Lorsque quelqu’un reçoit et ouvre un e-mail, il voit les parties du message qui intéressent la plupart des gens.
En plus du contenu du message (le corps), le destinataire verra généralement quelques champs d’en-tête, tels que De :, À :, Objet : et Date : qui transmettent des informations de base sur l’origine revendiquée et le sujet du message.
Ces en-têtes ne représentent qu’une petite fraction des en-têtes qui font partie du message.
La méthode pour rendre les en-têtes masqués visibles diffère selon le fournisseur de boîte aux lettres. Dans Gmail, vous pouvez accéder à l’en-tête de l’e-mail en cliquant sur les trois points dans le coin supérieur droit d’un message, puis sur « Afficher l’original ».
D’autres fournisseurs auront le choix dans un menu tel que « Afficher la source du message » ou des mots à cet effet.
Vous saurez que vous avez trouvé le bon endroit lorsque vous voyez beaucoup de texte avec des lignes commençant par des mots comme « Reçu : », « Chemin de retour : » et d’autres, y compris celui dont nous voulons discuter « Authentification-Résultats : », qui ressemblera à quelque chose comme ceci :
Les protocoles d’authentification des e-mails, notamment SPF, DKIM et DMARC, sont utilisés pour établir l’identité des parties responsables d’un message donné. Les fournisseurs de boîtes aux lettres enregistreront les résultats des contrôles d’authentification effectués sur un message dans cet en-tête, et nous pouvons voir ici que ce message a reçu des verdicts de « réussite » pour les trois.
Le fournisseur de boîte aux lettres utilisera alors les informations enregistrées dans cet en-tête et d’autres informations qu’il connaît sur les parties responsables pour déterminer où placer ce message dans la boîte aux lettres du destinataire.
En tant qu’utilisateur, vous voudrez peut-être jeter un coup d’œil à cet en-tête si vous êtes curieux de savoir pourquoi un message s’est retrouvé là où il s’est retrouvé. Notez que les verdicts d’échec ici peuvent rendre le message plus susceptible d’être placé dans le dossier Courrier indésirable de l’utilisateur, mais les verdicts de réussite ne garantissent pas le placement dans la boîte de réception.
Ces protocoles établissent de manière fiable l’identité des parties responsables. Si ces parties sont connues du fournisseur de boîte aux lettres comme étant des expéditeurs de courrier indésirable, cela facilite la décision du fournisseur de boîte aux lettres de mettre le message dans le courrier indésirable.
Les expéditeurs qui essaient d’activer leurs pratiques d’authentification peuvent également utiliser l’en-tête « Authentication-Results », mais ce n’est pas leur meilleur outil pour le faire.
Pour le petit expéditeur utilisant un serveur et une adresse IP, des cycles répétés de « envoyer un message, regarder l’en-tête Auth-Results, ajuster, répéter » est une approche (bien que fastidieuse). Cependant, pour tous ceux qui envoient avec n’importe quel volume, l’en-tête « Authentication-Results » n’est qu’un grain de sable sur la plage de courrier qu’un propriétaire de domaine envoie.
Pour eux, les rapports agrégés DMARC sont de bien meilleurs outils car au lieu de se concentrer trop sur les détails du courrier envoyé à une boîte aux lettres chez un fournisseur, les propriétaires de domaine peuvent se concentrer sur une vue globale plus large de l’ensemble de leur programme d’envoi de courrier.
Avec DMARC :
Les expéditeurs peuvent recevoir des rapports agrégés DMARC qui regroupent les données sur les informations d’authentification pour chaque e-mail envoyé à l’aide de leur domaine.
Les expéditeurs peuvent également demander une classe de traitement pour un message qui échoue à l’authentification. Cependant, l’application est un élément essentiel du DMARC et, à l’heure actuelle, seuls les 13% des utilisateurs de DMARC sont à l’application. Sans cela, les destinataires ne reçoivent pas d’instructions sur la façon de gérer un message qui échoue à l’authentification, ce qui signifie que les e-mails falsifiés peuvent toujours arriver dans la boîte de réception.
