Passer les contrôles SPF et DKIM mais échouer au contrôle DMARC ?

Rien de plus beau dans le monde du courrier électronique que de voir la sainte trinité de l’authentification des courriels fonctionner en parfaite harmonie. « Identifier Alignment », ou alignement d’identifiants, est un facteur crucial dans la prévention de l’hameçonnage mais il est également source de confusion. Les gens se retrouvent souvent dans une situation où l’on réussit aux contrôles SPF et DKIM, mais échoue au contrôle DMARC !

Cet article explique comment cela se produit et pourquoi la rigueur de DMARC est nécessaire pour empêcher les criminels de toucher à vos domaines. Nous sommes heureux de vous fournir toutes les informations dont vous avez besoin pour protéger correctement vos domaines et réguler en toute sécurité votre trafic de courrier électronique. Vous aurez le temps de lire en attendant que le feu DMARC passe au vert.

Réussir aux contrôles SPF et DKIM (Authenticated Identifier)

Un contrôle SPF vérifie qu’un serveur de messagerie a l’autorisation d’envoyer des courriels au nom d’un domaine : le domaine SPF. Lorsque l’adresse IP de l’émetteur apparaît dans l’enregistrement SPF du domaine SPF, la vérification aboutit à une réussite SPF. Les destinataires disposent alors d’un identifiant authentifié : le domaine utilisé pour l’autorisation.

Pour en savoir plus sur le fonctionnement de SPF, lisez Qu’est-ce que SPF ?

Dans le cas d’un contrôle DKIM, le destinataire récupère la clé publique dans le DNS du domaine de signature. Lorsque la clé publique correspond à la clé privée, le contrôle aboutit à une réussite DKIM. L’identifiant authentifié de DKIM provient de la balise « d= » qui fait partie de chaque signature DKIM.

Pour en savoir plus sur le fonctionnement DKIM, lisez Qu’est-ce que DKIM ?

Alors, c’est parfait ! Les deux protocoles sont acceptés. Cela signifie que DMARC devrait également réussir, n’est-ce pas ? Mais, euh…

Échec au contrôle DMARC (alignement d’identifiants)

Si on a réussi aux contrôles SPF et/ou DKIM, la cause d’un échec DMARC peut être trouvée dans le concept d’alignement d’identifiants (« Identifier Alignment » en anglais). SPF et DKIM génèrent tous deux leur identifiant authentifié. Ensuite, DMARC vérifie si ces identifiants correspondent au domaine figurant dans le « From: header » (l’entête De 🙂 d’un courrier électronique. Cela vous permet de déterminer si le courriel provient de l’émetteur dont il se réclame.

S’il n’y a pas d’alignement, la vérification DMARC échoue. La raison en est que DMARC empêche l’hameçonnage. Les escrocs peuvent facilement utiliser un faux domaine « From: » pour faire croire qu’il s’agit d’un message légitime de tabanque.com et ensuite créer un domaine comme criminel.com pour obtenir l’authentification SPF et DKIM. SPF et DKIM ont beau passer, mais ils n’ont aucun lien avec tabanque.com, ce qui rend le tout suspect.

Un échec DMARC peut conduire à ce que les courriels soient marqués comme spam ou bloqués complètement, en fonction de votre politique DMARC et du filtrage utilisé par le destinataire du courrier. Ce qui est, bien entendu, une bonne chose lorsque vous êtes victime d’une usurpation d’identité, mais c’est une mauvaise chose lorsqu’il s’agit d’un courrier électronique légitime.

Pourquoi SPF et DKIM ne suffisent pas à protéger contre l’hameçonnage

DMARC a été inventé parce que SPF et DKIM n’étaient pas assez puissants pour protéger contre cette forme de criminalité. Il n’est pas difficile de passer les contrôles SPF et DKIM, en particulier lorsqu’un un domaine totalement différent est utilisé.

Si vous n’ajoutez pas DMARC, les criminels ne rencontreront aucun mal à envoyer des courriels en votre nom. Les contrôles diront : « Cool ! criminel.com passe l’inspection parce que SPF et DKIM sont en ordre. Il n’y a rien de suspect à voir ici. Vous pouvez continuer. »

Échec DMARC légitime

Pour empêcher les criminels d’abuser de vos domaines, DMARC doit être aligné sur ses identifiants. Il doit s’assurer que tous les messages et l’authentification correspondent au domaine « From: » (De :). Ce n’est qu’à cette condition que l’on peut être certain qu’il s’agit d’un trafic de courrier électronique autorisé.

Cependant, cela peut parfois s’avérer frustrant, car il se peut que vous utilisiez des services tiers pour envoyer vos courriers électroniques. SPF et DKIM sont correctement configurés, mais DMARC échoue toujours parce que les domaines qu’ils utilisent pour leur authentification ne correspondent logiquement pas à votre domaine « From: ». Dans ce cas, il faut rechercher un service de tiers entièrement conforme à DMARC.

Nous sommes là pour vous aider à aligner vos protocoles. Si vous rencontrez des difficultés dans la mise en œuvre de DMARC ou si vous avez d’autres questions connexes, n’hésitez pas à nous contacter. Nous serons ravis de vous aider.