{"id":15501,"date":"2020-08-21T12:46:48","date_gmt":"2020-08-21T12:46:48","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=15501"},"modified":"2020-08-21T12:46:48","modified_gmt":"2020-08-21T12:46:48","slug":"how-to-cure-dmarc","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/how-to-cure-dmarc\/15501\/","title":{"rendered":"Comment corriger l&rsquo;authentification DMARC"},"content":{"rendered":"<p>Au cours de l\u2019histoire des e-mails, certains ont mis au point des technologies pour <a href=\"https:\/\/www.kaspersky.fr\/blog\/36c3-fake-emails\/13700\/\" target=\"_blank\" rel=\"noopener\">prot\u00e9ger les destinataires contre les messages frauduleux<\/a>, et surtout contre les messages d\u2019hame\u00e7onnage. Le DKIM (<em>DomainKeys Identified Mail<\/em>) et le protocole SPF (<em>Sender Policy Framework<\/em>) pr\u00e9sentaient d\u2019importants inconv\u00e9nients, ce qui a donn\u00e9 lieu au m\u00e9canisme d\u2019authentification e-mail DMARC (<em>Domain-based Message Authentication Reporting and Conformance<\/em>) qui identifie les messages qui ont un faux domaine d\u2019exp\u00e9diteur. Il s\u2019est av\u00e9r\u00e9 que le DMARC \u00e9tait loin d\u2019\u00eatre la solution parfaite. Nos chercheurs ont donc d\u00e9velopp\u00e9 une technologie suppl\u00e9mentaire afin de corriger les d\u00e9fauts de cette approche.<\/p>\n<h2>Fonctionnement de l\u2019authentification DMARC<\/h2>\n<p>Une entreprise qui cherche \u00e0 emp\u00eacher toute personne externe d\u2019envoyer des e-mails en utilisant le nom de ses employ\u00e9s peut configurer l\u2019authentification DMARC dans les enregistrements de ressources DNS. En substance, cela permet au destinataire du message d\u2019\u00eatre certain que le nom du domaine qui appara\u00eet dans le champ \u00ab\u00a0De :\u00a0\u00bb est le m\u00eame que dans le DKIM et le protocole SPF. De plus, l\u2019enregistrement indique l\u2019adresse \u00e0 laquelle les serveurs de messagerie envoient les rapports relatifs aux messages re\u00e7us n\u2019ayant pas r\u00e9ussi \u00e0 passer le contr\u00f4le de v\u00e9rification. Par exemple, dans le cas d\u2019une erreur ou de la d\u00e9tection d\u2019une tentative d\u2019usurpation d\u2019un serveur.<\/p>\n<p>Ces m\u00eames enregistrements de ressources vous permettent de configurer la politique DMARC et d\u2019indiquer la proc\u00e9dure \u00e0 suivre lorsque le message \u00e9choue au test de v\u00e9rification. Trois types de politiques DMARC s\u2019offrent \u00e0 vous\u00a0:<\/p>\n<ul>\n<li>L\u2019option <em>Rejeter<\/em> est la plus stricte. S\u00e9lectionnez-la pour bloquer tous les e-mails qui ne r\u00e9ussissent pas la v\u00e9rification DMARC.<\/li>\n<li>La politique <em>Quarantaine<\/em> repose sur les param\u00e8tres exacts du fournisseur de services e-mail. Le message se retrouvera soit dans le dossier spam soit dans le dossier principal mais sera d\u00e9tect\u00e9 comme suspect.<\/li>\n<li>Le mode <em>Aucun<\/em> laisse le message arriver normalement dans la bo\u00eete de r\u00e9ception du destinataire m\u00eame si un rapport est tout de m\u00eame envoy\u00e9 \u00e0 l\u2019exp\u00e9diteur.<\/li>\n<\/ul>\n<h2>Inconv\u00e9nients de DMARC<\/h2>\n<p>Dans l\u2019ensemble, le syst\u00e8me DMARC est fonctionnel. Cette technologie rend l\u2019hame\u00e7onnage beaucoup plus difficile. Pourtant, lorsque ce m\u00e9canisme r\u00e9sout un probl\u00e8me il en cr\u00e9e un autre : les faux positifs. Les messages authentiques peuvent \u00eatre bloqu\u00e9s ou consid\u00e9r\u00e9s comme spam dans deux situations\u00a0:<\/p>\n<ul>\n<li><strong>Les messages transf\u00e9r\u00e9s<\/strong>. Certains syst\u00e8mes de messagerie cassent les signatures SPF et DKIM lorsqu\u2019un message est transf\u00e9r\u00e9. Cela arrive lorsque plusieurs comptes font suivre le m\u00eame message ou lorsque le message est redirig\u00e9 entre les n\u0153uds interm\u00e9diaires d\u2019e-mails (relais).<\/li>\n<li><strong>Une mauvaise configuration<\/strong>. Il n\u2019est pas rare que les administrateurs de serveurs de messagerie fassent des erreurs lorsqu\u2019ils configurent le DKIM et le SPF.<\/li>\n<\/ul>\n<p>Il est difficile de dire quelle situation est la pire lorsqu\u2019il s\u2019agit d\u2019une adresse e-mail professionnelle\u00a0: laisser passer un message d\u2019hame\u00e7onnage ou bloquer un e-mail l\u00e9gitime.<\/p>\n<h2>Notre approche pour corriger les d\u00e9fauts de DMARC<\/h2>\n<p>Cette technologie est incontestablement utile. Nous avons donc d\u00e9cid\u00e9 d\u2019ajouter une technologie d\u2019apprentissage automatique au processus de v\u00e9rification pour r\u00e9duire le nombre de faux positifs sans pour autant \u00e9branler l\u2019efficacit\u00e9 de DMARC. Voici comment ce programme fonctionne.<\/p>\n<p>Lorsque les utilisateurs r\u00e9digent un e-mail, ils utilisent un client de messagerie (MUA) comme Microsoft Outlook. Ce client s\u2019occupe de la g\u00e9n\u00e9ration du message et de son envoi au MTA (<em>Mail Transfer Agent<\/em>) pour un routage plus approfondi. Le MUA ajoute les en-t\u00eates techniques n\u00e9cessaires au corps du message, \u00e0 l\u2019objet et \u00e0 l\u2019adresse du destinataire. Tous ces renseignements ont \u00e9t\u00e9 saisis par l\u2019utilisateur.