Mise en conformité au protocole d'authentification DMARC dans Amazon SES - Amazon Simple Email Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Mise en conformité au protocole d'authentification DMARC dans Amazon SES

L'authentification, le reporting et la conformité des messages basés sur le domaine (DMARC) est un protocole d'authentification des e-mails qui utilise le Sender Policy Framework (SPF) et le courrier DomainKeys identifié (DKIM) pour détecter l'usurpation d'e-mail et le phishing. Pour être conformes au DMARC, les messages doivent être authentifiés par le biais du SPF ou du DKIM, mais idéalement, lorsque les deux sont utilisés avec le DMARC, vous garantissez le plus haut niveau de protection possible pour l'envoi de vos e-mails.

Passons brièvement en revue ce que fait chacun d'eux et comment le DMARC les lie tous ensemble :

  • SPF — Identifie les serveurs de messagerie autorisés à envoyer des e-mails au nom de votre domaine MAIL FROM personnalisé via un enregistrement DNS TXT utilisé par le DNS. Les systèmes de messagerie des destinataires se réfèrent à l'enregistrement TXT SPF pour déterminer si un message provenant de votre domaine personnalisé provient d'un serveur de messagerie autorisé. Fondamentalement, le SPF est conçu pour aider à prévenir l'usurpation d'identité, mais il existe des techniques d'usurpation auxquelles le SPF est susceptible d'être utilisé dans la pratique. C'est pourquoi vous devez également utiliser le DKIM en même temps que le DMARC.

  • DKIM — Ajoute une signature numérique à vos messages sortants dans l'en-tête de l'e-mail. Les systèmes de réception de courrier électronique peuvent utiliser cette signature numérique pour vérifier si le courrier entrant est signé par une clé appartenant au domaine. Toutefois, lorsqu'un système de courrier électronique de réception transmet un message, l'enveloppe du message est modifiée de manière à invalider l'authentification SPF. Comme la signature numérique est conservée dans le message électronique parce qu'elle fait partie de l'en-tête du message, DKIM fonctionne même lorsqu'un message a été transféré entre les serveurs de messagerie (tant que le contenu du message n'a pas été modifié).

  • DMARC — Garantit l'alignement du domaine avec au moins l'un des formats SPF et DKIM. L'utilisation du SPF et du DKIM à elle seule ne garantit pas que l'adresse d'expéditeur est authentifiée (il s'agit de l'adresse e-mail que votre destinataire voit dans son client de messagerie). SPF vérifie uniquement le domaine spécifié dans l'adresse MAIL FROM (non vu par votre destinataire). DKIM vérifie uniquement le domaine spécifié dans la signature DKIM (également invisible pour votre destinataire). Le DMARC résout ces deux problèmes en exigeant que l'alignement des domaines soit correct sur le SPF ou sur le DKIM :

    • Pour que le SPF passe l'alignement DMARC, le domaine de l'adresse d'origine doit correspondre au domaine de l'adresse MAIL FROM (également appelé chemin de retour et adresse d'enveloppe d'origine). Cela est rarement possible avec le courrier transféré parce qu'il est supprimé ou lorsque le courrier est envoyé par le biais de fournisseurs de messagerie groupés tiers, car le chemin de retour (MAIL FROM) est utilisé pour les rebonds et les plaintes que le fournisseur (SES) suit à l'aide d'une adresse qu'il possède.

    • Pour que le DKIM passe l'alignement DMARC, le domaine spécifié dans la signature DKIM doit correspondre au domaine indiqué dans l'adresse d'origine. Si vous utilisez des expéditeurs ou des services tiers qui envoient du courrier en votre nom, vous pouvez le faire en vous assurant que l'expéditeur tiers est correctement configuré pour la signature DKIM et que vous avez ajouté les enregistrements DNS appropriés dans votre domaine. Les serveurs de messagerie de réception seront alors en mesure de vérifier le courrier électronique qui leur est envoyé par votre tiers comme s'il s'agissait d'un e-mail envoyé par une personne autorisée à utiliser une adresse du domaine.

Tout mettre en place avec le DMARC

Les contrôles d'alignement DMARC dont nous avons parlé ci-dessus montrent comment SPF, DKIM et DMARC fonctionnent tous ensemble pour renforcer la confiance dans votre domaine et la livraison de vos e-mails dans les boîtes de réception. Pour ce faire, le DMARC s'assure que l'adresse de provenance, vue par le destinataire, est authentifiée par le SPF ou le DKIM :

  • Un message passe le DMARC si l'un ou les deux contrôles SPF ou DKIM décrits sont réussis.

