Politiques d'authentification défaillantes, des domaines faciles à moissonner et (trop) faciles à usurper

Ce courriel frauduleux circule actuellement en quantité industrielle usurpant à tour de rôle autant de domaines innocents, (dans les deux sens du terme)

La vague actuelle est relativement soignée : changement systématique de serveur et de domaine d'enveloppe à chaque email envoyé (vu la quantité déversée il faut une liste énorme), les domaines usurpés semblent tous pourvus de MX valides mais dénués de SPF.

En avez-vous reçu, voyez-vous ces mêmes caractéristiques ?

Chaque attaque a au moins une vertu : révéler une faiblesse. La réservation d'un nom de domaine confère des droits mais aussi des devoirs dont celui de déclarer sa politique d'authentification.

Si votre domaine n'émet pas, sachez que l'absence de déclaration n'a pas pour effet de bloquer implicitement les usurpations, les domaines qui n'émettent pas doivent explicitement l'interdire :

via le protocole SPF :

v=spf1 -all

via le protocole DMARC sur le sous-domaine _dmarc :

v=DMARC1; p=reject

Si votre domaine émet, n'utilisez les terminaisons ?all et ~all qu'à des fins de réglages transitoires, seul la terminaison -all ou une liste noire d'adresses spécifiées en -ip4: ou -ip6: sont (relativement) efficaces.

Enfin, laisser traîner une déclaration DMARC en mode p=none non seulement ne protège nullement des usurpations mais peut de plus révéler des difficultés à mettre ses émissions en conformité.

Les protocoles défensifs SPF et DMARC sont efficaces à condition d'être parfaitement configurés, toute faiblesse à ce niveau est visible du monde entier et fait de votre domaine une cible idéale.