19 mythes DMARC démystifiés par les experts

Beaucoup de gens ne comprennent pas instantanément ce que DMARC accomplit ou comment il protège contre la fraude, l’usurpation d’identité et l’usurpation de domaine. Il y a beaucoup de malentendus sur DMARC, sur le fonctionnement de l’authentification par courrier électronique et sur les raisons pour lesquelles cela vous est bénéfique. Mais parce que les mêmes mythes continuent de surgir, il y a des éléments répétitifs qui méritent d’être explorés.

Mais comment pouvez-vous distinguer le bien du mal? Et comment pouvez-vous être certain de l’utiliser correctement? Skysnag vous a trié. Dans cet article, nous examinerons les différents mythes DMARC et comprendrons pourquoi il est si crucial pour votre organisation.

Mythe # 1: Parce que j’ai déjà terminé SPF et DKIM, je n’ai pas besoin de DMARC.

La norme DMARC (Authentification, Reporting et Conformité des messages basés sur le domaine) est une norme d’authentification de messagerie moderne que de nombreux serveurs de messagerie majeurs utilisent pour extraire les e-mails sortants et entrants (Office 365, Google Workspace et passerelles de messagerie sécurisées commerciales).

Étant donné que SPF et / ou DKIM ne fournissent pas d’informations adéquates, aucune des passerelles décrites ci-dessus ne les prendra en compte uniquement lors de la prise de décisions de livraison. Au lieu de cela, ils prendront en compte une variété de mesures telles que DMARC, le taux d’engagement, etc.

Mythe # 2: Je ne peux utiliser DMARC car je n’utilise pas SPF/DKIM.

Les rapports DMARC vous fourniront les informations dont vous avez besoin pour résoudre les problèmes d’authentification avec SPF et DKIM. La première étape de tout projet DMARC consiste à configurer un enregistrement DMARC en mode de surveillance (p=none ), qui fournira une visibilité sur les problèmes d’authentification avec les flux de messagerie autorisés ainsi que sur toute activité de shadow IT et/ou d’usurpation d’identité.

Mythe #3: J’ai déjà DMARC depuis que j’utilise Office 365 ou Google Workspace, qui prétendent tous deux le prendre en charge.

O365 et Google Workspace examineront le courrier entrant pour l’authentification DMARC, mais ils ne fourniront pas de visibilité DMARC ni ne vous aideront à configurer l’application DMARC pour vos propres domaines, et ils ne pourront pas non plus vérifier les services cloud ou sur site qui envoient du courrier en votre nom.

Mythe #4: Je ne peux utiliser DMARC à cause de ma configuration de messagerie

DMARC fonctionne avec n’importe quelle passerelle de messagerie, sur site ou dans le cloud. DMARC est indépendant du flux de messagerie et constitue une entrée DNS distincte des enregistrements MX. Pour les clients utilisant Exchange, Office 365, Google Workspace et toutes les passerelles de messagerie commerciales, Red Sift a implémenté avec succès DMARC.

Mythe # 5: DMARC rendrait mon marketing par e-mail inefficace.

Faux encore une fois; en réalité, une fois correctement validé, DMARC donnera à votre lettre marketing les meilleures chances de livraison. Le problème est que si vous utilisez DMARC sans d’abord identifier et authentifier tous les messages marketing, ils peuvent être mis en quarantaine ou rejetés par erreur si vous passez à une stratégie d’application DMARC.

Mythe # 6: Seuls les gros expéditeurs de courrier utilisent DMARC.

Ce n’est pas le cas; DMARC s’applique à tous les types d’entreprises, quelle que soit leur taille! Chaque entreprise doit authentifier son courrier électronique légitime et empêcher l’usurpation illégale et l’usurpation d’identité de ses domaines, ce qui peut être fait en déployant DMARC au niveau de l’application de la loi.

Mythe # 7: DMARC n’est qu’une initiative de sécurité.

