Découvrez dans notre tutoriel comment contrôler l’au­then­ti­cité et la sécurité de vos emails grâce à un rapide DMARC Check et quels DMARC Checkers sont dis­po­nibles.

Qu’est-ce qu’un DMARC Check et pourquoi est-il important ?

Les en­tre­prises doivent avoir la certitude que leurs emails im­por­tants par­vien­nent bien à leurs clients et par­te­naires com­mer­ciaux. Pour vérifier l’au­then­ti­cité et la sécurité des emails et des domaines de mes­sa­ge­rie, les DMARC-Checkers sont idéaux. Ces outils con­trô­lent les entrées de la DMARC (Domain-based Message Au­then­ti­ca­tion Reporting and Con­for­mance), du SPF (Sender Policy Framework) et du DKIM (Domain Keys Iden­ti­fied Mail) et valident ainsi l’au­then­ti­cité de vos emails. La DMARC sert à intégrer le SPF et le DKIM dans un cadre unique et à contrôler votre trafic d’emails selon des règles fixes. Voici les trois prin­ci­pales fonctions de la DMARC :

  • Refuser : le serveur des­ti­na­taire refuse vos emails suite à un échec du test DMARC.
  • Qua­ran­taine : les emails ne com­por­tant pas de test DMARC sont déplacés vers le dossier Spam de l’adresse des­ti­na­taire afin d’être contrôlés.
  • Aucune action : côté ex­pé­di­teur, aucune action n’est exécutée en l’absence de test DMRC.

Dans l’entrée DMARC (DMARC-Record), dé­fi­nis­sez en tant qu’en­re­gis­tre­ment TXT les règles ap­pli­cables en cas d’échec du contrôle de sécurité. L’en­re­gis­tre­ment TXT est publié dans le système de noms de domaine pour la vé­ri­fi­ca­tion de la DMARC. Dans l’entrée DMARC, vous pouvez définir si les serveurs des­ti­na­taires doivent refuser vos emails non au­then­ti­fiés. Vous dé­fi­nis­sez également si et comment vous souhaitez être informé en cas d’uti­li­sa­tion abusive d’un domaine ou d’erreur de la DMARC. Grâce à la vé­ri­fi­ca­tion de la DMARC intégrée, vous recevez des rapports quo­ti­diens à propos de votre trafic d’emails, qui con­tien­nent notamment les in­for­ma­tions suivantes :

  • Combien y a-t-il d’emails, en pour­cen­tage, dans la vé­ri­fi­ca­tion de la DMARC ?
  • Combien d’emails sont refusés par les serveurs des­ti­na­taires ?
  • Sur quels serveurs ou ap­pli­ca­tions les emails refusés sont-ils expédiés ?
  • Quels serveurs ou ap­pli­ca­tions envoient des emails si­mi­laires ou des emails assignés à votre domaine ?

Que se passe-t-il si la DMARC est mal con­fi­gu­rée ?

Le trafic d’emails avec les clients comme avec les par­te­naires fait partie des prin­ci­pales cibles des cy­ber­cri­mi­nels. Parmi les es­cro­que­ries fré­quem­ment cons­ta­tées figurent la si­mu­la­tion d’emails pré­ten­du­ment au­then­tiques via la technique du spoofing. Pour cela, des emails de phishing sont gé­né­ra­le­ment utilisés. En cas de ha­me­çon­nage, les cy­ber­cri­mi­nels pré­ten­dent envoyer des emails depuis votre domaine de mes­sa­ge­rie ou depuis votre adresse email pro­fes­sion­nelle afin d’obtenir les données per­son­nelles des des­ti­na­taires. Des entrées DMARC correctes veillent à ce que les emails de ha­me­çon­nage ou les campagnes de spam sous votre domaine ne par­vien­nent pas dans la mes­sa­ge­rie des des­ti­na­taires ou soient bloqués ra­pi­de­ment.

Pour bé­né­fi­cier d’une sécurité fiable des emails, il est d’autant plus important de bien con­fi­gu­rer les entrées DMARC et d’utiliser des mots de passe sécurisés et des SSL pour vos propres domaines. Si, dans un rapport DMARC, vous constatez la remarque Échec de la DMARC, plusieurs raisons peuvent l’expliquer :

  1. Votre domaine de mes­sa­ge­rie a été placé en liste noire suite à un usage abusif, comme des campagnes de spams.
  2. Vos données d’accès ont été volées et des emails nuisibles ont été envoyés via votre domaine.
  3. L’entrée DMARC n’a pas été con­fi­gu­rée cor­rec­te­ment.

