Partie 5 : Création d’un enregistrement DMARC pour protéger votre nom de domaine contre l’usurpation d’e-mails

DMARC (Domain-based Message Authentication, Reporting and Conformance) est une norme Internet (RFC 7489) qui permet aux propriétaires de domaine d’empêcher que leurs noms de domaine soient utilisés par des usurpateurs de courrier électronique.

Il s’agit d’une spécification technique disponible gratuitement et largement prise en charge sur Internet. Toute personne possédant un nom de domaine peut profiter de DMARC.

Une politique DMARC permet à un propriétaire de domaine d’indiquer que les e-mails de son domaine sont protégés par SPF et DKIM.

Vous pouvez utiliser DMARC pour découvrir toutes les sources légitimes de courrier électronique. DMARC s’appuie sur deux technologies existantes : SPF et DKIM.

Ce didacticiel vous montrera comment configurer OpenDMARC avec le serveur SMTP Postfix sur Ubuntu pour bloquer l’usurpation d’e-mails et le spam. OpenDMARC est un filtre de politique de messagerie DMARC open source pour les MTA (Message Transport Agent, alias serveur SMTP).

Si un propriétaire de domaine a créé un enregistrement DNS DMARC pour son nom de domaine et qu’un serveur de messagerie de réception a mis en œuvre la vérification DMARC, alors les acteurs malveillants doivent réussir l’alignement SPF ou l’alignement DKIM afin de réussir la vérification DMARC.

Si la vérification DMARC échoue, l’e-mail usurpé pourrait être rejeté.

Ne jamais être vu par les utilisateurs finaux. Il est difficile pour un acteur malveillant de transmettre SPF ou DKIM, à moins que le serveur de messagerie du propriétaire du domaine ne soit compromis.

Pourquoi DMARC est-il bon pour vous ?

Les avantages du déploiement de DMARC sont :

• Détection de fraude : les phishers usurpent souvent l’adresse d’en-tête From pour usurper l’identité de grandes marques. DMARC est un outil puissant pour lutter contre le phishing par email et ainsi protéger votre marque.
• Envoi d’e-mails simplifié : l’envoi d’e-mails conformes à DMARC permet aux serveurs de messagerie de réception de simplifier les règles de filtrage.
• La réputation de votre domaine de messagerie peut être améliorée après avoir créé correctement l’enregistrement DMARC.
• Donne aux expéditeurs une visibilité sur la manière dont les serveurs de messagerie de réception traitent leurs e-mails. Vous pouvez obtenir un rapport sur le nombre d’e-mails légitimes envoyés depuis votre domaine et sur le nombre d’e-mails qui ne peuvent pas être authentifiés, y compris les e-mails légitimes et frauduleux.

Il s’agit d’un problème majeur pour toute organisation qui s’appuie sur le courrier électronique pour ses activités quotidiennes.

Si vous faites du marketing par e-mail, DMARC est un outil indispensable pour faciliter la livraison des e-mails et atteindre les clients.

Presque tous les principaux fournisseurs de boîtes aux lettres destinés aux consommateurs, comme Gmail, Yahoo et Microsoft, demandent à recevoir des e-mails conformes à la norme DMARC pour faciliter leur travail de filtrage des e-mails.

Les politiques DMARC sont publiées sous forme d’enregistrement TXT dans DNS.

Avant de créer un enregistrement DMARC, vous devez d’abord faire la partie 4 : Configurer SPF et DKIM avec Postfix sur Ubuntu Serveur.

Envoyez un e-mail test depuis votre domaine, puis vérifiez-les en-têtes bruts de l’e-mail dans la boîte aux lettres du destinataire.

Vous voulez vous assurer que les domaines dans Return Path , From: header et d=domain dans la signature DKIM sont les mêmes.

Si les trois domaines sont identiques, alors ils sont alignés.

Si Return-Path ou DKIM d=utilise un sous-domaine au lieu du nom de domaine principal, cela s’appelle un alignement détendu.

Si aucun sous-domaine n’est utilisé et que les noms de domaines principaux sont les mêmes, on parle d’alignement strict.

Accédez à votre gestionnaire DNS et ajoutez un enregistrement TXT.