DMARC est un projet interfonctionnel qui est réalisé de la manière la plus rapide et la plus productive lorsque l’informatique, la Sécurité, la conformité et le marketing travaillent ensemble. Avec BIMI, DMARC éliminera non seulement l’usurpation d’identité malveillante et le phishing qui utilisent des domaines de confiance, mais il identifiera également le shadow IT, améliorera la livraison légitime des e-mails et augmentera l’impression de la marque!

Mythe #8: DMARC avec p=none est préférable à aucun DMARC du tout.

Vrai, tous les projets DMARC doivent commencer par p=none. Il s’agit d’obtenir la visibilité nécessaire pour effectuer les ajustements d’authentification afin de se conformer à la conformité DMARC. Cependant, certains utilisateurs estiment à tort que le fait d’avoir une politique DMARC sans améliore leur posture de sécurité. Ce n’est tout simplement pas le cas: si votre stratégie DMARC est définie sur « none« , vous pouvez être usurpé aussi facilement que si vous n’aviez pas du tout d’enregistrement DMARC.

Mythe # 9 DMARC est un processus manuel fastidieux qui prendra des mois à se terminer.

Les entreprises interrompent généralement leurs projets DMARC pour deux raisons:

1. La modification manuelle des enregistrements d’authentification dans le DNS peut prendre beaucoup de temps, surtout si vous devez passer par le contrôle des modifications à chaque fois. L’aplatissement et l’entretien du FPS à la main peuvent être difficiles et prendre du temps, sans garantie de succès.
2. Ne pas savoir si tous les messages légitimes ont été reconnus et authentifiés et ne seront pas mis en quarantaine ou rejetés par une politique DMARC.

Mythe # 10: La mise en œuvre de DMARC par moi-même est simple.

DMARC est, en fait, une norme publique gratuite que tout le monde peut utiliser. Chaque jour, Red Sift examine des millions d’enregistrements DMARC et constate que la majorité des projets DMARC DIY restent à p=none et n’atteignez jamais l’application de la DMARC. En conséquence, ces entreprises sont vulnérables à l’usurpation d’identité, à l’usurpation d’identité et aux attaques de phishing.

Mythe #11: Je ne pourrai jamais comprendre les rapports XML DMARC déroutants.

Il n’est pas surprenant que les rapports DMARC ne soient pas destinés à être lus par des humains! Pour comprendre les rapports DMARC, vous devez les analyser d’une manière ou d’une autre, puis ajouter des rapports, des alertes et une interprétation.

Mythe # 12: Les informations personnelles sont contenues dans les données médico-légales DMARC.

Les rapports médico-légaux DMARC peuvent aider à résoudre les problèmes d’authentification avec des flux de messagerie authentiques ainsi qu’à identifier les origines des e-mails malveillants.

Mythe # 13: Il n’y a pas beaucoup de distinction entre les fournisseurs DMARC.

De nombreuses entreprises peuvent traiter les rapports DMARC pour le compte d’un domaine dans une interface graphique, ce qui fait de la surveillance et de la visibilité DMARC une commodité de nos jours. Une procédure reproductible, sûre, simple et efficace pour amener un domaine à l’application DMARC à l’aide des dernières technologies en matière d’authentification des e-mails hébergés et de canaux de données privés n’est pas une marchandise.

Mythe # 14: Le FPS est impossible à gérer et à tenir à jour

Dans le monde actuel des services de messagerie en nuage, la gestion manuelle et la mise à jour d’un enregistrement SPF sont sans aucun doute une tâche. Cependant, avoir le bon équipement à portée de main facilite grandement les choses. Le processus peut être rendu beaucoup plus facile par:

• Toutes les sources de courrier électronique sont correctement identifiées et reconnaissables, de sorte que les utilisateurs n’ont jamais à s’inquiéter de manquer un service de messagerie valide, et toutes les sources sont clairement étiquetées et reconnaissables grâce à notre intelligence d’expéditeur unique.
  Les sources autorisées peuvent être validées en un clic à l’aide de l’aplatissement SPF une fois que les expéditeurs ont été découverts. Les services qui ne sont plus utilisés peuvent être désinstallés et l’enregistrement peut être facilement contrôlé à l’avenir.
• Avec SPF dynamique, l’enregistrement SPF est aplati dynamiquement et toujours syntaxiquement précis, évitant la restriction de recherche SPF 10.