  • Un message échoue au DMARC si les deux contrôles SPF ou DKIM décrits échouent.

Par conséquent, le SPF et le DKIM sont tous deux nécessaires pour que le DMARC ait les meilleures chances d'authentifier votre courrier électronique envoyé, et en utilisant les trois, vous contribuerez à garantir un domaine d'envoi entièrement protégé.

Le DMARC vous permet également d'indiquer aux serveurs de messagerie comment traiter les e-mails lorsqu'ils échouent à l'authentification DMARC grâce à des politiques que vous définissez. Cela sera expliqué dans la section suivanteConfiguration de la stratégie DMARC sur votre domaine, qui contient des informations sur la façon de configurer vos domaines SES afin que les e-mails que vous envoyez soient conformes au protocole d'authentification DMARC via SPF et DKIM.

Configuration de la stratégie DMARC sur votre domaine

Pour configurer DMARC, vous devez modifier les paramètres DNS de votre domaine. Les paramètres DNS de votre domaine doivent inclure un registre TXT qui spécifie les paramètres DMARC du domaine. Les procédures d'ajout de registres TXT à votre configuration DNS dépendent du fournisseur DNS ou d'hébergement que vous utilisez. Si vous utilisez Route 53, veuillez consulter Utilisation des registres dans le Guide du développeur Amazon Route 53. Si vous utilisez un autre fournisseur, consultez la documentation de configuration DNS de celui-ci.

Le nom de le registre TXT que vous créez doit être _dmarc.example.com, où example.com est votre domaine. La valeur de le registre TXT contient la stratégie DMARC qui s'applique à votre domaine. Voici un exemple de registre TXT qui contient une stratégie DMARC :

Nom Type Valeur
_dmarc.example.com TXT "v=DMARC1;p=quarantine;rua=mailto:my_dmarc_report@example.com"

Dans l'exemple de politique DMARC précédent, cette politique indique aux fournisseurs de messagerie de faire ce qui suit :

  • Pour tous les messages dont l'authentification échoue, envoyez-les dans le dossier Spam comme indiqué par le paramètre de politique,p=quarantine. Les autres options incluent le fait de ne rien faire en utilisantp=none, ou de rejeter purement et simplement le message en utilisantp=reject.

  • Envoyez des rapports sur tous les e-mails dont l'authentification a échoué dans un résumé (c'est-à-dire un rapport qui agrège les données pour une certaine période, plutôt que d'envoyer des rapports individuels pour chaque événement) comme spécifié par le paramètre de rapport rua=mailto:my_dmarc_report@example.com (rua signifie Reporting URI for Aggregate reports). En règle générale, les fournisseurs de messagerie envoient ces rapports consolidés une fois par jour, même si ces stratégies diffèrent d'un fournisseur à l'autre.

Pour en savoir plus sur la configuration DMARC pour votre domaine, consultez sa présentation sur le site web DMARC.

Pour les spécifications complètes du système DMARC, voir le projet DMARC de l'Internet Engineering Task Force (IETF).

Bonnes pratiques pour la mise en œuvre du DMARC

Il est préférable de mettre en œuvre l'application de votre politique DMARC de manière progressive et progressive afin de ne pas interrompre le reste de votre flux de messagerie. Créez et mettez en œuvre un plan de déploiement qui suit ces étapes. Effectuez chacune de ces étapes d'abord avec chacun de vos sous-domaines, puis avec le domaine de premier niveau de votre organisation avant de passer à l'étape suivante.

  1. Surveillez l'impact de la mise en œuvre du DMARC (p=none).

    • Commencez par un simple enregistrement en mode surveillance pour un sous-domaine ou un domaine qui demande aux organisations de réception de courrier de vous envoyer des statistiques sur les messages qu'elles voient en utilisant ce domaine. Un enregistrement en mode surveillance est un enregistrement TXT DMARC dont la politique est définie sur aucune. p=none

    • Les rapports générés par le biais du DMARC indiqueront les numéros et les sources des messages qui passent ces contrôles, par rapport à ceux qui ne le sont pas. Vous pouvez facilement voir quelle part de votre trafic légitime est ou n'est pas couverte par eux. Vous verrez des signes de transfert, car les messages transférés échoueront au SPF et au DKIM si le contenu est modifié. Vous commencerez également à voir combien de messages frauduleux sont envoyés et d'où ils proviennent.

    • Les objectifs de cette étape sont de savoir quels e-mails seront affectés lorsque vous mettrez en œuvre l'une des deux étapes suivantes, et de faire en sorte que les expéditeurs tiers ou autorisés alignent leurs politiques SPF ou DKIM.

    • Idéal pour les domaines existants.

