Gmail et Yahoo ont mis en œuvre de nouvelles règles impactant les expéditeurs d’e-mails nécessitant notamment le déploiement de DMARC. Explications.
Ces améliorations visent à améliorer la protection des boîtes aux lettres contre le spam, le phishing et l’usurpation d’identité.
Depuis février 2024, les expéditeurs qui envoient 5 000 messages ou plus par jour à des comptes Gmail devront authentifier les e-mails sortants via DMARC.
Ils doivent aussi éviter d’envoyer des e-mails indésirables ou non sollicités. De plus, ils doivent également permettre aux destinataires de se désabonner facilement.
Dans ces conditions, les taux de spam indiqués doivent être en dessous de 0,10 %. Il faut éviter d’atteindre un taux de spam de 0,30 %, comme l’indiquent les recommandations officielles de Google.
Comprendre comment fonctionnent DMARC, SPF et DKIM face aux nouvelles règles Gmail
DMARC est une méthode d’authentification d’e-mails permettant aux administrateurs de messagerie d’empêcher des tiers malveillants d’usurper leur identité communément nommée « email spoofing ». Elle est extrêmement dangereuse car le faux email est perçu comme envoyé de votre propre nom de domaine… sans que vous l’ayez envoyé.
Les serveurs de messagerie offrent techniquement cette dangereuse possibilité. Dans ces cas d’usurpation d’identité de votre propre nom de domaine, la victime a tendance à incriminer l’organisation qui ne l’a pas suffisamment protégé.
Pour se défendre contre ce type d’abus, le DNS permet d’empêcher la livraison de courriels malveillants utilisant votre propre nom de domaine.
Dans un papier d’expert de l’AFNIC, il est rappelé que pour qu’un e-mail passe la validation DMARC, il doit respecter d’abord une validation SPF ou DKIM.
Lister les adresses IP autorisées à envoyer des mails en votre nom avec SPF
Le protocole SPF (« Sender Policy Framework ») liste les adresses IP autorisées à envoyer du mail en votre nom. Cette liste blanche d’adresses comprend souvent l’hébergeur de votre serveur de messagerie, votre solution pour diffuser votre newsletter ou le logiciel pour envoyer vos factures.
Ainsi, les serveurs de messagerie destinataires s’assurent que l’IP émettrice est réellement autorisée à envoyer des e-mails en utilisant le nom de domaine.
Ajouter une signature DKIM dans tous les e-mails sortants
Le protocole DKIM (pour « DomainKeys Identified Mail ») fournit un mécanisme d’authentification des messages électroniques à l’aide d’une clé cryptographique.
DKIM utilise ainsi le chiffrement asymétrique pour certifier les e-mails en luttant contre l’usurpation d’identité.
Comme indiqué par l’AFNIC, « le serveur de messagerie réceptionnant l’e-mail est chargé de récupérer la clé publique publiée dans le serveur DNS afin de vérifier la validité des signatures. Cette vérification DKIM confirme que l’expéditeur est autorisé et que le message n’a pas été altéré pendant le transport ».
En cas de signature invalide ou d’absence d’enregistrement DKIM, la transmission du message est en échec DKIM.
DMARC repose sur ces deux fonctions techniques clés : le « Sender Policy Framework » (SPF) et le « DomainKeys Identified Mail » (DKIM).
DMARC et les options de laissez-passer, de quarantaine ou de rejet
Quand Solidnames accompagne des clients qui souhaitent se protéger contre la pratique d’« email spoofing », notre société le fait en trois étapes.
Depuis 2016, Solidnames propose dans un premier temps de laisser passer les emails pour les analyser. Cette première étape permet de bien identifier avec le propriétaire du nom de domaine les adresses IP qui utilisent son nom. Une fois cette liste blanche établie, l’option mise en quarantaine est déployée.
Concrètement, les emails non autorisés atterrissent dans les courriers indésirables des destinataires. Enfin, la dernière étape est le rejet pur et simple de tous les courriels non conformes. En règle générale, ces trois étapes se font en un trimestre.
A noter que Solidnames applique cette méthodologie pour les noms de domaine adressant des e-mails.
Pour les noms de domaine déposés de façon défensive (c’est-à-dire sans vocation à envoyer du mail), la pratique est différente.
Dans ces cas, aucune adresse IP n’est notée comme autorisée à envoyer un mail dans le SPF. De plus, la politique DMARC est le rejet.
