitement particulier des messages qui utilisent leur domaine dans l'adresse d'origine, mais ne transmettent ni DKIM ni SPF. En d'autres termes : si quelqu'un utilise votre domaine mais échoue à l'authentification, quelle action le fournisseur de boîte de réception doit-il entreprendre ? Tu peux demander ça :

  • Aucune mesure à prendre
  • Les messages défaillants doivent être mis en quarantaine
  • Les messages défaillants seront rejetés.

C'est évidemment très puissant dans la lutte contre la fraude, et une percée parce que les fournisseurs de boîtes de réception étaient en grande partie peu disposés à le faire lorsque seul SPF était utilisé, et pour DKIM, il n'y a pas eu de mécanisme de politique largement accepté.

Il existe un facteur supplémentaire introduit par DMARC, appelé alignement d'adresses. Les authentifications DKIM et SPF utilisent des noms de domaine particuliers pour chaque message. Avec SPF, il s'agit du domaine au sein de l'« adresse de rebond », plus précisément la RFC5321.MailFrom. Avec DKIM, il s'agit d'un domaine inclus dans la signature cryptographique que DKIM attache au message.

Vous êtes encore confus ? C'est exactement le problème. DKIM et SPF utilisent tous deux des identifiants de domaine que l'utilisateur final ne voit jamais. Ainsi, un mauvais acteur peut faire passer des messages à de simples contrôles DKIM ou SPF en utilisant les domaines qu'il contrôle, tout en mettant ce qu'il veut dans l'adresse d'origine. L'utilisateur verrait « [email protected] » et ferait confiance au message, alors qu'il ne devrait pas le faire.

Sous DMARC, ces domaines doivent correspondre (ou être « en alignement » avec) l'adresse dans l'en-tête de. C'est ce que nous appelons l'alignement d'adresses ou de domaines, et cela aide à empêcher la forme d'hameçonnage la plus simple et la plus efficace.

3. Quels sont les avantages de la configuration de DMARC ? Comment cela aide-t-il à protéger ma marque ?

Personne ne veut être associé à une fraude contre ses clients ou ses clients potentiels. Mais si vous ne protégez pas votre domaine (votre marque) avec l'authentification par e-mail, vous permettez aux criminels de capitaliser facilement sur la bonne réputation que vous avez soigneusement bâtie en les laissant usurper l'identité de votre domaine.

Pour le propriétaire de la marque, le premier avantage est que les rapports DMARC vous donnent un aperçu de l'activité de messagerie utilisant votre domaine. Vous pouvez l'obtenir même si vous n'avez pas encore déployé DKIM et SPF pour voir si les spammeurs et les hameçonneurs se font passer pour vous. De plus, vous aurez une idée de toutes les entités internes qui envoient des e-mails à l'aide de votre domaine : par exemple, vous découvrirez peut-être que le marketing a embauché deux entreprises pour envoyer des e-mails aux clients, les RH ont engagé une entreprise pour informer les employés des avantages, et Les achats ont un fournisseur qui gère les commandes.

Cependant, vous devez toujours déployer à la fois DKIM et SPF. Permettre aux destinataires de vérifier plus facilement vos messages légitimes signifie moins de retard dans l'analyse du contenu de chaque message que vous envoyez, car ils sont tous potentiellement suspects. Cela signifie que vos messages seront traités de manière plus cohérente par chaque fournisseur de boîte de réception, au lieu d'être envoyés dans le dossier spam, en fonction des propriétés uniques de chaque campagne.

4. Que peut-il se passer si je ne le configure pas ?

Si vous ne configurez pas DMARC, il se peut que rien ne se passe. Ou il se peut que quelqu'un envoie un million de messages en utilisant votre domaine, essayant d'amener les gens à donner leurs coordonnées bancaires. Sans les rapports DMARC, vous n'en entendrez peut-être jamais parler. Avec DMARC et les autres protocoles en place, vous avez la possibilité d'empêcher de tels messages d'atteindre les consommateurs qui, en cas de fraude, auront naturellement une mauvaise association avec le domaine ou la marque qui a été utilisé pour les victimiser.

Alors que je travaillais pour mon ancien employeur, nous avons déployé DMARC pour un domaine à la retraite, et rien ne s'est passé pendant un mois. Puis, un week-end, un fraudeur a envoyé près de deux millions de messages en utilisant ce domaine. Heureusement, presque tous (99%) ont été bloqués à cause de la politique DMARC que nous avions publiée, mais sans DMARC, nous n'aurions jamais su, à moins qu'il n'ait fait les journaux, ce qui n'est pas la façon dont quiconque veut apprendre de telles choses.

