momius - stock.adobe.com

Administration Microsoft : stoppez le phishing avec DMARC

La gestion des échecs d’authentification DMARC permet aux administrateurs d’infrastructures Exchange de mieux lutter contre les attaques par courrier électronique. Cet article explique comment s’y prendre.

Les récentes mises à jour de Microsoft concernant la gestion des politiques DMARC offrent aux administrateurs davantage de possibilités pour empêcher les e-mails malveillants d’atteindre leurs utilisateurs.

DMARC, ou Domain-based Message Authentication, Reporting and Conformance, est un protocole d'authentification des e-mails conçu pour empêcher les attaques de spoofing et de phishing en vérifiant la légitimité du domaine de l'expéditeur. Microsoft a récemment ajusté le traitement de certains paramètres dans les politiques DMARC dans Exchange Online, sur Microsoft 365, pour entraver ces menaces basées sur le courrier électronique.

Les clients disposent désormais d’un contrôle plus strict sur les e-mails qui échouent à la validation DMARC et d’une meilleure visibilité sur les activités potentiellement malveillantes, grâce à des fonctionnalités de reporting améliorées. Cet article explique ce qu’il y a de nouveau dans la gestion des politiques DMARC et comment personnaliser les paramètres pour votre entreprise.

Comment DMARC protège-t-il l’entreprise ?

DMARC contribue à l’authentification d’un courrier électronique lorsque l’administrateur Exchange du domaine d’envoi configure une politique DMARC dans ses enregistrements DNS, indiquant au domaine de réception comment traiter un courrier électronique qui échouerait aux contrôles d’authentification. Le domaine de réception vérifie la validité du courrier électronique entrant à l’aide de la politique DMARC de l’expéditeur.

Cette pratique coopérative permet d’éviter l’usurpation d’identité et de préserver l’intégrité de l’entreprise expéditrice.

Les éléments clés de DMARC sont les suivants :

  • Authentification. DMARC utilise Sender Policy Framework (SPF) et DomainKeys Identified Mail (DKIM) pour authentifier le courrier électronique. SPF vérifie que l’expéditeur est autorisé à utiliser un domaine spécifique, tandis que DKIM confirme la signature numérique du courrier électronique. La validation du domaine de l’expéditeur empêche l’utilisation non autorisée d’un nom de domaine et réduit les tentatives d’hameçonnage qui reposent sur l’usurpation d’identité de domaines légitimes. Le DKIM vérifie que le courrier électronique n’a pas été altéré au cours de son acheminement.
  • Politique. Les propriétaires de domaines définissent des politiques DMARC pour contrôler la manière dont les serveurs de messagerie doivent traiter les messages qui échouent aux contrôles d’authentification ; les options sont la surveillance, la mise en quarantaine ou le rejet du courrier électronique. Cette pratique permet de réduire le risque qu’un message malveillant atteigne la boîte de réception d’un utilisateur.
  • Rapports. Les rapports DMARC donnent des indications sur le trafic de courrier électronique provenant du domaine, par exemple sur les messages qui ont réussi ou échoué à l’authentification et sur les sources de ces messages. Ces rapports aident les entreprises à identifier les sources potentielles d’abus et à affiner leurs mesures de sécurité en conséquence.

En réduisant les tentatives d’usurpation et l’utilisation non autorisée d’un domaine, DMARC atténue les attaques de phishing, qui semblent provenir de sources légitimes pour inciter les destinataires à divulguer des informations sensibles ou à effectuer des actions malveillantes.

En 2023, Microsoft a renforcé la rigueur des paramètres de sa politique DMARC pour ses domaines afin de respecter la politique de rejet de DMARC et de bloquer le courrier électronique. Avant ces changements, si un e-mail échouait à l’authentification DMARC et que la politique DMARC était réglée sur « reject », l’e-mail pouvait encore atteindre l’utilisateur en allant dans son dossier « junk » ou « spam » parce que Microsoft traitait la politique « reject » comme une politique de quarantaine. Cela pourrait exposer l’entreprise à des risques en transmettant à l’utilisateur des tentatives d’hameçonnage.

