Le protocole DMARC permet d’authentifier vos e-mails afin de protéger l’usage de votre nom de domaine pour envoyer des e-mails et d’améliorer la délivrabilité de vos e-mails.
Nous ne reviendrons pas dans cet article sur les explications de base du protocole DMARC. Ces dernières peuvent être lues ici.
DMARC propose 3 modes de fonctionnements, chacun apportant des avantages et des inconvénients :
- Le mode DMARC p=none : Ce mode permet d'examiner qui émet des e-mails avec votre nom de domaine. C’est la première étape de la mise en place de DMARC : observer qui émet des e-mails en votre nom afin de les authentifier avec SPF/DKIM. L'inconvénient de ce mode est qu'il ne procure aucune protection, ni technique, ni juridique en cas de phishing de vos clients/partenaires/fournisseurs.
- Le mode DMARC p=quarantine : En plus de la surveillance des sources émettrices, ce mode permet d’indiquer aux destinataires que les e-mails non authentifiés avec SPF/DKIM doivent être remis en quarantaine ou dans le dossier spam des destinataires. Il permet également de profiter des avantages que procure BIMI pour les organisations qui souhaitent accroître la visibilité de leurs logos et qui consentent à payer les frais relatifs au "Verified Mark Certificates". Ce mode vous couvre aussi juridiquement en cas de phishing de vos clients/partenaires/fournisseurs.
- Le mode DMARC p=reject : En plus des avantages décrit ci-dessus, ce mode permet d’indiquer aux destinataires que les e-mails non authentifiés avec SPF/DKIM doivent être rejetés par les destinataires. Ce mode de fonctionnement est le plus drastique.
Mais combien de temps faut-il pour mettre en place une politique DMARC en p=quarantine ou p=reject ?
Il faut compter entre 3 et 6 mois pour un domaine très utilisé. Mais la réponse dépendra surtout de votre rapidité ainsi que de celles de vos fournisseurs à authentifier avec SPF/DKIM les e-mails émis avec vos noms de domaines, et cela en accord avec vos besoins en matière d’isolation de la réputation de domaines et de sécurité des domaines d’émission. Dmarc.fr vous procure une plateforme d’analyse des rapports DMARC et l’expertise nécessaire pour vous guider au mieux dans cet entreprise.
Le temps pour déployer DMARC dépendra également de votre appétit au risque opérationnel. En effet, quoi que vous fassiez, un petit flux e-mail (environ 1%) ne pourra pas être authentifié. Il s’agit bien souvent de flux e-mail exotiques au cours desquels un e-mail est reçu, puis modifié, avant d’être renvoyé vers une autre adresse de destination.
Conscient de cela, nous informons nos clients des statistiques en matière de phishing ciblé, usurpant l’adresse e-mail exacte d’une entreprise:
- Cas DMARC p=none : En moyenne 10% des employés sont victimes d’un e-mail usurpant une adresse e-mail de l’entreprise quand cet e-mail arrive dans leur boite e-mail (click sur le lien contenu dans l’e-mail et suivi des actions demandées par les pirates comme la saisie de leur mot de passe)
- Cas DMARC p=quarantine : En moyenne 0.1% des employés sont victimes d’un e-mail usurpant une adresse e-mail de l’entreprise quand cet e-mail arrive dans le dossier spam ou la quarantaine de leur boite e-mail avec un message d’avertissement intégré comme prefixe sur sujet de l’e-mail usurpé
- Cas DMARC p=reject : 0% d’employés sont victimes, cependant, cela peut produire un certain nombre de demandes de support, si les 1% d’e-mails décrits précédemment échouent DMARC.
En définitive, les décisions de passer DMARC de p=none à p=quarantine, et ensuite éventuellement, de p=quarantine à p=reject sont des décisions d’affaire.
Privilégiez vous la sécurité de vos utilisateurs/clients/fournisseurs ou l’efficacité opérationnelle de votre société ?
Chez dmarc.fr, nous pensons que le mode p=quarantine est un bon compromis qui permet de satisfaire les besoins de l’entreprise, c’est la raison pour laquelle, sans jamais entraver leur volonté éclairée, nous ne poussons pas nos clients à passer en mode p=reject au détriment peut-être de leur efficacité opérationnelle. Ils sont libres de décider par eux-mêmes avec les informations que nous recueillons sur le terrain depuis 2017.
Merci à certains de nos concurrents (le tamis rouge) de respecter ce choix et de ne plus harceler nos clients avec des recommandations déconnectées de leurs réalités opérationnelles. En outre, apple.com, sophos.com, bestbuy.com, renault.com, mercedes-benz.de, uber.com, docker.com, sendinblue.com, webex.com, bell.ca, etc. semblent, à cette date (14/12/2021), avoir fait le choix du "p=quarantine".