Votre enregistrement DMARC est-il configuré correctement ?

Litmus Spam Testing vous aide à vous assurer que votre authentification de courrier électronique, y compris DMARC, DKIM et SPF, est configurée pour réussir

Explorer les tests anti-spam →

5. À quoi ressemblent les rapports DMARC ? Quels types d'informations contiennent-ils ?

Il existe deux types de rapports. Ceux dont nous parlons habituellement sont appelés rapports agrégés, où chaque fournisseur de boîte de réception inclut des informations récapitulatives sur tous les messages qu'il a vus en utilisant votre domaine. C'est donc le nombre de messages, les adresses IP d'où ils proviennent, s'ils se sont authentifiés avec DKIM ou SPF, s'il y a eu un "passage DMARC", ce qui a été fait avec le message, et ainsi de suite. C'est comme les lignes d'une base de données ou d'une feuille de calcul, regroupées sous forme de texte à l'aide d'un format appelé XML. Les rapports peuvent faire des dizaines ou des centaines de kilo-octets, tout dépend de la taille du fournisseur de boîte de réception et de la quantité de sources de trafic, etc.

Les autres types de rapports sont les rapports d'échec, qui ne sont pas envoyés par tous les fournisseurs de boîtes de réception. Hotmail de Microsoft est probablement le fournisseur de messagerie américain le plus connu qui les envoie. Dans ce cas, si les propriétaires de domaine les ont demandés via leur politique DMARC, le fournisseur de boîte de réception envoie un rapport d'échec pour chaque message reçu qui utilise votre domaine, mais qui ne parvient pas à s'authentifier.

Gardez à l'esprit que demander des rapports d'échec peut générer beaucoup de messages. Mais ces rapports peuvent contenir des détails sur les systèmes d'envoi, et toutes les URL ou liens dans le message, ils peuvent donc être très utiles à la fois pour les personnes déployant l'authentification des e-mails et les problèmes de dépannage, ou pour le personnel de sécurité essayant de comprendre ce que font les escrocs.

Ces deux rapports sont très précieux, mais les lire, en particulier les rapports agrégés, n'est pas quelque chose que la plupart des gens apprécient. Le propriétaire du domaine ou l'expéditeur de l'e-mail voudra généralement traiter les rapports automatiquement. Les formats sont documentés dans les standards, vous avez donc la possibilité d'écrire vos propres outils. Il existe quelques packages open source pour vous aider à démarrer, mais la plupart des organisations ont tendance à utiliser l'un des nombreux services pour obtenir de l'aide. Agari, dmarcian et Return Path y sont depuis le plus longtemps, mais plus récemment, des entreprises comme 250ok, Easy Solutions, Fraudmarc et ValiMail proposent ces services et bien plus encore.

6. Nous avons parlé des expéditeurs et des raisons pour lesquelles ils doivent adopter et agir sur DMARC. Mais pourquoi DMARC est-il également important pour les fournisseurs de boîtes de réception (FAI) ?

La mise en œuvre de DMARC en tant que fournisseur de boîte de réception peut être coûteuse. Imaginez maintenir une base de données sur tous les domaines individuels qui envoient des e-mails à votre entreprise. Imaginez maintenant que vous hébergez une centaine d'entreprises. Encore avec moi? Imaginez maintenant que vous hébergez toutes les entreprises qui utilisent Google Apps ou Office 365. C'est un investissement important en temps, en personnel et en ressources.

Mais il y a aussi un avantage pour les FAI. L'authentification des e-mails est très programmatique par rapport à la détermination si quelque chose est un spam ou un hameçonnage, en fonction du contenu du message. Le premier est un ensemble rapide de calculs, tandis que le second est très subjectif, implique l'analyse des langages naturels, l'interprétation de l'utilisation des images, l'analyse de la destination des liens dans le message, etc.

Plus l'analyse à laquelle vous devez soumettre chaque message est sophistiquée, plus le FAI coûte cher pour garder les boîtes de réception des utilisateurs propres. L'authentification des e-mails, et la réputation que les expéditeurs acquièrent plus rapidement lorsqu'ils l'utilisent, peuvent rendre ces déterminations initiales beaucoup plus rapides et donc moins chères. Les FAI doivent toujours rechercher les virus et autres, mais savoir que le message provient d'un expéditeur réputé fait une grande différence.

