Blog

DMARC: un nouveau standard pour la protection des domaines

Le protocole SMTP est vieux et simple d’utilisation.
Il a été inventé avant 1980 pour permettre d’envoyer des courriers électroniques sur des réseaux privés.
Grâce au protocole SMTP natif, il est possible d’envoyer un email en utilisant l’adresse email expéditrice que l’on veut, cette possibilité a engendré des problèmes de fiabilité des communications électroniques avec notamment, l’apparition des campagnes de phishing. Pour remédier à cela, les opérateurs ont mis au point un concept permettant aux expéditeurs d’emails d’authentifier leurs messages.

L’authentification des emails a pour but  d’assurer aux destinataires que l’expéditeur est bien celui qu’il dit être.

Dans la pratique, cela a donné 4 normes :

  • SPF et SenderID, dont le principe est de placer un enregistrement TXT dans le DNS du domaine pour spécifier les IPs autorisées à émettre des emails depuis ce domaine. La norme SPF étant la norme commune basée sur le MAIL FROM du dialogue SMTP et dans le domaine des ReverseDNS des IPs expéditrices. Le SenderID est la déclinaison de Microsoft, qui elle est basée sur le domaine de l’adresse « PRA » dont Microsoft a breveté l’algorithme, ce qui limite donc son utilisation.
  • DomainKeys et DKIM, dont le principe est basé sur un système de cryptage clé publique / clé privée appliqué sur certains champs de l’entête du mail.  DomainKeys a été inventé par Yahoo et DKIM par la communauté internet, comme dans le cas précédent, c’est DKIM tend à s’imposer.

Mais il manquait une chose à ces dispositifs, une chose qui permettrait aux expéditeurs qui authentifient correctement leurs emails d’informer les destinataires afin que ceux-ci filtrent plus strictement les messages non-authentifiés qui, bien souvent, seraient du phishing. Un groupement d’acteurs importants tel que Google, Facebook, Microsoft, Yahoo et AOL se sont regroupés pour développer un nouveau dispositif qui permettrait de remédier à cela en créant la norme DMARC et en tentant de la standardiser auprès de l’IETF.

DMARC signifie littéralement « Domain-based Message Authentication, Reporting & Conformance » et permet aux annonceurs de protéger leur marque et leur domaine en spécifiant précisément aux FAI les traitements à réaliser aux messages non-authentifiés.


DMARC permet aux annonceurs de protéger leurs domaines en indiquant clairement aux FAI  la politique à adopter envers les emails dont les signatures SPF et/ou DKIM seraient en erreur. Ce qui, dans le cas, d’une implémentation parfaite, permet définitivement d’empêcher le phishing sur le domaine de l’annonceur. A mon sens, c’est une avancée considérable en terme de protection des domaines et de lutte contre le phishing. Une autre possibilités intéressante de DMARC pour un annonceur est la possibilité de recevoir des rapports de la part des FAI pour connaitre la proportion de messages authentifié et non-authentifié sur son domaine. Ce qui permet d’avoir une idée de phishing sur son domaine.

En tant qu’expéditeur, pour implémenter DMARC, il faut s’assurer d’abord d’avoir implémenter correctement SPF et DKIM puis publier un enregistrement DMARC dans le DNS en tant qu’enregistrement TXT pour la zone _dmarc.mondomain.com

Exemple pour le domaine delivernow.eu :

Domain                                  Type                       Record

_dmarc.delivernow.eu   TXT                         « v=DMARC1; p=none; sp=none; pct=100; rua=mailto:admin@delivernow.eu; ruf=mailto:failure@delivernow.eu; »

p= politique de traitement à appliquer aux emails dont l’authentification est en erreur, basé sur le domaine. valeurs possible : none, quarantaine ou reject

sp= politique de traitement à appliquer aux emails dont l’authentification est en erreur, basé sur les sous-domaine. valeurs possible : none, quarantaine ou reject

pct= pourcentage des mails à filtrer

rua= adresse qui recevra les rapports agrégés de la part du FAI

ruf= adresse qui recevra les rapports d’erreurs d’authentification au fil de l’eau (AFRF)

Il existe des attributs supplémentaire pour l’enregistrement DMARC, disponible dans les spécifications détaillé.

 

Aujourd’hui, seulement Gmail utilise DMARC pour protéger les messages entrant mais il faut s’attendre à d’autres implémentation dans l’année dont certainement Yahoo, AOL et Microsoft.

Visiter le site de DMARC :
http://dmarc.org/

Voir les specifications completes de DMARC :
http://www.dmarc.org/draft-dmarc-base-00-01.html

Voir un slide de présentation simplifié sur DMARC :
http://dmarc.org/presentations/DMARC_general_overview_20120130.pdf

 

Commentaires (3)

  1. […] Comme évoqué précédemment, il existe différentes normes pour authentifier les messages sortant. Depuis septembre 2011, SFR a décidé de vérifier l’authenticité des emails entrants grâce à la norme SPF et étudierai l’implémentation prochaine de DKIM. […]

  2. […] quatre ans que les spécifications de DMARC ont été dévoilée et que nous publions notre premier article sur le sujet. Pour rappel, DMARC est un système de validation destiné à lutter contre le Spoofing. Basé sur […]

  3. […] quatre ans que les spécifications de DMARC ont été dévoilée et que nous publions notre premier article sur le sujet. Pour rappel, DMARC est un système de validation destiné à lutter contre le Spoofing. Basé sur […]

Add a Comment