Rapports DMARC : comment les lire et les exploiter

Cet article explique comment interpréter les rapports DMARC quotidiens envoyés par les serveurs de réception des emails.

Préambule :

DMARC, acronyme de Domain-based Message Authentication, Reporting and Conformance (Authentification, rapports et conformité des messages basés sur le domaine), est un protocole d’authentification des emails. Il ajoute une couche de sécurité supplémentaire en s’appuyant sur les mécanismes existants (SPF et DKIM), dans le but de lutter efficacement contre l’usurpation d’identité (spoofing) et les tentatives de phishing.

DMARC permet également aux propriétaires de domaines de recevoir des rapports sur les messages envoyés en leur nom, afin de mieux contrôler l’usage de leur domaine.

Cette norme permet de protéger votre domaine contre une utilisation frauduleuse par des spammeurs. En effet, ces derniers peuvent usurper l’adresse de l’expéditeur (« De ») afin de faire croire que le message provient d’un utilisateur légitime de votre domaine. DMARC empêche ce type de falsification en vérifiant que les e-mails sont bien autorisés à être envoyés au nom de votre domaine.

DMARC s’appuie sur d’autres protocoles d’authentification standards, tels que SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail), afin d’aider les administrateurs à identifier les e-mails frauduleux envoyés par des cyberattaquants. En combinant ces mécanismes, DMARC renforce la capacité à détecter les tentatives d’usurpation d’identité et à protéger la réputation du domaine.

Le protocole DMARC permet aux expéditeurs de définir une politique spécifiant comment les serveurs de réception doivent traiter les emails qui échouent aux vérifications SPF ou DKIM. Selon cette politique, les messages non conformes peuvent être marqués comme spam ou directement rejetés.

Que sont les DKIM et SPF ?

1. DKIM (DomainKeys Identified Mail)

DKIM est une méthode d’authentification des emails qui repose sur l’utilisation d’une signature numérique. Elle permet au destinataire de vérifier qu’un message a bien été envoyé par un expéditeur autorisé et qu’il n’a pas été modifié pendant son transit.

Lorsqu’un email est envoyé, il est signé à l’aide d’une clé privée associée au domaine de l’expéditeur. À la réception, le serveur de messagerie (comme Gmail, Outlook, etc.) utilise une clé publique publiée dans le DNS du domaine pour valider cette signature. Ce mécanisme garantit que le contenu du message n’a pas été altéré entre l’envoi et la réception.

En d'autres termes, DKIM empêche qu’un tiers intercepte un email, en modifie le contenu, puis le transmette avec des informations potentiellement frauduleuses.

Un autre avantage majeur de DKIM est qu’il contribue à bâtir la réputation du domaine d’envoi. Les fournisseurs d’accès à Internet (FAI) analysent la qualité des envois (taux de spam, taux de rebond, engagement des destinataires, etc.) pour évaluer la fiabilité du domaine. Ainsi, de bonnes pratiques d’envoi peuvent améliorer la délivrabilité de vos messages.

2. SPF (Sender Policy Framework)

SPF est un protocole d’authentification des emails qui permet aux fournisseurs d’accès à Internet (FAI), comme Gmail, de vérifier si un serveur de messagerie est autorisé à envoyer des messages au nom d’un domaine. Concrètement, il s’agit d’une sorte de liste blanche déclarée dans le DNS du domaine, qui précise quels services ou adresses IP sont habilités à envoyer des e-mails en votre nom.

Lorsqu’un message est reçu, le serveur de destination vérifie si l’expéditeur figure dans la liste autorisée définie par l’enregistrement SPF. Si ce n’est pas le cas, le message peut être marqué comme suspect ou rejeté.

Quels sont les avantages du protocole DMARC ?

1. Protection de la réputation de votre domaine

DMARC protège votre marque et votre domaine contre les tentatives d’usurpation. Il empêche les expéditeurs non autorisés d’envoyer des emails en votre nom. Dans certains cas, le simple fait de publier un enregistrement DMARC peut déjà améliorer la réputation de votre domaine auprès des fournisseurs.

