CertificatsVMC 09-02-2021

Comment configurer le DMARC pour rendre votre domaine éligible à l’obtention d’un certificat VMC

digicert-blogimages-mar22

Dans notre dernier article, nous nous sommes penchés sur la manière de convertir votre logo à un format compatible BIMI/VMC. Cet article aborde l’étape suivante : comment configurer le protocole pour votre entreprise.

Qu’est-ce que le DMARC ?

Abréviation de “Domain-based Message Authentication, Reporting and Conformance”, le DMARC est un protocole de politiques, de reporting et d’authentification d’e-mails qui permet aux entreprises de protéger leur domaine contre toute utilisation non autorisée (spoofing, phishing, etc.). La conformité de votre entreprise au standard DMARC est un prérequis à l’obtention d’un certificat VMC.

Plus une minute à perdre

Selon la taille de votre entreprise, ce processus peut prendre des semaines, voire des mois entiers. Plus l’entreprise est grande, plus il faut du temps. C’est pourquoi il est urgent de vous atteler à la tâche.

Cet article est un guide succinct destiné à vous donner un aperçu du processus de base. Pour un tutoriel plus approfondi, étape par étape, téléchargez notre guide complet sur le DMARC et le BIMI.

Ce qu’il vous faut

Avant de commencer, assurez-vous d’avoir :

  1. Un éditeur de texte (Notepad++, Vim, Nano, etc.)
  2. Un accès aux enregistrements DNS de votre domaine
    1. a. Si vous ne gérez pas vos DNS, contactez l’administrateur de votre serveur.

Étape 1 : Collectez les adresses IP pour le SPF

La première étape de la mise en conformité DMARC consiste à mettre en place le Sender Policy Framework (ou SPF). L’objectif ici est d’empêcher les adresses IP non autorisées d’envoyer des e-mails à partir de votre domaine.

Mais avant cela, vous devez dresser un inventaire complet de toutes les adresses IP autorisées qui envoient actuellement des e-mails depuis votre domaine.

Exemples :

  • Serveur web
  • Serveur de messagerie sur site
  • Serveur de messagerie hébergé chez un FAI
  • Serveurs de messagerie tiers

Vous ne trouvez pas toutes les adresses IP ? Pas de panique. Le monitoring DMARC (étape 4) s’en chargera pour vous. Toutefois, il est bon de prendre de l’avance en rassemblant autant d’adresses que possible à ce stade.

Étape 2 : Créez un enregistrement SPF pour votre (vos) domaine(s)

L’étape suivante consiste à ouvrir votre éditeur de texte et y créer un enregistrement SPF pour chaque domaine.

Exemple 1 : v=spf1 ip4:1.2.3.4 ip4:2.3.4.5 ip4:x.x.x.x -all

Exemple 2 : v=spf1 ip4:1.2.3.4 ip4:2.3.4.5 include:thirdparty.com -all

Une fois terminé, enregistrez le fichier et publiez-le sur votre DNS.

Utilisez un outil SPF (comme ) pour vérifier que tout a été saisi correctement.

Étape 3 : Configurez le DKIM

Le est un standard d’authentification qui s’appuie sur la cryptographie à clé publique/privée pour signer les e-mails et empêcher toute altération des messages en transit.

  1. Choisissez un sélecteur DKIM.

    Exemple : “standard._domaine.exemple.fr” = nom d’hôte

  2. Générez une paire de clés publique/privée pour votre domaine.

    Windows : utilisez PUTTYGen

    Linux/Mac : utilisez ssh-keygen

  3. Créez et publiez un nouvel enregistrement .TXT via votre console de gestion DNS.

    Exemple : v=DKIM1; p=VotreClePublique

Étape 4 : Surveillez. Communiquez. Répétez.

C’est l’étape la plus importante, mais aussi la plus chronophage. Il s’agit à présent de configurer le DMARC pour surveiller le trafic actuel de vos e-mails. Vous établirez ainsi une base de référence solide pour savoir ce qui est approuvé (et ce qui sera éventuellement mis en quarantaine ou rejeté par le DMARC).