Mythe #15: Si j’ai plus de 10 recherches SPF, cela n’affectera pas mon flux de messagerie.

Alors que la plupart des passerelles de messagerie actuelles utilisent DMARC pour l’authentification des e-mails, il existe encore quelques systèmes hérités qui utilisent SPF comme facteur majeur pour le filtrage des e-mails.
Lorsqu’une boîte aux lettres réceptrice exécute une vérification SPF, le dépassement de la limite de 10 recherches indique que votre enregistrement est techniquement rompu. De plus, si votre dossier DMARC est en application (quarantaine ou refus), vous risquez d’interdire le courrier des expéditeurs qui n’utilisent pas DKIM. Si votre véritable e-mail est authentifié avec succès à la fois avec SPF et DKIM, et que l’enregistrement SPF n’a pas plus de 10 recherches, il aura les meilleures chances d’être livré.

Mythe #16: La protection DMARC a déjà été activée.’

Une politique DMARC de ‘none‘ et un dossier DMARC lors de l’exécution est très différent. Le simple fait d’activer DMARC avec une politique de « aucun » est une première étape nécessaire, mais cela ne fait rien pour améliorer votre posture de sécurité ou empêcher l’usurpation d’identité de votre domaine (il n’y a pas de prix pour simplement se présenter de cette manière!).

Vous devez accomplir une politique de quarantaine ou de rejet à un pct=100 pour terminer votre voyage DMARC. Sinon, vous laissez votre domaine vulnérable aux attaques d’usurpation d’identité et d’hameçonnage.

Mythe # 17: Ma configuration DMARC sera trop compliquée car j’ai tellement de domaines à sécuriser.

Vous ne devriez pas être découragé de lancer un projet DMARC parce que vous avez un vaste portefeuille de domaines. En réalité, avoir plus de domaines non protégés fait de vous une cible facile si vous n’utilisez pas DMARC pour l’application, donc ignorer le problème parce que vous avez beaucoup de domaines n’est pas la solution. Trouver un domaine

Mythe # 18: DMARC est extrêmement coûteux

Chez Skysnag, nous nous efforçons d’automatiser autant que possible, permettant à nos clients de bénéficier de notre efficacité et de nos économies d’échelle.

Créez un compte Skysnag pour générer votre enregistrement DMARC.

Mythe # 19: Parce que je n’envoie pas d’e-mails depuis mon propre domaine, je n’ai pas besoin de protection DMARC.

Les domaines sans envoi peuvent être simulés tout comme les domaines d’envoi, et ils sont plus attrayants en tant que cibles d’e-mails d’hameçonnage et d’usurpation d’identité s’ils utilisent des marques, des sites Web, des particuliers et des entreprises bien connus. Les destinataires d’e-mails malveillants provenant d’un domaine qui n’envoie pas peuvent ne pas découvrir ou comprendre que from the domain n’est pas configuré pour envoyer des e-mails; si l’e-mail est suffisamment convaincant et semble légitime, ils peuvent croire à tort qu’il vient de vous, mettant ainsi toute votre marque et votre réputation en danger.

Réflexions finales

Cela conclut la liste de tous les mythes DMARC qui ont été complètement réfutés. Mais ne vous contentez pas de nous croire sur parole; le DMARC automatisé de Skysnag renforce la protection contre le phishing et l’usurpation d’identité en confirmant qu’un message électronique provient du domaine dont il prétend provenir. Skysnag génère des rapports DMARC qui vous aident à enquêter sur les problèmes de sécurité potentiels et à identifier les risques éventuels liés aux attaques d’usurpation d’identité. Commencez avec Skysnag et inscrivez-vous en utilisant ce lien.

You might be interested in reading:

Dix mythes sur le DMARC prêts à être démystifiés septembre 7, 2023

5 Étapes pour détecter le Phishing en un coup d'œil octobre 11, 2023

Qu'est-ce que le phishing ? octobre 11, 2023

Qu'est-ce que l'usurpation d'adresse e-mail? octobre 11, 2023