2. Meilleure visibilité sur l’usage de votre domaine

Grâce aux rapports DMARC, vous obtenez une vision claire de l’usage (légitime ou non) de votre domaine. Vous pouvez ainsi savoir qui envoie des emails en votre nom, et identifier rapidement toute activité suspecte.

3. Amélioration de la délivrabilité de vos e-mails

DMARC permet de vérifier si vos emails sont correctement authentifiés via SPF et DKIM. En détectant et en corrigeant les problèmes d’authentification, vous améliorez vos chances d’atteindre la boîte de réception de vos destinataires, tout en réduisant le risque que vos messages soient considérés comme du spam.

4. Réduction du spam et des plaintes

En empêchant les emails falsifiés d’atteindre les utilisateurs finaux, DMARC contribue à réduire les plaintes pour spam et à protéger la réputation de votre domaine auprès des FAI.

Les rapports DMARC vous permettent d’analyser les résultats d’authentification de vos emails et de prendre les mesures nécessaires pour protéger la réputation de votre domaine ou de votre entreprise.

Un rapport DMARC contient généralement les informations suivantes :

• Nom de l’entité (organisation ou fournisseur) ayant généré le rapport
• Période couverte par le rapport (dates de début et de fin)
• Statut d’authentification : réussite ou échec des vérifications SPF et DKIM
• Alignement SPF/DKIM : indique si les enregistrements sont correctement alignés avec le domaine d’envoi
• Adresse IP de l’expéditeur du message analysé
• Action effectuée par le serveur de réception (acceptation, mise en quarantaine ou rejet du message)

Ces rapports offrent une visibilité précieuse sur les flux d’e-mails utilisant votre domaine et vous aident à détecter toute tentative d’usurpation.

Les avantages du suivi des rapports DMARC

Le suivi régulier des rapports DMARC présente plusieurs avantages essentiels pour les administrateurs de domaine :

• Identification et résolution des problèmes d’authentification

  Les rapports permettent de détecter les échecs liés à SPF et DKIM, qui pourraient entraîner le classement de vos emails en courrier indésirable. En corrigeant ces erreurs, vous améliorez à la fois la réputation de votre domaine et la délivrabilité de vos messages.

• Contrôle renforcé des sources d’envoi

  Grâce aux données fournies, vous pouvez vérifier que tous les emails envoyés depuis votre domaine proviennent bien de sources légitimes. Cela vous permet de détecter rapidement toute tentative d’usurpation ou d’envoi non autorisé.

• Conformité aux exigences réglementaires

  Avec l’augmentation constante des échanges par email, de plus en plus d’autorités, y compris des fournisseurs de messagerie comme Google, exigent la mise en œuvre de protocoles d’authentification tels que DMARC. Depuis février 2024, par exemple, Google impose à certains expéditeurs de se conformer à ces normes pour garantir la sécurité de sa plateforme.

• Preuves de conformité

  Les copies archivées de vos rapports DMARC peuvent servir de preuve tangible de votre conformité aux normes de sécurité et aux obligations réglementaires en matière de communication électronique.

Exemple d'un rapport de DMARC

<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
<report_metadata>
<org_name>emailsrvr.com</org_name>
<email>dmarc_reports@emailsrvr.com</email>
<extra_contact_info>http://emailsrvr.com</extra_contact_info>
<report_id>ff2d7a69-d5a4-4caa-a69b-04814ac885e9</report_id>
<date_range>
<begin>1705795200</begin>
<end>1705881600</end>
</date_range>
</report_metadata>
<policy_published>
<domain>votredomaine.com</domain>
<adkim>r</adkim>
<aspf>r</aspf>
<p>none</p>
<sp>none</sp>
<pct>100</pct>
</policy_published>
<source_ip>XXX.XXX.XXX.XXX</source_ip>
<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>pass</spf>
</policy_evaluated>
<header_from>votredomaine.com</header_from>
<spf>
<domain>votredomaine.com</domain>
<result>pass</result>
</spf>
<dkim>
<domain>domain.com</domain>
<result>pass</result>
</dkim>
<dkim>
<domain>domaine.com</domain>
<result>pass</result>
</dkim>

Comment lire un rapport de DMARC :

Vous avez le choix entre deux méthodes, l'une manuelle et l'autre à l'aide de l'IA.