REMARQUE : Même s’il peut être tentant de passer directement à la mise en application du DMARC, il est important de prendre le temps d’effectuer un suivi détaillé du trafic à ce stade. Ceci vous évitera que des messages importants ne soient perdus ou supprimés définitivement une fois le DMARC pleinement activé.

Voici comment effectuer un suivi DMARC de votre trafic :

  1. Assurez-vous d’avoir correctement paramétré le SPF et le DKIM
  2. Créez un registre DNS

    Le nom de l’enregistrement DMARC “txt” doit ressembler à ceci : “_dmarc.votre_domaine.fr.”

    Exemple : “v=DMARC1;p=none; rua=mailto:rapportsdmarc@votre-domaine.fr”

    Si vous gérez vous-même le DNS de votre domaine, créez un enregistrement DMARC “p=none” (mode monitoring) de la même manière que pour les enregistrements SPF et DKIM.

    Sinon, demandez au gestionnaire de votre DNS de créer l’enregistrement DMARC pour vous.

    3. Testez votre enregistrement DMARC à l’aide d’un

    Remarque : La réplication prend généralement entre 24 et 48 heures.

    Le DMARC va à présent générer des rapports qui vous fourniront une bonne visibilité sur les mails envoyés par votre domaine, y compris les messages marqués par SPF et DKIM.

    Important : C’est ici que vous découvrirez si des expéditeurs légitimes apparaissent dans le rapport alors qu’ils n’étaient pas inclus dans votre enregistrement SPF (étape 1). Le cas échéant, pensez à mettre à jour votre enregistrement en conséquence.

    Le problème ? Ces rapports se présentent sous la forme d’un fichier XML assez peu lisible. Et comme vous allez passer pas mal de temps à décortiquer ces données, nous vous recommandons vivement d’utiliser un processeur de rapports DMARC () pour faciliter leur analyse.

Étape 5 : Après une période d’observation, mettez le DMARC en application

Une fois que vous aurez passé suffisamment de temps à observer le trafic d’e-mails et que vous pensez avoir identifié les messages légitimes signalés à tort comme non autorisés, il est temps de mettre le DMARC en application.

Celui-ci comporte deux niveaux : “quarantaine” et “rejet”. Le niveau “rejet” étant évidemment beaucoup plus sûr, nous recommandons de l’appliquer. Toutefois, l’un ou l’autre de ces niveaux permettra à votre domaine d’être éligible à un certificat VMC.

Avant d’appliquer directement un rejet, le plus sûr est de placer un message en quarantaine pendant un certain temps. Voici comment procéder :

  1. Connectez-vous à votre serveur DNS et identifiez votre enregistrement DMARC.
  2. Ouvrez l’enregistrement DMARC correspondant au domaine spécifié et modifiez la politique de “p=none” à “p=quarantine”.

    Exemple :

    “v=ٲѴ1;=ܲԳپԱ;賦=10;ܲ=ٴ:峾ǰٲdzٰdzԱ.ڰ”

  3. 3. Ajoutez l’étiquette “pct” (% d’e-mails à filtrer). Nous vous suggérons de commencer avec 10 % et d’augmenter progressivement jusqu’à atteindre 100 %.

    Une fois que vous avez atteint un filtrage à 100 %, vous êtes officiellement éligible à l’obtention d’un certificat VMC et prêt à rejeter des messages.

Heureusement, c’est l’étape la plus simple :

  1. Ouvrez votre enregistrement DMARC et remplacez “p=quarantine” par “p=reject”.

Félicitations ! Visibilité sur les messages envoyés depuis votre domaine, renforcement de la sécurité de chaque utilisateur, protection contre une multitude d’attaques de phishing et éligibilité à l’obtention d’un certificat VMC… vous êtes gagnant sur toute la ligne.

Pour plus d’informations sur la sécurisation des accès aux e-mails de votre entreprise, consultez notre blog sur l’accès sécurisé aux e-mails à distance.

UP NEXT

Articles à la une

04-27-2021

L'automatisation, c'est maintenant

11-16-2021

Sécurité : les prévisions de pour 2022

parle quantique: rapport de la National Academy of Sciences