Ainsi, les noms de domaine défensifs des clients de Solidnames sont aussi protégés contre l’email spoofing.
Cette option gratuite est incluse dans le prix de la gestion d’un nom de domaine.
Enfin, il faut noter que DMARC permet aussi d’obtenir des rapports aux serveurs de messagerie qui reçoivent des emails provenant de votre nom de domaine. Il s’agit de rapports très utiles pour détecter des abus.
Pourquoi les utilisateurs de Gmail ne reçoivent plus mes mails ? Vérifiez votre enregistrement DMARC !
Ces dernières années, de nombreuses organisations se sont intéressées à ces trois normes SPF, DKIM et DMARC.
Dès sa création, Solidnames a notamment relayé les recommandations du Global Cyber Alliance, des agences gouvernementales étasuniennes ou du Ministère de l’économie en France.
Ces communications visent à renforcer la sécurité des organisations contre l’usurpation d’identité numérique.
Huit ans plus tard, c’est Google et Yahoo, deux des plus importants fournisseurs de messagerie électronique dans le monde qui vont permettre à de nombreuses entreprises d’adopter ces bonnes pratiques.
Si votre structure délivre plus de 5 000 messages par jour, le nom de domaine supportant la messagerie doit avoir une politique DMARC dans son DNS. Si ce n’est pas le cas, ils ne seront plus délivrés à partir de février 2024.
Il faut souligner que Google n’est pas intransigeant dans cette première étape. Une simple politique DMAC de type p=none suffit pour Gmail et Yahoo. Cela signifie qu’en cas d’adresses IP non autorisées, les courriels sont tout de même délivrés.
Implémenter une politique DMARC, même si elle est définie sur « aucune », pour les expéditeurs de gros volumes (plus de 5 000 e-mails/jour), ne devrait pas trop être complexe.
Moins de 10 % des noms de domaine en .FR ont déployé DMARC
En 2023, le registre des noms de domaine en .FR a mené une étude sur l’usage de SPF, DKIM et DMARC parmi les 4 millions de .FR.
Dans les conclusions de cette étude, l’AFNIC note que « moins de 10 % des noms de domaine publiés dans la zone .fr exploitent pleinement le DNS pour assurer l’authenticité de leurs envois d’e-mails ». Plus précisément, « DMARC reste peu déployé dans la zone .FR: 7,8 % des domaines publient une politique DMARC ».
Il est donc important de déployer DMARC afin que les emails arrivent aux titulaires d’emails de type Gmail et Yahoo. Si la jauge de 5 000 mails par jour peut paraître importante, il est probable que Google l’abaisse au fur et à mesure du déploiement de ces protocoles.
Par ailleurs, l’étude de l’AFNIC a démontré que « la proportion de noms de domaine en .FR protégés contre l’usurpation est très faible : seulement 1,3 % de toute la zone publie une politique DMARC p=reject ».
Ajouter le logo de votre marque aux e-mails que vous envoyez avec BIMI
BIMI (« Brand Indicators for Message Identification ») est une norme d’e-mails. Elle permet d’ajouter un logo de marque à des messages authentifiés envoyés depuis votre nom de domaine.
Les clients de messagerie compatibles avec BIMI (comme Gmail ou La Poste par exemple) affichent alors le logo de votre marque à côté de vos messages dans la boîte de réception.
Depuis 2022, Solidnames utilise BIMI pour adresser ses emails en @solidnames.fr auprès de ses interlocuteurs. Notre équipe technique propose également cette norme auprès des clients.
BIMI permet de valider les logos de marque et leur propriété grâce à des certificats de marque vérifiée appelées VMC. Ainsi, les destinataires sont sûrs que les logos affichés dans leur boîte de réception sont légitimes.
Un autre préalable à l’utilisation de BIMI nécessite que les messages soient authentifiés par DMARC.
DMARC doit alors être configuré en mode blocage (quarantaine ou rejet) et non en « none » (laissez-passer).
Les destinataires peuvent avoir confiance dans la légitimité des messages envoyés de votre structure. En effet, ils sont authentifiés avec DMARC et affichent le logo de votre marque à côté des messages provenant de votre organisation via BIMI.
Si vous souhaitez déployer SPF, DMARC et DKIM, ou même BIMI sur vos noms de domaine, n’hésitez pas à contacter Solidnames pour vous accompagner dans ces démarches.