a) Décomposer et interpréter manuellement un rapport DMARC :

La décomposition est basée sur l'exemple ci-dessus :

1- Votre FSI, le nom de votre fournisseur de services de courrier électronique :

<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
<report_metadata>
<org_name>emailsrvr.com</org_name>
<email>dmarc_reports@emailsrvr.com</email>
<extra_contact_info>http://emailsrvr.com</extra_contact_info>

2. Le numéro d'identification du rapport :

<report_id>ff2d7a69-d5a4-4caa-a69b-04814ac885e9</report_id>

3. La plage de dates de début et de fin (en secondes) :

<date_range>
<begin>1705795200</begin>
<end>1705881600</end>
</date_range>

4. Les spécifications de votre enregistrement DMARC telles qu'elles sont publiées dans la zone DNS de votre domaine :

<policy_published>
<domain> votredomaine.com</domain>
<adkim>r</adkim>
<aspf>r</aspf>
<p>none</p>
<sp>none</sp>
<pct>100</pct>
</policy_published>

5. Adresse IP de la source d'envoi :

<source_ip>XXX.XXX.XXX.XXX</source_ip>

6. Un aperçu de vos résultats d'authentification (le résumé des résultats SPF et DKIM pass/fail) :

<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>pass</spf>
</policy_evaluated>

7. De : domaine :

<header_from> votredomaine.com</header_from>

8. Résultats de l'authentification SPF :

<spf>
<domain>si116382.votredomaine.com</domain>
<result>pass</result>
</spf>

9. Résultats de l'authentification DKIM :

<dkim>
<domain>inbound.systeme.io</domain>
<result>pass</result>
</dkim>
<dkim>
<domain>domaine.com</domain>
<result>pass</result>
</dkim>

b) Utiliser une IA comme ChatGPT pour analyser un rapport DMARC

Il est tout à fait possible d’utiliser une intelligence artificielle, telle que ChatGPT, pour décomposer et interpréter un rapport DMARC. Dans cette section, nous vous montrons comment procéder étape par étape.

1. Localisez le rapport DMARC

Commencez par ouvrir l’email contenant le fichier joint au format XML, généralement envoyé automatiquement par un serveur de messagerie.

2. Ouvrez le fichier XML

Une fois le fichier téléchargé, ouvrez-le à l’aide d’une application simple comme “Notes”, un éditeur de texte ou tout autre outil permettant d’afficher du contenu XML.

3. Copiez le contenu

Sélectionnez l’intégralité du contenu XML et copiez-le.

4. Collez-le dans ChatGPT

Accédez à ChatGPT et collez le contenu XML dans la fenêtre de discussion. Vous pouvez demander par exemple :

« Peux-tu analyser ce rapport DMARC et me dire si des emails ont échoué aux vérifications SPF ou DKIM ? » ou « lire»

5. Interprétez les résultats

ChatGPT analysera les balises du rapport et vous fournira une explication claire et structurée des données : expéditeur, résultats SPF/DKIM, adresse IP utilisée, action effectuée (acceptée, mise en quarantaine, rejetée), etc.

Nos conseils pour aller plus loin

Maintenant que vous comprenez comment mettre en place DMARC, son utilité ainsi que l’interprétation des rapports, vous avez franchi une première étape essentielle pour protéger la réputation de votre domaine.

Cependant, en tant que propriétaire d’un domaine de messagerie, votre responsabilité ne s’arrête pas là : il s’agit d’un processus continu qui nécessite une surveillance et des ajustements réguliers.

Voici quelques bonnes pratiques à adopter en permanence :

• Surveillez régulièrement vos rapports DMARC

  Consultez fréquemment les rapports pour rester informé de toute tentative d’envoi non autorisé.

• Analysez les données et prenez les mesures correctives nécessaires

  Corrigez rapidement les éventuels problèmes d’authentification (SPF/DKIM) et ajustez votre politique si nécessaire pour renforcer la sécurité de vos envois.

• Utilisez votre nom de domaine de manière responsable

  Adoptez de bonnes pratiques d’envoi (liste de contacts qualifiés, faible taux de spam, contenu pertinent) afin de préserver la réputation et la délivrabilité de vos emails.