Pour le destinataire, DMARC aligne les résultats d’authentification de SPF et/ou DKIM avec ce que l’utilisateur voit dans le champ « De » de son e-mail.
Au fur et à mesure que l’adoption de DMARC se développe, les propriétaires de domaine peuvent être sûrs que seuls les expéditeurs approuvés utilisent leur domaine, et les utilisateurs finaux peuvent être de plus en plus sûrs que le message dans leur boîte de réception provient de qui il dit qu’il est « De » sans avoir à creuser davantage dans les en-têtes des e-mails. mais nous sommes encore loin d’atteindre une protection optimale.
Sommaire
Où va DMARC ?
Les Norme DMARC a été publié en 2012, et, au début de 2020, le nombre de domaines avec enregistrements DMARC publiés a presque dépassé le million. Il s’agit d’une augmentation de 70 % par rapport à 2019 et de 180 % par rapport à 2018.
La simple publication d’un enregistrement DMARC ne protège pas suffisamment un domaine contre l’usurpation d’identité. Pourtant, sur près d’un million de domaines organisationnels avec DMARC, seuls 13% sont à l’exécution et protéger véritablement les domaines de l’usurpation d’identité ou des mauvais acteurs.
Aujourd’hui, DMARC est une norme utilisée par 80% des boîtes de réception du monde et tandis que l’intérêt du DMARC continue de croître, l’expertise ne suit pas le même rythme.
Que ce passe t-il après?
Combler l’écart entre les dossiers publiés et l’application
DMARC contient des subtilités délicates et fastidieuses à mettre en œuvre pour la plupart des entreprises. De plus, il s’appuie sur deux autres standards, SPF et DKIM, eux-mêmes délicats à mettre en œuvre et sujets aux erreurs.
Nous assisterons probablement à une évolution vers des informations plus directes sur les aspects techniques de DMARC. Déjà, libre outils existent pour surmonter la première étape souvent compliquée d’une initiative DMARC qui nécessiterait généralement une analyse manuelle des rapports XML.
Fournir aux propriétaires de domaine un accès à la visibilité DMARC sans la charge technique n’est que la première étape pour rendre l’application DMARC accessible à tous.
Pas d’autorisation, pas d’entrée ?
La question qui préoccupe beaucoup de gens : le DMARC sera-t-il un jour requis ? En janvier 2018, le Department of Homeland Security a demandé aux agences fédérales de mettre en œuvre le DMARC sur les domaines d’envoi de courrier électronique dans le cadre de la CA 18-01 directive, mais un mandat gouvernemental pour d’autres industries est peu probable.
Cependant, vous avez peut-être entendu le terme « No Auth, No Entry ». Pas d’authentification, pas d’entrée fait référence à un futur possible où un ou plusieurs fournisseurs de boîtes aux lettres choisissent d’appliquer une politique de refus de tout courrier non authentifié. Bien qu’il n’y ait pas encore d’engagement public, les propriétaires de domaine peuvent encore récolter les avantages de DMARC maintenant et soyez prêt si jamais cela se concrétise.
Tirez parti de DMARC comme élément fondamental des futures fonctionnalités de messagerie
DMARC ouvre la porte à d’autres normes et spécifications de sécurité bénéficiant à toutes les équipes, de l’informatique au marketing. Un exemple est Indicateurs de marque pour l’identification des messages (BIMI), la nouvelle spécification de messagerie permettant aux logos de marque d’être affichés dans les clients de messagerie de support. Pour être éligible au BIMI (et obtenir le Augmentation de 10 % de l’engagement par e-mail qui l’accompagne), la politique DMARC d’une entreprise doit être en vigueur.
Forrester estime qu’une grande entreprise type peut économiser 2,4 millions de dollars par an avec une politique DMARC à l’application. Les organisations ont besoin de DMARC pour protéger la sécurité des e-mails, la réputation de l’entreprise et les clients, pour augmenter l’engagement des clients et économiser de l’argent. DMARC ne va pas disparaître et il sera davantage priorisé dans les années à venir.
