Protection des domaines de messagerie – Norme DMARC
Les attaques basées sur l’envoi de courriers électroniques sont de plus en plus nombreuses et de plus en plus ciblées. Le phishing ou hameçonnage, désigne une technique utilisée par des escrocs pour obtenir des informations personnelles. Les phishers envoient un email en se faisant passer pour un organisme de confiance (organisme bancaire, Paypal, eBay, Amazon…), dans le but de récupérer des données confidentielles. Selon les données récoltées (informations bancaires, identifiants de connexion…), les escrocs peuvent par exemple se connecter à un site pour envoyer du spam.
Dans un échange de courrier électronique vous avez deux intervenants, un domaine expéditeur et un domaine destinataire. Si j’envoie un courrier depuis mon adresse contact@teamy.be vers un directeur d’école sur une adresse gmail, le domaine expéditeur est teamy.be et le domaine destinataire est gmail.com. Mais comment faire pour que la relation entre ces deux domaines soit de confiance. Qu’est-ce qui prouve à gmail que le courrier vient bien de moi et non d’un imposteur qui utiliserait mon adresse mail à mon insu, sans pour autant avoir accès à mon compte Microsoft 365. Il existe différents moyens de sécuriser son domaine de messagerie pour augmenter sa protection et son nvieau de confiance auprès des autres fournisseurs de mailing (Yahoo, Gmail, Outlook, Hotmail, etc …)
Mon domaine teamy.be est constitué d’un ensemble d’enregistrements DNS (Record DNS) qui définissent sont comportement. Et j’ai donc la possibilité de définir tout un ensemble d’enregistrement pour augmenter la sécurité de celui-ci en suivant la norme DMARC (Domain-based Message Authentication, Reporting and Conformance) . Les deux outils principaux de cette norme sont SPF et DKIM
SPF
L’enregistrement SPF (Sender Policy Framework) : Un enregistrement SPF est un type d’enregistrement DNS qui identifie les serveurs autorisés à envoyer un courriel au nom de votre domaine. Il répertorie les serveurs qui ont été autorisés à envoyer des e-mails pour votre domaine. Si un autre serveur tente d’envoyer un e-mail au nom de votre domaine, il sera rejeté comme expéditeur non autorisé.
L’enregistrement SPF est de type texte, et sa syntaxe pour Microsoft 365 est la suivante
« v=spf1 include:spf.protection.outlook.com -all »
DKIM
Pour renforcer l’enregistrement SPF, il est vivement conseillé de mettre en place DKIM (DomainKeys Identified Mail).
DKIM est une méthode d’authentification du courrier électronique conçue pour lutter contre l’usurpation d’adresse électronique. Alors que SPF vérifie l’émetteur d’un courriel, DKIM authentifie le message lui-même, en informant les serveurs de réception que le message provenant d’un domaine d’envoi doit avoir une signature qui correspond à la clé publique sauvegardée dans un enregistrement DKIM dans le DNS de ce domaine d’envoi. On peut donc dire que DKIM fonctionne comme la signature numérique de votre courrier électronique. Cette signature est constituée de deux clés qui vous seront fournies par votre plateforme Microsoft 365
Depuis la console de sécurité M365 (Defender), Stratégies et règles, Stratégies de menace
Règles – Paramètres d’authentification des e-mails
Sur votre ou vos domaines, vous pouvez alors demander la génération de ces clés en activant la signature des mails. Microsoft 365 va alors vous fournir deux sélecteurs qui indiquent au serveur de destination de vos courriers où trouver la clé publique dans le DNS de votre domaine. Le domaine de destination va alors vérifier si les clés correspondent, et si c’est le cas le courrier arrivera dans la bonne boite de réception
La propagation de ces sélecteurs dans vos enregistrements DNS peut prendre jusqu’à 4 jours
SPF ou DKIM ?
Est-ce qu’on a besoin de DKIM si on a mis en place SPF ?
SPF et DKIM sont deux normes de protections des emails complémentaires, qui fonctionnent mieux lorsqu’elles sont toutes deux mises en œuvre correctement. DKIM fonctionne comme l’authentification / le sceau d’une lettre, tandis que SPF est l’authentification du facteur qui délivre la lettre.
Il est très important de savoir que la norme DKIM seule n’est pas suffisamment sûre pour se protéger contre l’usurpation d’identité (spoofing), car elle vérifie que le contenu du courriel n’a pas été modifié en cours de route et que le message a été envoyé par un expéditeur autorisé du domaine. Elle ne vérifie pas que l’adresse électronique de l’expéditeur est légitime ou que l’expéditeur est autorisé à utiliser cette adresse électronique.
Le rapport DMARC
Le rapport DMARC est un mécanisme de retour d’information qui fournit aux propriétaires de domaines des informations sur les messages qui réussissent ou échouent à l’authentification DMARC pour leur domaine. Il comprend des données sur l’alignement du domaine d’envoi et de l’adresse « From », les résultats des mécanismes d’authentification tels que SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail), ainsi que les mesures prises par les destinataires du courrier électronique.
Pour obtenir ces rapports, vous allez devoir ajouter aux enregistrements de votre domaine un enregistrement _dmarc.