Pour aider les propriétaires de domaine et les expéditeurs à rendre leurs messages plus faciles à authentifier, les FAI et autres récepteurs DMARC acceptent la surcharge de la compilation et de l'envoi de ces rapports agrégés. L'idée est que les expéditeurs utiliseront ces rapports pour s'assurer que leurs messages légitimes sont authentifiés à 100 % du temps, ce qui permet de limiter les coûts opérationnels pour les destinataires. Tout le monde en profite, en particulier les utilisateurs finaux qui ont moins de messages frauduleux dans leur boîte de réception.

7. Combien de marques et de FAI utilisent déjà DMARC ?

Il serait très difficile d'apporter une réponse précise à cette question. Toutes les organisations qui utilisent DMARC pour filtrer les messages entrants n'annoncent pas qu'elles l'utilisent, et certaines passerelles de messagerie commerciales effectuent désormais le filtrage mais ne prennent pas encore en charge la création de rapports. Du côté de l'expéditeur, je peux dire qu'un ensemble de données montre que plus de 100 000 domaines ont publié des enregistrements DMARC valides, et c'est un ensemble de données limité - il ne couvre rien à distance de l'ensemble d'Internet.

Si les lecteurs essaient de comprendre s'il y a suffisamment d'utilisation de DMARC qu'ils devraient adopter le plus tôt possible, alors ma réponse est oui. En termes de marketing, réfléchissez au nombre de clients de vos clients couverts par AOL, Comcast, GMail, Microsoft et Yahoo. Ils utilisent tous DMARC, vous voulez donc vous assurer que vous l'êtes aussi. Et bien que tout cela puisse sembler très spécifique à l'Amérique du Nord et peut-être à l'Europe, l'un des plus grands fournisseurs de messagerie chinois, NetEase ; La Poste en France ; Mail.ru et Yandex en Russie ; et de nombreux autres fournisseurs de messagerie, grands et petits dans le monde, utilisent DMARC.

8. Si un fournisseur de boîte de réception vérifie les e-mails entrants pour DMARC mais que ma marque ne l'a pas encore configuré, cela peut-il nuire à mon taux de livraison ?

Plus il est facile de déterminer que les messages ne sont pas mauvais, plus ils sont susceptibles d'être livrés rapidement et sans erreur. Ce n'est pas tant que vous nuisez à votre taux de livraison lorsque vous n'avez pas d'authentification par courrier électronique, mais que vous pouvez éviter d'être mal traité lorsque vous l'avez.

Par exemple, vous envoyez un message et il comprend une phrase ou un lien qui ressemble à quelque chose dans une récente campagne de spam à grande échelle. Si un fournisseur de boîte aux lettres doit s'appuyer sur le filtrage de contenu et la correspondance de modèles, et qu'il n'a aucune preuve que votre message provient d'un bon acteur connu, il y a plus de chances que certains ou tous ces messages soient envoyés dans le dossier spam. Dans le meilleur des cas, les messages sont soumis à davantage d'analyses et de contrôles, ce qui retarde la livraison de vos messages.

Ou, et cela devient de plus en plus courant, si vous ne réussissez pas les contrôles d'authentification, les liens dans vos messages peuvent être supprimés ou désactivés, ou les images peuvent être bloquées, tout cela parce que la source du message n'a pas pu être vérifiée.

9. Les fournisseurs de boîtes de réception attachent-ils des avertissements de sécurité aux e-mails de marques non authentifiées ? Les destinataires des e-mails sont-ils informés des échecs d'authentification ?

En fait, quelques-uns des principaux fournisseurs de messagerie expérimentent l'affichage de différents indicateurs aux utilisateurs lorsque des messages qui ne se sont pas authentifiés apparaissent dans leur boîte de réception. Gmail en particulier a fait cela, de la même manière qu'ils l'ont fait pour les messages non envoyés via une connexion cryptée.

10. Qu'en est-il des domaines qui n'envoient pas d'e-mails ? Devraient-ils également être authentifiés ?

Il s'agit d'un cas particulier et doit être traité avec l'authentification. Si vous avez un domaine qui n'envoie pas de courrier maintenant ou dans un avenir proche, disons qu'il est réservé ou "parqué", vous pouvez facilement définir un enregistrement SPF afin que personne ne se faisant passer pour lui puisse atteindre la boîte de réception et définir un enregistrement DMARC pour recevoir signale quand quelqu'un essaie.