Si l’entreprise expéditrice dispose d’une politique de rejet pour les e-mails qui échouent à l’authentification, elle reçoit un rapport de non-remise avec une brève description de la raison pour laquelle l’e-mail n’a pas été transmis.

Le paramètre par défaut de Microsoft sur Microsoft 365 est d’honorer la politique DMARC de l’expéditeur, mais les administrateurs peuvent le remplacer dans la section « Politique anti-hameçonnage » du portail d’administration. Par exemple, si l’entreprise subit une forte attaque de phishing, l’administrateur peut vouloir mettre en place une politique plus stricte, comme une règle de mise en quarantaine de tous les e-mails provenant d’un certain domaine.

DMARC n’est qu’un élément d’une stratégie globale de sécurité du courrier électronique. La combinaison de DMARC avec d’autres mesures, telles que la formation des employés, les outils anti-phishing, les évaluations de sécurité régulières et l’authentification multifactorielle, renforce la défense d’une entreprise contre les attaques basées sur le courrier électronique.

Comment fonctionnent les politiques DMARC ?

Une politique DMARC est utile pour l’entreprise qui envoie les messages en empêchant les acteurs malveillants d’usurper le domaine, en s’assurant que les messages arrivent dans la boîte de réception plutôt que dans un dossier indésirable, et en donnant à l’administrateur Exchange des indications sur la raison de l’échec de l’authentification des messages et sur la manière d’y remédier.

La mise en place d’une politique DMARC se fait en quelques étapes. Tout d’abord, vous devez comprendre votre infrastructure de messagerie : comment votre entreprise envoie des e-mails, les domaines utilisés et les méthodes d’authentification employées.

Travailler avec DMARC nécessite une expertise technique en matière de gestion DNS et de protocoles d’authentification du courrier électronique afin de configurer correctement DMARC pour les besoins spécifiques de votre entreprise, tout en minimisant le risque d’interruption du flux de courrier électronique légitime. Pour les administrateurs qui ne sont pas familiarisés avec DMARC, utilisez un outil d’analyse DMARC pour vérifier la configuration de votre politique DMARC.

Créez un enregistrement DMARC TXT dans les paramètres DNS de votre domaine. Cet enregistrement contient les règles de traitement des e-mails dont l’authentification DMARC échoue et indique la méthode de rapport préférée pour vérifier et examiner ces erreurs :

  • Définissez votre politique DMARC. Décidez de surveiller, de mettre en quarantaine ou de rejeter un e-mail dont l’authentification DMARC échoue. Spécifiez-le dans la politique DMARC avec les balises suivantes : p=none (surveillance uniquement), p=quarantine (mise en quarantaine des e-mails ayant échoué) ou p=reject (rejet des e-mails ayant échoué).
  • Décidez d’une préférence pour les rapports. Déterminez où envoyer les rapports DMARC. Utilisez les balises rua (rapports globaux) et ruf (rapports judiciaires) pour spécifier les adresses électroniques des destinataires.

Les rapports agrégés utilisent la balise rua (Reporting URI for Aggregate). Ces rapports fournissent une vue d’ensemble du trafic de messagerie du domaine et incluent des informations sur les résultats de l’authentification. L’analyse de ces rapports permet d’identifier les sources d’envoi, l’état de l’authentification et les problèmes potentiels.

Les rapports forensiques utilisent la balise ruf (Reporting URI for Forensic). Ces rapports fournissent des informations détaillées sur des messages échoués spécifiques, y compris les en-têtes et le contenu des messages. Ces rapports aident à diagnostiquer les problèmes liés aux échecs d’authentification ou à identifier les e-mails malveillants.

