Proofpoint prône le standard DMARC

L’éditeur de solutions de sécurité a réalisé en janvier dernier une analyse des noms de domaine des entreprises et du CAC 40 et des principaux ministères de notre pays. Les organisations françaises affichent un niveau de protection plutôt faible et recommande la mise en place de DMARC (Domain-based Message Authentication, Reporting & Conformance).

Les résultats de l’étude indiquent que seulement 45% des sociétés du CAC 40 publient une fiche DMARC, soient 18 sociétés sur 40. Cela laisse plus de 55% des plus grandes organisations françaises exposées à la fraude email et à l’usurpation d’identité. Sur les 18 entreprises qui ont adopté le standard DMARC, une seule bloque de façon proactive les emails frauduleux (et est donc entièrement conforme DMARC) et deux mettent en quarantaine les messages.

Aucun des ministères français analysés ne protège son domaine contre les attaques d'usurpation d'identité. Sur les 5 principales organisations de service public analysées par les experts Proofpoint, une seule est protégée contre les attaques d'usurpation d'identité de domaine : les Impôts !
L’éditeur préconise de mettre en œuvre le standard DMARC, ce qu’il considère assez simple pour obtenir une bonne protection contre les menaces de fraude par email.


Le standard DMARC

DMARC standardise la façon dont les destinataires (au sens des MTA destinataires) réalisent l'authentification des e-mails en utilisant les mécanismes de Sender Policy Framework et de DomainKeys Identified Mail. Cela signifie que l'expéditeur (au sens d'un MTA expéditeur) recevra les résultats de l'authentification de ses messages par tout destinataire qui implémente DMARC.

DMARC est conçu pour s'intégrer dans le processus d'authentification des e-mails entrants d'une organisation. La façon dont il fonctionne permet d'aider les destinataires à déterminer si le message est conforme à ce qu'il connaît de l'expéditeur. Si ce n'est pas le cas, DMARC inclut des explications sur la façon de traiter les messages non conformes. DMARC ne détermine pas directement si un message est frauduleux ou non. DMARC nécessite que le message ait satisfait aux validations SPF et DKIM, et par ailleurs que le message soit "aligné". Pour SPF, le message doit passer la validation, et le domaine de l'expéditeur du message (champ From:) doit correspondre au domaine SPF validé (correspondance exacte pour un alignement strict, ou doit être un sous-domaine pour un alignement restreint). Pour DKIM, le message doit posséder une signature valide et le champ d=, domaine, de la signature validée doit correspondre au domaine de l'expéditeur du message (champ From:) (correspondance exacte pour un alignement strict, ou doit être un sous-domaine pour un alignement restreint). Avec DMARC, un message peut donc échouer s'il passe les validations SPF et DKIM mais si l'alignement échoue.

Les politiques DMARC sont publiées dans le Domain Name System (DNS) public du domaine comme entrée TXT et annonce ce que le destinataire d'un email doit faire si celui-ci ne satisfait pas les mécaniques d'authentification.

(Source : Wikipedia)