C'est quelque chose qui devrait être fait pour chaque domaine parqué, simplement pour préserver la valeur potentielle de la marque du domaine. Si le domaine que vous avez réservé a fait l'objet d'abus et a une mauvaise réputation au moment où vous souhaitez l'utiliser, vous avez perdu votre temps et votre argent. Mieux vaut le protéger dès le départ.

11. Qui est généralement responsable de la configuration du DMARC pour une marque : quelqu'un de mon entreprise ou de mon ESP ? Qui peut aider à la mise en œuvre technique ?

Chaque entreprise semble organiser cette responsabilité différemment. Parfois, l'équipe marketing développe les noms et les enregistre, en collaboration avec une équipe interne ou un fournisseur pour les opérations. D'autres fois, un service gère les domaines, un autre groupe gère les e-mails et le marketing est un client interne qui se coordonne avec plusieurs ESP. N'importe lequel de ces groupes peut être chargé de prévenir les abus, ou il peut provenir d'une équipe de sécurité de l'information ou de gestion des risques.

Les meilleures suggestions que je peux offrir sont les suivantes :

  1. La société propriétaire de la marque doit être le propriétaire du domaine enregistré, et
  2. Ils doivent déterminer qui est responsable de la gestion des domaines dans l'ensemble de l'entreprise, de la même manière que la gestion de la marque est généralement organisée dans l'ensemble de l'entreprise.

Assurez-vous que vos dirigeants comprennent les risques de ne pas protéger vos domaines, et définissez une politique claire et une partie ou un service responsable avec l'autorité pour faire le travail. Déterminez ensuite quelles équipes doivent être impliquées dans l'élaboration d'un plan de protection de ces domaines et son exécution.

Lorsqu'il s'agit de questions de technologie et d'exploitation, si une entreprise n'a pas l'expertise en interne, il existe des fournisseurs qui peuvent l'aider. Nous avons répertorié certains fournisseurs pour la mise en œuvre et le support d'analyse sur le site Web de DMARC.

12. Combien coûte la configuration de DMARC ?

Cela ne se prête pas à une réponse facile, car l'échelle du projet varierait considérablement d'une entreprise à l'autre. Par exemple:

  • Combien de domaines sont concernés ?
  • Combien de départements internes différents envoient des e-mails ?
  • Combien de fournisseurs externes ?
  • Des frais seront-ils facturés si ces fournisseurs doivent modifier certains aspects des messages qu'ils envoient ?
  • Qui a la responsabilité du projet, et peuvent-ils forcer d'autres départements à apporter des changements opérationnels si nécessaire ?
  • L'expertise technique nécessaire est-elle disponible en interne ou doit-elle être recherchée ?

Armé de ces questions - qui ne font qu'effleurer la surface - quelqu'un qui connaît l'organisation cible peut commencer à évaluer l'effort. Dans le même temps, et pour avoir une idée de ce que DMARC pourrait faire, la publication d'un enregistrement DNS pour un domaine et l'examen des rapports est un moyen simple de commencer et pourrait démontrer la nécessité d'un véritable projet basé sur ce que ces rapports montrent.

13. En plus du DMARC, quelles autres pratiques recommandez-vous pour vous protéger contre la fraude par e-mail ?

Faites tout votre possible pour faciliter l'identification de vos messages. Utilisez vos domaines de manière cohérente au fil du temps, idéalement en utilisant un domaine ou un sous-domaine tout au long du message pour les adresses, les images, les liens, etc. Il est facile et tentant d'extraire des actifs de différents domaines (vos fournisseurs et partenaires, par exemple), mais cela peut sembler identique comme lorsque les hameçonneurs extraient des actifs de domaines sans rapport avec l'adresse d'origine. Limitez au moins l'ensemble des autres domaines avec lesquels vous travaillez et maintenez-le stable dans le temps.

Plus il est facile de dire que vos messages viennent de vous, plus il est facile de savoir quand les messages utilisant votre identité viennent d'ailleurs et ne devraient pas être livrés dans la boîte de réception.

Rendez-vous dans la boîte de réception, pas dans le dossier spam

Identifiez les problèmes qui pourraient vous empêcher d'accéder à la boîte de réception et obtenez une aide concrète pour les résoudre avec Litmus Spam Testing.

Essayez Litmus gratuitement →