Dans le dernier cas, il peut s’agir d’un mode de syn­chro­ni­sa­tion DMARC erroné, d’une signature DKIM manquante ou d’entrées DNS-TXT man­quantes. En l’absence de menace précise en cas de di­rec­tives DMARC mal con­fi­gu­rées, les messages d’erreur DMARC peuvent être corrigés ra­pi­de­ment grâce au DMARC-Checker approprié.

Quels sont les DMARC-Checkers dis­po­nibles ?

Afin de contrôler vos con­fi­gu­ra­tions DMARC, il existe dif­fé­rents outils d’analyse, de contrôle et de rapport per­met­tant de tester la DMARC. Le niveau de détail et d’ex­haus­ti­vité de l’analyse détermine quel DMARC-Checker est le plus adapté. Il existe des outils DMARC to­ta­le­ment intégrés et complexes qui au­to­ma­ti­sent to­ta­le­ment les tests et analyses, et servent si­mul­ta­né­ment pour plusieurs domaines. Ils pré­sup­po­sent toutefois d’avoir des con­nais­sances en trai­te­ment, con­fi­gu­ra­tion et analyse de la DMARC. Il existe également des DMARC-Checkers simples qui utilisent les meil­leures pratiques et offrent un aperçu rapide du statut de la sécurité de la mes­sa­ge­rie.

Les trois outils suivants sont par exemple dis­po­nibles :

Dmarcian

Image: Navigateur Web : site Web de Dmarcian
Na­vi­ga­teur Web : site Web de Dmarcian

Dmarcian a été fondé en 2012 et fait partie des services les plus po­pu­laires proposant la DMARC comme un SAAS. L’une des raisons de cette po­pu­la­rité est que l’en­tre­prise a été fondée par Tim Draegen, l’un des co-dé­ve­lop­peurs de la norme DMARC, et jouit donc d’une ré­pu­ta­tion de pro­fes­sion­na­lisme et de sérieux. Si né­ces­saire, Dmarcian propose des outils d’analyse complets pour la DMARC, adaptés à un contrôle simple et rapide d’un faible volume d’emails, ainsi qu’au contrôle de vo­lu­mi­neux ensembles de données d’emails en passant par des spé­ci­fi­ca­tions d’analyse complexes. Il dispose également d’une as­sis­tance fiable et de divers modèles ta­ri­faires. Dmarcian étant un outil complexe pour les DMARC Checks, les petites en­tre­prises et équipes peuvent néanmoins se sentir dépassées par sa com­plexité.

Pa­ral­lè­le­ment aux pla­te­formes de gestion DMARC pro­fes­sion­nelles, Dmarcian propose des outils gratuits pour les DMARC-Checks. Ces outils sont toujours dis­po­nibles, même sans compte ou abon­ne­ment Dmarcian. Sont notamment inclus :

  • Domain Checker : contrôle votre propre domaine ou un domaine étranger con­cer­nant les pa­ra­mètres SPF/DKIM/DMARC.
  • DMARC Inspector : contrôle votre propre domaine ou un domaine étranger, ainsi que les entrées DMARC adéquates.
  • DMARC Record Wizard : vous assiste lors de la con­fi­gu­ra­tion de vos entrées DMARC.
  • SPF Surveyor : offre un aperçu graphique et les diag­nos­tics des entrées SPF.
  • DKIM Inspector : outil de diag­nos­tic pour les entrées DKIM.
  • DKIM Validator : outil de diag­nos­tic servant à la va­li­da­tion de vos entrées DKIM.
  • XML-to-human Converter : convertit les en­re­gis­tre­ments DMARC en un format fa­ci­le­ment lisible qui simplifie l’analyse des rapports.