<\/p>\n<p>Pour contourner les syst\u00e8mes de s\u00e9curit\u00e9, les pirates informatiques utilisent souvent leur propre MUA. Normalement, ce sont des moteurs e-mail qu\u2019ils ont eux-m\u00eames cr\u00e9\u00e9s qui g\u00e9n\u00e8rent et remplissent les messages selon un mod\u00e8le. Par exemple, ils g\u00e9n\u00e8rent les en-t\u00eates techniques pour un message et son contenu. Chaque MUA a sa propre \u00ab\u00a0\u00e9criture\u00a0\u00bb.<\/p>\n<p>Notre technologie entre en jeu lorsque le message re\u00e7u \u00e9choue au test de v\u00e9rification DMARC. Elle s\u2019ex\u00e9cute sur un service Cloud qui se connecte \u00e0 la solution de s\u00e9curit\u00e9 install\u00e9e sur le dispositif. Elle lance une analyse plus approfondie de la s\u00e9quence des en-t\u00eates, du contenu de X-Mailer et de Message-ID gr\u00e2ce \u00e0 un r\u00e9seau neuronal, ce qui permet alors \u00e0 la solution de faire la diff\u00e9rence entre un e-mail l\u00e9gitime et un message d\u2019hame\u00e7onnage. Cette technologie s\u2019est entra\u00een\u00e9e \u00e0 partir d\u2019un vaste r\u00e9pertoire d\u2019e-mails (pr\u00e8s de 140 millions de messages dont 40 % \u00e9tait des spams).<\/p>\n<p>L\u2019association de la technologie DMARC et de l\u2019apprentissage automatique aide \u00e0 garantir la protection de l\u2019utilisateur contre les attaques d\u2019hame\u00e7onnage tout en r\u00e9duisant le nombre de faux positifs. Nous avons d\u00e9j\u00e0 ajout\u00e9 cette technologie \u00e0 tous nos produits ayant une fonction anti-spam : Kaspersky Security for Microsoft Exchange Server, Kaspersky Security for Linux Mail Server, Kaspersky Security for Mail Gateway (option comprise dans <a href=\"https:\/\/www.kaspersky.fr\/small-to-medium-business-security?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Kaspersky Total Security for Business<\/a>) et <a href=\"https:\/\/www.kaspersky.fr\/small-to-medium-business-security\/microsoft-office-365-security?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____kso365___\" target=\"_blank\" rel=\"noopener\">Kaspersky Security for Microsoft Office 365<\/a>.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb\">\n","protected":false},"excerpt":{"rendered":"<p>Le m\u00e9canisme d\u2019authentification DMARC a quelques d\u00e9fauts mais nous avons d\u00e9velopp\u00e9 une technologie qui les corrigent.<\/p>\n","protected":false},"author":2598,"featured_media":15502,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150,3151],"tags":[3989,3988,505,90,3990,632],"class_list":{"0":"post-15501","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-dkim","11":"tag-dmarc","12":"tag-e-mail","13":"tag-hameconnage","14":"tag-spf","15":"tag-technologies"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/how-to-cure-dmarc\/15501\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/how-to-cure-dmarc\/21708\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/how-to-cure-dmarc\/17171\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/how-to-cure-dmarc\/23047\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/how-to-cure-dmarc\/21240\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/how-to-cure-dmarc\/19939\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/how-to-cure-dmarc\/23685\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/how-to-cure-dmarc\/22594\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/how-to-cure-dmarc\/28935\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/how-to-cure-dmarc\/8716\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/how-to-cure-dmarc\/36787\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/how-to-cure-dmarc\/13954\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/how-to-cure-dmarc\/24966\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/how-to-cure-dmarc\/11857\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/how-to-cure-dmarc\/29054\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/how-to-cure-dmarc\/25963\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/how-to-cure-dmarc\/22758\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/how-to-cure-dmarc\/27998\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/how-to-cure-dmarc\/27829\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/e-mail\/","name":"e-mail"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/15501","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2598"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=15501"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/15501\/revisions"}],"predecessor-version":[{"id":15504,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/15501\/revisions\/15504"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/15502"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=15501"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=15501"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=15501"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}