Dans le champ Nom, saisissez _dmarc. Dans le champ valeur, saisissez ce qui suit :

Explication:

• v=DMARC1: La version du protocole est DMARC1.
• p=none: Nous choisissons nonecomme politique pour notre domaine.
• pct=100: Le pourcentage d’emails de votre domaine DMARC s’applique à
• ruasignifie URI de rapport pour le rapport global. L’adresse e-mail est utilisée pour indiquer aux serveurs de messagerie de réception où le rapport doit être envoyé. Remplacez- 2023reports@domain.tld la par votre véritable adresse e-mail utilisée pour recevoir le rapport DMARC global.

Vous avez le choix entre 3 polices :

• none : indique aux serveurs de messagerie de réception de ne rien faire de spécial si la vérification DMARC échoue.
• Quarantine : indique au serveur de messagerie de réception dans lequel placer l’e-mail quarantine si la vérification DMARC échoue. Il doit être approuvé par un administrateur avant de pouvoir atteindre la boîte de réception du destinataire.
• Reject : indique aux serveurs de messagerie de réception de rejeter l’e-mail si la vérification DMARC échoue. Notez que tous les serveurs de messagerie de réception ne sont pas conformes à la reject politique. Gmail et Yahoo Mail rejetteront l’e-mail, mais Microsoft Mail (Outlook, Hotmail, Live) ne rejettera pas l’e-mail.

Si votre nom de domaine a déjà envoyé des e-mails, c’est p=none un bon début. Vous devez analyser les données pendant un certain temps pour voir s’il existe des e-mails légitimes qui ne sont pas conformes au DMARC. Une fois que vous disposez de suffisamment de données et que vous avez résolu les problèmes de livraison, vous pouvez modifier la politique de none à quarantine ou reject.

Si vous avez un nouveau nom de domaine qui n’a jamais envoyé d’e-mails auparavant, vous pouvez ignorer none et quarantine définir p=reject.

Il existe une autre balise que vous pouvez ajouter à l’enregistrement DMARC : fo. Il a quatre valeurs possibles.

• 0(par défaut) : générer des rapports si tous les mécanismes d’authentification sous-jacents ne parviennent pas à produire un résultat de réussite DMARC
• 1 : génère des rapports en cas d’échec d’un mécanisme.
• d : générer un rapport si la vérification de la signature DKIM a échoué.
• s : générer un rapport en cas d’échec du SPF

Je recommande d’utiliser fo=1 d’abord pour générer des rapports d’échec DMARC plus complets. Lorsque vous passez à une stratégie plus restrictive, utilisez fo=0.

v=DMARC1; p = aucun ; PCT=100 ; fo=1; rua=mailto : 2023reports@domain.tld

Vous pouvez vérifier votre enregistrement DMARC depuis le terminal Linux avec la commande suivante :

Vous pouvez voir que j’ai utilisé deux adresses e-mail pour recevoir le rapport DMARC, que j’expliquerai plus tard.

Il existe un autre outil de ligne de commande (opendmarc-check) que vous pouvez utiliser pour vérifier l’enregistrement DMARC.

Il est fourni par le opendmarcpackage.

OpenDMARC est un logiciel open source qui peut effectuer la vérification et la création de rapports DMARC.

Il se trouve déjà dans le référentiel Ubuntu, vous pouvez donc exécuter la commande suivante pour l’installer.

Si vous êtes invité à configurer une base de données pour OpenDMARC avec dbconfig-common, vous pouvez choisir Non en toute sécurité.

Vous n’avez besoin de configurer une base de données pour OpenDMARC que si vous souhaitez générer des rapports DMARC pour d’autres fournisseurs de boîtes aux lettres.

Il n’est pas très utile pour les petits opérateurs de serveurs de messagerie comme nous de générer des rapports DMARC, nous pouvons donc l’ignorer.

Une fois installé, il sera automatiquement démarré. Vérifiez son statut avec :

eosntworking.comopendmarc.service – OpenDMARC Milter  

Chargé : chargé (/lib/systemd/system/opendmarc.service ; désactivé ;

préréglage du fournisseur : activé)  

Actif : actif (en cours d’exécution) depuis le mardi 18/12/2023 à 19:49:52 CST ; il y a 23 s    

Documents : man:opendmarc(8)           homme:opendmarc.conf(5)

PID principal : 14858 (opendmarc)   

Tâches : 6 (limite : 1110)  

Groupe C : /system.slice/opendmarc.service          

                 └─14858 /usr/sbin/opendmarcopendmarc.service

Astuce : si la commande ci-dessus ne se termine pas immédiatement, vous pouvez la quitter en appuyant sur la touche Q.

opendmarc-check interroge le DNS pour un enregistrement DMARC pour le domaine nommé, puis traduit le contenu trouvé sous une forme lisible par l’homme.