DMARC Digests

Image: Navigateur Web : site Web de DMARC Digests
Na­vi­ga­teur Web : site Web de DMARC Digests

Depuis sa création en 2020, DMARC Digests fait partie des plus récents services DMARC com­mer­cia­li­sés. Voici ce qui dif­fé­ren­cie DMARC Digests des autres services : il s’agit d’un outil DMARC simple d’uti­li­sa­tion et intuitif qui offre en même temps une bonne fonc­tion­na­lité DMARC. Le service convient par­ti­cu­liè­re­ment aux petites en­tre­prises qui sou­hai­tent contrôler ra­pi­de­ment l’intégrité DMARC d’un nombre rai­son­nable d’emails et ont besoin d’analyses ap­pro­fon­dies uni­que­ment si né­ces­saire. L’absence de fonctions telles que les analyses DMARC fo­ren­siques, les alertes ou les in­ter­faces API nuit toutefois à la sim­pli­cité d’uti­li­sa­tion.

DMARC Digests offre les fonctions suivantes :

  • Sur­veil­lance des activités de la mes­sa­ge­rie et états d’envoi dans votre domaine de mes­sa­ge­rie
  • Ré­so­lu­tion des problèmes et analyse des erreurs DMARC, et analyse des emails non au­then­ti­fiés et des problèmes SPF/DKIM
  • Ré­so­lu­tion au­to­ma­ti­sée des problèmes et pro­po­si­tion de solutions
  • Aperçu sur 60 jours de tous les ex­pé­di­teurs d’emails et serveurs de votre domaine
  • Rapports heb­do­ma­daires et mensuels des bugs et re­com­man­da­tions d’op­ti­mi­sa­tion des con­fi­gu­ra­tions DMARC
  • Fonc­tion­na­li­tés d’équipe pour l’analyse DMARC en équipe

MxToolbox

Image: Navigateur Web : site Web de MxToolbox
Na­vi­ga­teur Web : site Web de MxToolbox

MxToolbox est également un four­nis­seur d’au­then­ti­fi­ca­tion DNS et d’emails, de con­sul­ta­tion des listes noires et d’outils pour l’envoi sécurisé d’emails. Il contient également des outils gratuits ou payants pour l’analyse des entrées DMARC/DKIM/SPF. Pour des DMARC Checks gratuits, MxToolbox propose les services suivants :

  • DMARC Record Test : l’outil de diag­nos­tic pour une vé­ri­fi­ca­tion des en­re­gis­tre­ments DMARC affiche l’entrée DMARC de votre propre domaine ou d’un domaine étranger et ré­per­to­rie les données d’analyse sup­plé­men­taires con­cer­nant le statut de la DMARC.
  • DMARC Generator : l’outil vous assiste pendant la création et la con­fi­gu­ra­tion de vos entrées DMARC et applique pour cela un principe de pas à pas simple et parfait pour les débutants.
  • DMARC Report Analyzer : convertit les rapports DMARC XML en un format fa­ci­le­ment lisible et simplifie ainsi l’éva­lua­tion et la cor­rec­tion des en­re­gis­tre­ments TXT de vos di­rec­tives DMARC.
  • SPF Record Check : affiche les entrées SPF d’un domaine et ré­per­to­rie les données de diag­nos­tic cor­res­pon­dantes.
  • SPF Record Generator : vous aide pendant la création et le trai­te­ment des entrées SPF.
  • DKIM Test & Validator : analyse les entrées DKIM et affiche les données d’analyse cor­res­pon­dantes.

Quels sont les avantages des outils de test des emails et de la DMARC ?

Le trafic d’emails entre les en­tre­prises et leurs clients ou par­te­naires com­mer­ciaux figure parmi les cibles d’attaque préférées des cy­ber­cri­mi­nels. Une analyse trans­pa­rente et une sur­veil­lance continue du trafic d’emails sur votre propre domaine aug­men­tent donc votre sécurité et celle de vos par­te­naires et groupes cibles. Vous veillez également à ce que les emails marketing et pro­fes­sion­nels im­por­tants n’at­ter­ris­sent pas dans le dossier des spams, mais bien dans la mes­sa­ge­rie souhaitée.

