Le protocole DMARC permet d’authentifier vos e-mails afin de protéger l’usage de votre nom de domaine pour envoyer des e-mails et d’améliorer la délivrabilité de vos e-mails.
Nous ne reviendrons pas dans cet article sur les explications de base du protocole DMARC. Ces dernières peuvent être lues ici.
DMARC propose 3 modes de fonctionnements, chacun apportant des avantages et des inconvénients :
- Le mode DMARC p=none : Ce mode permet d'examiner qui émet des e-mails avec votre nom de domaine. C’est la première étape de la mise en place de DMARC : observer qui émet des e-mails en votre nom afin de les authentifier avec SPF/DKIM. L'inconvénient de ce mode est qu'il ne procure aucune protection, ni technique, ni juridique en cas de phishing de vos clients/partenaires/fournisseurs.
- Le mode DMARC p=quarantine : En plus de la surveillance des sources émettrices, ce mode permet d’indiquer aux destinataires que les e-mails non authentifiés avec SPF/DKIM doivent être remis en quarantaine ou dans le dossier spam des destinataires. Il permet également de profiter des avantages que procure BIMI pour les organisations qui souhaitent accroître la visibilité de leurs logos et qui consentent à payer les frais relatifs au "Verified Mark Certificates". Ce mode vous couvre aussi juridiquement en cas de phishing de vos clients/partenaires/fournisseurs.
- Le mode DMARC p=reject : En plus des avantages décrit ci-dessus, ce mode permet d’indiquer aux destinataires que les e-mails non authentifiés avec SPF/DKIM doivent être rejetés par les destinataires. Ce mode de fonctionnement est le plus drastique.
Mais combien de temps faut-il pour mettre en place une politique DMARC en p=quarantine ou p=reject ?
La durée nécessaire pour authentifier un domaine très utilisé varie généralement entre 3 et 6 mois, mais cela dépendra de plusieurs facteurs, notamment de votre propre rapidité ainsi que de celle de vos fournisseurs pour authentifier les e-mails émis avec vos noms de domaine via SPF/DKIM. La rapidité de ce processus dépendra également de vos exigences en matière d'isolation de la réputation de votre domaine et de sécurité de l'émission de vos e-mails. Pour vous aider dans cette entreprise, Dmarc.fr propose une plateforme d'analyse des rapports DMARC ainsi que l'expertise nécessaire pour vous guider au mieux dans la mise en place de ces protocoles de sécurité.
Le délai pour déployer DMARC dépendra également de votre tolérance au risque opérationnel. Quelle que soit la méthode que vous utilisez, il est probable qu'un faible pourcentage d'e-mails (environ 1%) ne pourra pas être authentifié. Cela est généralement dû à des flux d'e-mails exotiques, où un e-mail est reçu, modifié, puis renvoyé vers une autre adresse de destination.
Conscient de cela, nous informons nos clients des statistiques en matière de phishing ciblé, usurpant l’adresse e-mail exacte d’une entreprise:
- Cas DMARC p=none : En moyenne 10% des employés sont victimes d’un e-mail usurpant une adresse e-mail de l’entreprise quand cet e-mail arrive dans leur boite e-mail (click sur le lien contenu dans l’e-mail et suivi des actions demandées par les pirates comme la saisie de leur mot de passe)
- Cas DMARC p=quarantine : En moyenne 0.1% des employés sont victimes d’un e-mail usurpant une adresse e-mail de l’entreprise quand cet e-mail arrive dans le dossier spam ou la quarantaine de leur boite e-mail avec un message d’avertissement intégré comme prefixe sur sujet de l’e-mail usurpé
- Cas DMARC p=reject : 0% d’employés sont victimes, cependant, cela peut produire un certain nombre de demandes de support, si les 1% d’e-mails décrits précédemment échouent DMARC.
En définitive, les décisions de passer DMARC de p=none à p=quarantine, et ensuite éventuellement, de p=quarantine à p=reject sont des décisions d’affaire.
Privilégiez vous la sécurité de vos utilisateurs/clients/fournisseurs ou l’efficacité opérationnelle de votre société ?
Chez dmarc.fr, nous considérons que le mode p=quarantine est un bon compromis pour répondre aux besoins de l'entreprise. Par conséquent, nous ne forçons pas nos clients à passer en mode p=reject, car cela pourrait affecter leur efficacité opérationnelle, sauf s'ils en expriment la volonté. Nous croyons en l'autonomie de nos clients et fournissons des informations recueillies sur le terrain depuis 2017 pour les aider à prendre des décisions éclairées.
Merci à certains de nos concurrents (le tamis rouge) de respecter ce choix et de ne plus harceler nos clients avec des recommandations déconnectées de leurs réalités opérationnelles. En outre, apple.com, sophos.com, bestbuy.com, renault.com, mercedes-benz.de, uber.com, docker.com, sendinblue.com, webex.com, bell.ca, etc. semblent, à cette date (14/12/2021), avoir fait le choix du "p=quarantine".