Mettez progressivement en œuvre DMARC. Commencez par une politique « aucun » (p=none) pour surveiller l’acheminement du courrier électronique. Examinez les rapports générés pour identifier les expéditeurs légitimes et les sources d’échec de l’authentification.

Ensuite, appliquez une politique plus stricte. En fonction de la phase de surveillance, ajustez votre politique DMARC en mode « quarantaine » (p=quarantine) ou « rejet » (p=reject) pour une meilleure protection. Veillez à ce que les sources légitimes s’alignent sur votre politique afin d’éviter les interruptions de courrier électronique.

Examinez régulièrement les rapports DMARC pour éviter les problèmes de messagerie. Ajustez les politiques si nécessaire pour maintenir la sécurité sans affecter les communications légitimes.

Comment configurer une politique DMARC pour Microsoft 365 ?

Pour configurer une politique DMARC dans Microsoft 365, anciennement Office 365, procédez comme suit :

1/ Accédez au portail Microsoft Defender. Allez sur security.microsoft.com, et connectez-vous avec vos identifiants d’administrateur.

2/ Naviguez vers Politiques et règles > Politiques de lutte contre les menaces.

3/ Configurer DMARC. Sélectionnez Anti-phishing.

4/ Créez ou modifiez la politique DMARC. Cliquez sur l’icône + pour créer une nouvelle politique. Choisissez Nouvelle politique personnalisée ou modifiez une politique existante.

5/ Définissez les paramètres DMARC. Sous la nouvelle politique ou la politique existante, accédez à la section Paramètres. Configurez les paramètres DMARC suivants :

  • Appliquer la politique. Choisissez Quarantaine ou Rejet pour appliquer la politique DMARC. Commencez par Aucun à des fins de surveillance.
  • Options de rapport. Indiquez où vous souhaitez envoyer les rapports DMARC agrégés (rua) et forensiques (ruf).

6/ Finaliser la configuration de la politique DMARC. Après avoir configuré et vérifié les paramètres DMARC, enregistrez vos modifications.

7/ Activez le DMARC pour votre domaine. Utilisez l’application DMARC pour votre domaine en définissant l’enregistrement DMARC dans vos paramètres DNS. Obtenez l’enregistrement DMARC TXT généré par Microsoft 365 et ajoutez-le aux enregistrements DNS de votre domaine.

8/ Surveillez et ajustez. Vérifiez régulièrement les rapports DMARC pour voir comment la politique affecte le flux de courrier électronique. Ajustez la politique en fonction des résultats de la surveillance.

Comment vérifier les rapports sur la politique DMARC ?

Pour vérifier les paramètres DMARC et examiner les échecs d’authentification et d’autres informations concernant le courrier électronique, assurez-vous que la configuration de la politique DMARC inclut la génération de rapports et l’adresse ou les adresses de courrier électronique à laquelle ou auxquelles les rapports doivent être envoyés. Les rapports DMARC sont généralement envoyés au format XML.

Ils contiennent des informations détaillées sur l’authentification du courrier électronique, notamment les résultats de réussite ou d’échec et les adresses IP des sources d’envoi. Microsoft ne propose pas d’outil d’analyse DMARC dédié, mais plusieurs outils et services en ligne peuvent aider à interpréter les résultats des rapports DMARC. Des fournisseurs tels que Dmarcian, URIports et EasyDMARC proposent des outils pour traiter ces données.

Examinez régulièrement les rapports pour identifier les tendances, les sources d’échec de l’authentification ou les tentatives potentielles d’usurpation d’identité.

Prenez des mesures pour remédier aux échecs d’authentification, par exemple en ajustant les enregistrements SPF et DKIM et en enquêtant sur les sources suspectes.

En analysant régulièrement les rapports DMARC et en utilisant des outils pour interpréter les données, vous pouvez obtenir des informations sur la santé de votre écosystème de messagerie, identifier les menaces et prendre les mesures appropriées pour améliorer l’authentification et la sécurité de la messagerie.

Pour approfondir sur Cyberdéfense