Les avantages des vé­ri­fi­ca­tions DMARC et des emails sont les suivants :

  • Les erreurs éven­tuelles lors de l’envoi d’emails sont ra­pi­de­ment détectées et résolues.
  • Le trafic d’emails entre les en­tre­prises et les par­te­naires, ainsi que les clients est protégé autant que possible contre l’usur­pa­tion d’identité et les spams.
  • Les rapports d’analyse per­met­tent des cor­rec­tions rapides des entrées DMARC/SPF/DKIM.
  • Il est possible de contrôler les campagnes marketing au préalable afin de vérifier l’intégrité et la fiabilité du domaine de mes­sa­ge­rie.
  • Les emails im­por­tants ne finissent pas dans le dossier des spams des des­ti­na­taires sans que vous ne le sachiez.
  • Des emails fiables, sûrs et au­then­ti­fiés ren­for­cent l’image de marque et la confiance accordée par les par­te­naires et les clients.
Conseil

Donnez à votre en­tre­prise une image sérieuse et pro­fes­sion­nelle grâce à votre propre mes­sa­ge­rie pro­fes­sion­nelle. Avec IONOS, créez votre propre adresse email (comprend votre propre domaine, une pro­tec­tion contre les spams et virus, et la garantie sans publicité).

Fonc­tion­ne­ment d’un test DMARC manuel

Vous ne souhaitez pas recourir à des outils DMARC sup­plé­men­taires ? La DMARC peut également être testée ma­nuel­le­ment de manière limitée. Les DMARC Checks sont toutefois plus sûrs, plus rapides et au­to­ma­ti­sés avec les solutions men­tion­nées ci-dessus, selon le principe SAAS, via des outils et des four­nis­seurs DMARC pro­fes­sion­nels.

Pour réaliser un test manuel de la DMARC, une analyse de l’en-tête de l’email est proposée. Nous vous ex­pli­quons comment procéder sous Gmail, Apple Mail, Outlook, Mozilla et Opera.

Gmail

L’exemple ci-dessous concerne un test DMARC pour du contenu Gmail. Google présente l’avantage de pouvoir tester l’au­then­ti­cité et l’exac­ti­tude de la DMARC grâce à l’outil gratuit « Mes­sa­ge­hea­der » de Google Toolbox. Le processus est différent de celui des services de mes­sa­ge­rie tels que Apple Mail, Mozilla, Hotmail ou Outlook.

  1. Envoyez un email à votre compte Gmail ou affichez un email que vous souhaitez tester.
  2. Ouvrez l’email et cliquez sur le symbole des trois points situé dans le coin supérieur droit.
  3. Choi­sis­sez l’option « Afficher l’original ».
  4. Dans l’affichage original de l’email, vous pouvez consulter des in­for­ma­tions complètes telles que l’ex­pé­di­teur de l’email, le serveur de mes­sa­ge­rie utilisé et les résultats de l’au­then­ti­fi­ca­tion pour SPF et DKIM, ainsi que les di­rec­tives DMARC. En regard de la ligne « Date de création », vous pouvez également vérifier si un retard suspect a eu lieu lors de l’envoi du message.
  5. Copiez le texte du message d’origine avec toutes les in­for­ma­tions.
  6. Accédez à présent à l’outil Google Mes­sa­ge­hea­der et insérez le texte copié sous « Copier l’en-tête d’e-mail ici ».
  7. Cliquez sur « Analyser l’en-tête ci-dessus » et attendez que la vé­ri­fi­ca­tion manuelle soit terminée.

Apple Mail

  1. Ouvrez Apple Mail et l’email concerné.
  2. Cliquez sur « Pré­sen­ta­tion », puis « Message » > « Tous les en-têtes ».
  3. Vous devez à présent voir dans une fenêtre distincte l’en-tête de l’email avec toutes les in­for­ma­tions relatives à l’email envoyé et au dé­rou­le­ment de l’envoi.

Outlook

  1. Ouvrez Outlook et double-cliquez sur l’email à vérifier.
  2. Cliquez sur « Fichier » puis sur « Pro­prié­tés » pour afficher les in­for­ma­tions dé­tail­lées de l’email dans le champ « En-têtes Internet ».

Mozilla

  1. Ouvrez Mozilla et l’email cor­res­pon­dant.
  2. Cliquez sur « Affichage » et « Texte source du message » pour analyser les in­for­ma­tions de l’email.
Nom de domaine
Votre domaine en un clic
  • 1 cer­ti­fi­cat SSL Wildcard par contrat
  • Fonction incluse Domain Connect pour une con­fi­gu­ra­tion DNS sim­pli­fiée
Aller au menu principal