Cet enregistrement permettra aussi d’aider les systèmes de réception à décider quoi faire avec les messages qui échouent aux vérifications SPF et DKIM
L’enregistrement _DMARC est de type texte, et ressemble à ceci
v=DMARC1; p=reject; pct=100; rua=mailto:dmarc@teamy.be; ruf=mailto:dmarc@teamy.be; fo=1
pct=100 indique que cette règle doit être utilisée pour 100 % des e-mails
(p) policy indique la stratégie que vous souhaitez que le serveur de réception suive si un message est rejeté par DMARC. Vous pouvez définir la stratégie sur none (Aucune), quarantine (Mettre en quarantaine) ou reject (Rejeter)
rua et ruf indique à quelle adresse mail doivent être envoyés les rapports
Quoi d'autre ?
Ensuite il existe d’autres niveaux de protections simple à mettre en place, toujours dans le but d’augmenter le niveau de confiance de mon domaine de messagerie.
BIMI
La publication d’un enregistrement DNS BIMI est cruciale car elle renforce la sécurité du courrier électronique et établit la crédibilité de l’organisation. BIMI favorise l’authenticité des courriels en s’appuyant sur le protocole DMARC
L’utilisation de BIMI (Brand Indicators for Message Identification) est une excellente opportunité pour renforcer la confiance chez vos destinataires. Au lieu des initiales habituelles, le logo de votre société est affiché à côté de vos messages. Ainsi, vous fournissez une indication visuelle parfaite que le message provient d’un expéditeur fiable.
Outre son aspect vraiment cool et professionnel, il s’agit essentiellement d’une nouvelle norme d’authentification de messages électroniques. Comme d’autres normes de ce type, il s’agit d’un enregistrement TXT dans le DNS de votre domaine. Un enregistrement BIMI indique en fait l’emplacement de votre logo. Lorsque le serveur de votre destinataire vérifie votre domaine pour DMARC, il recherche également un enregistrement BIMI. Si les enregistrements correspondent, le logo s’affiche. Le plus intéressant est que votre logo n’est pas inclus dans votre message électronique. Au lieu de cela, il apparaît sur le serveur de messagerie auquel les escrocs n’ont pas accès. Autrement dit : c’est ce qui distingue vos e-mails des e-mails de phishing.
Un record BIMI est de type texte
l’hôte est default._bimi et la valeur est « v=BIMI1;l=https://www.neomytic.be/Portals/0/Images/logo/Bimi%20logo.svg; »
(l) indiquant où trouver votre logo d’entreprise, celui-ci doit êter au format SVG
TLS-RPT
SMTP TLS Reporting (TLS-RPT) est une norme qui permet de signaler les problèmes de connectivité TLS rencontrés par les applications qui envoient des courriels et détectent les mauvaises configurations. Il existe un certain nombre de protocoles permettant d’établir des canaux cryptés entre les agents de transfert de courrier (en anglais, Mail Transfer Agents ou MTAs) de SMTP. Ces protocoles peuvent échouer en raison d’une mauvaise configuration ou d’attaques actives, entraînant des messages non délivrés ou la livraison à travers de canaux non cryptés ou non authentifiés.
Un enregistrement TLS permet aux domaines récepteurs d’obtenir des informations sur les possibles attaques et sur les erreurs de configuration. La création d’un enregistrement TLS ne bloque pas les courriers électroniques et n’a donc aucun impact sur les flux de courriers électroniques.
Le record TLS-RPT est de type texte
Son hôte est _smtp._tls et sa valeur v=TLSRPTv1; rua=mailto:dmarc@contact.be;
rua permet de définir à quelle adresse mail les rapports doivent être envoyés
MTAS-STS
En dernier lieu, vous pouve envisager aussi la mise en place d’un enregistrement MTA-STS(Mail Transfer Agent Strict Transport Security – Explication) . Cette solution ultime n’est pas simple à mettre en place.
Le protocole MTA-STS permet à un client SMTP de vérifier l’identité du serveur et de s’assurer qu’il ne se connecte pas à un imposteur en demandant au serveur de fournir l’empreinte de son certificat lors de la poignée de main TLS. Le client vérifie ensuite le certificat par rapport à un magasin de confiance contenant les certificats de serveurs connus.
Cela demande donc de déployer une infrastructure spécifique pour délivrer en toute confiance un certificat permettant d’assurer la validité des courriers.
Quel est mon score ?
Comment savoir si mon domaine est considéré comme un domaine de confiance ou non ?
Je vous invite à tester votre domaine via un outil très bien fait de chez PowerDMARC.
Pour le domaine Teamy, mon score de confiance n’est pas très bon
Par contre pour mon domaine neomytic.be
Je peux tester mes domaines, mais je peux aussi tester n’importe quel domaine, car les records DNS d’un domaine sont publiques. Essayons quelques grandes institutions académiques belges
Cet article fait rebond à celui de mon ami Sébastien Place, https://splc.substack.com/p/comment-retablir-la-confiance-de
Et surtout suite, à un nombre croissant de demandes d’aide de certaines institutions qui dernièrement ont connu de gros problèmes avec leur messagerie M365. La gestion du mail n’est pas une mince affaire, et c’est malheureusement quand un incident majeur arrive qu’on s’en soucie. A vos claviers, vous avez du pain sur la planche.
