Google et Yahoo mettent en place la validation DMARC obligatoire vis-à-vis de toutes les organisations qui souhaitent écrire à destination des adresses Gmail et Yahoo. Voila un accélerateur pour l’adoption du protocole DMARC qui permet, une fois bien implémenté, de limiter drastiquement la surface d’attaque que représente la messagerie électronique. BONNE IDÉE.
DMARC, c’est le protocole de sécurité communautaire contre l’usurpation d’identité. Je protège les autres contre l’usurpation de mes domaines (DMARC SORTANT) et les autres protègent l’usurpation de leurs domaines vis à vis de mon organisation (DMARC ENTRANT).
Sauf qu’à ce jour, il suffit aux organisations émettrices vers Google et Yahoo d’avoir un enregistrement SPF aligné (d’office valide depuis une boite mail publique) complété d’une modeste entrée DMARC avec une politique qui ne fait rien (p=none) et d’une adresse mail générique pour les rapports d’agrégations (rua, ruf) pour passer les barrières de papier des plus grands hébergeurs de boites mails publiques. C’est du DMARC sans les bénéfices de DMARC, du DMARC ZERO et aussi utile que de fermer les portes d’une voiture cabriolet décapotée.
Un enregistrement dns DMARC depourvu des paramètres aspf=s et adkim=s vous positionne en mode "relaxed". En clair, soit alignement SPF (valide sur toutes les boites mails publiques type Yahoo, Gmail, Hotmail, Outlook.com....) soit alignement DKIM et ça passe. Beaucoup trop facile, à plus forte raison si l’émetteur de menaces tire depuis une boite hébergée chez ces mêmes fournisseurs publics. Une histoire de cordonniers mal chaussés.
La MAJORITÉ des mails malicieux que nous interceptons au quotidien chez MIMECAST fort de nos 42000 clients, 20 millions d’utilisateurs et des 40 milliards de mails que nous analysons mensuellement, ne sont pas alignés SPF ET DKIM. Cela vous donne une idée du niveau de protection qui serait le vôtre si vous implémentiez correctement le protocole DMARC.
Veillez à imposer dans vos enregistrements DMARC
1- une politique de quarantaine à minima (p=quarantine). Certains mails seront mis en attente MAIS c’est la seule façon d’imposer un DMARC UTILE et EFFICACE. Vous passerez au graal bien plus rapidement avec une politique de rejet (p=reject).
2- Les paramètres aspf=s et adkim=s pour passer en mode STRICT et ainsi forcer la validation SPF ET DKIM.
Mimecast peut vous accompagner dans ce projet court terme qui vous donnera un niveau de protection sans précédent avec son offre DMARC ANALYZER et ses partenaires certifiés!
Pour finir, messieurs les hebergeurs de boites mails publiques mondiaux, il est plus que temps d‘endurcir vos plateformes pour refuser les messages qui ne sont pas conformes SPF ET DKIM. Sans vous, l’adoption de DMARC et ses bénéfices continueront de prendre beaucoup trop de temps.
A votre bon coeur ou votre bon sens au choix.
#dmarc #mimecast #dmarcanalyzer #dmarczero