Opendmarc-check osntworking.com

root@mail:/home/depalain# opendmarc-check domain.tld

DMARC record for domain.tld

        Sample percentage: 100

        DKIM alignment: relaxed

        SPF alignment: relaxed

        Domain policy: none

        Subdomain policy: unspecified

        Aggregate report URIs:

                mailto:2023reports@domain.tld

        Failure report URIs:

                (none)

Si vous disposez d’un nom de domaine qui n’enverra pas d’e-mails, vous devez utiliser p=reject une stratégie.

Un bon service pour le test DMARC est https://www.mail-tester.com.

Allez sur le site Web, vous verrez une adresse e-mail unique.

Envoyez un e-mail depuis votre domaine à cette adresse, puis vérifiez votre score. (Ce site Web vérifie tous les facteurs qui affectent la délivrabilité des e-mails, pas seulement DMARC).

Si DMARC réussit, vous verrez quelque chose comme ci-dessous dans le résultat du test.

Une autre façon de tester DMARC consiste à envoyer un e-mail à check-auth@verifier.port25.com  depuis votre domaine vers votre compte Gmail.

Si DMARC est configuré correctement, vous verrez dmarc=pass dans l’en-tête des résultats d’authentification.

(Pour afficher les en-têtes des e-mails dans Gmail, cliquez sur le Show Original bouton qui se trouve dans le menu déroulant sur le côté droit d’un e-mail ouvert.)

Pour réussir le contrôle DMARC, vos e-mails doivent répondre à l’une des exigences suivantes.

• Le pass SPF et le Return-Path:nom de domaine sont les mêmes que le From:domaine d’en-tête.
• Le code DKIM et le d=domaine dans la signature DKIM sont les mêmes que le From:domaine d’en-tête.

Par défaut, DMARC utilise un alignement détendu. Ainsi le domaine Return-Path ou le d=domaine en signature DKIM peut être un sous-domaine.

Il existe deux types de rapports DMARC.

• Rapport agrégé quotidien basé sur XML généré par Gmail, Yahoo, Hotmail, etc.
• Rapports médico-légaux en temps réel (copies de courriers électroniques individuels qui échouent à la vérification DMARC)

Normalement, vous souhaitez uniquement recevoir le rapport global. Les données produites par DMARC sont inestimables pour comprendre ce qui se passe pour un domaine de messagerie donné.

Cependant, les données brutes du rapport DMARC sont très difficiles à lire et à comprendre.

Heureusement, Postmark propose un service gratuit pour traiter ces rapports et vous présente un rapport beaucoup plus lisible.

L’avantage de Postmark est que vous pouvez demander aux serveurs de messagerie de réception d’envoyer des rapports XML directement à Postmark pour traitement.

Ainsi, au lieu de saisir votre adresse e-mail dans l’enregistrement DMARC, vous saisissez une adresse e-mail postmarkapp.com qui vous sont propres.

Vous pouvez également spécifier plusieurs adresses e-mail, séparées par des virgules.

Une fois votre enregistrement DMARC vérifié par Postmark, vous recevrez un rapport DMARC chaque semaine tous les lundis dans votre boîte de réception e-mail. Vous n’avez pas besoin de créer un compte chez Postmark.

Vous trouverez ci-dessous mon premier rapport hebdomadaire envoyé depuis Postmark. mcsignup.com appartient à MailChimp, c’est ce que j’utilise pour envoyer des newsletters à ma liste de diffusion.

Dans mon enregistrement SPF, j’autorise en fait MailChimp à envoyer des e-mails en mon nom, mais je ne savais pas qu’ils n’utilisent pas mon nom de domaine dans l’en-tête Return-Path pour les e-mails de confirmation d’inscription.

Et ils ne signent pas les e-mails en utilisant mon domaine DKIM.

Il est préférable d’avoir une politique que de ne pas avoir d’enregistrement DMARC p=none.

Bien que cela ne puisse pas empêcher l’usurpation d’e-mails p=none, mes e-mails légitimes ont au moins une meilleure chance d’être placés dans la boîte de réception.

J’espère que cet article vous a aidé à comprendre et à déployer la politique DMARC.

Dans la partie 6, je partagerai avec vous tous mes conseils pour que vos e-mails arrivent dans la boîte de réception du destinataire plutôt que dans le dossier spam.