  2. Demandez aux systèmes de messagerie externes de mettre en quarantaine les messages qui ne répondent pas au DMARC (p=quarantine).

    • Lorsque vous pensez que la totalité ou la majeure partie de votre trafic légitime est envoyée par un domaine correspondant au SPF ou au DKIM, et que vous comprenez l'impact de la mise en œuvre du DMARC, vous pouvez mettre en œuvre une politique de quarantaine. Une politique de quarantaine est un enregistrement TXT DMARC dont la politique est définie pour être mise en quarantainep=quarantine. Ce faisant, vous demandez aux destinataires du DMARC de placer les messages de votre domaine qui ne répondent pas au DMARC dans l'équivalent local d'un dossier de spam plutôt que dans les boîtes de réception de vos clients.

    • Idéal pour les domaines de transition qui ont analysé les rapports DMARC au cours de l'étape 1.

  3. Demandez aux systèmes de messagerie externes de ne pas accepter les messages qui ne répondent pas au DMARC (p=reject).

    • La mise en œuvre d'une politique de rejet est généralement la dernière étape. Une politique de rejet est un enregistrement TXT DMARC dont la politique est définie pour rejeterp=reject. Ce faisant, vous demandez aux destinataires du DMARC de ne pas accepter les messages qui échouent aux vérifications DMARC. Cela signifie qu'ils ne seront même pas placés en quarantaine dans un dossier de spam ou de courrier indésirable, mais qu'ils seront purement et simplement rejetés.

    • Lorsque vous utilisez une politique de rejet, vous saurez exactement quels messages ne sont pas conformes à la politique DMARC, car le rejet entraînera un rebond SMTP. Dans le cas de la quarantaine, les données agrégées fournissent des informations sur les pourcentages d'e-mails réussis ou échoués aux contrôles SPF, DKIM et DMARC.

    • Idéal pour les nouveaux domaines ou les domaines existants qui ont suivi les deux étapes précédentes.

Conformité à DMARC via SPF

Pour qu'un e-mail soit conforme à DMARC basé sur SPF, les deux conditions suivantes doivent être remplies :

  • Le message doit passer une vérification SPF basée sur un enregistrement SPF (type TXT) valide que vous devez publier dans la configuration DNS de votre domaine MAIL FROM personnalisé.

  • Le domaine indiqué dans l'adresse From de l'en-tête de l'e-mail doit correspondre au domaine, ou à un sous-domaine de, spécifié dans l'adresse MAIL FROM. Pour que le SPF soit aligné sur SES, la politique DMARC du domaine ne doit pas spécifier de politique SPF stricte (aspf=s).

Pour se conformer à ces exigences, complétez les étapes suivantes :

  • Configurez un domaine MAIL FROM personnalisé en exécutant les procédures de Utilisation d'un domaine MAIL FROM personnalisé.

  • Assurez-vous que votre domaine d'envoi utilise une stratégie souple pour SPF. Si vous n'avez pas modifié l'alignement des politiques de votre domaine, celui-ci utilise une politique souple par défaut, comme le fait SES.

    Note

    Vous pouvez déterminer l'alignement DMARC de votre domaine pour SPF en tapant la commande suivante sur la ligne de commande et en remplaçant example.com par votre domaine :

    dig -type=TXT _dmarc.example.com

    Dans le résultat de la commande, sous Non-authoritative answer, recherchez un registre qui commence par v=DMARC1. Si cet registre inclut la chaîne aspf=r, ou si la chaîne aspf n'est pas du tout présente, votre domaine utilise l'alignement souple pour SPF. Si le registre inclut la chaîne aspf=s, votre domaine utilise l'alignement strict pour SPF. Votre administrateur système doit supprimer cette balise de le registre TXT DMARC dans la configuration DNS de votre domaine.

    Vous pouvez également utiliser un outil de recherche DMARC basé sur le Web, tel que le DMARC Inspector du site Web de dmarcian ou l'outil de vérification DMARC du site MxToolBox Web, pour déterminer l'alignement des politiques de votre domaine en matière de SPF.

Conformité à DMARC via DKIM

Pour qu'un e-mail soit conforme à DMARC basé sur DKIM, les deux conditions suivantes doivent être remplies :

  • Le message doit comporter une signature DKIM valide et réussir le contrôle DKIM.

  • Le domaine spécifié dans la signature DKIM doit être aligné (correspondre) au domaine indiqué dans l'adresse d'origine. Si la politique DMARC du domaine spécifie un alignement strict pour le DKIM, ces domaines doivent correspondre exactement (SES utilise une politique DKIM stricte par défaut).

Pour se conformer à ces exigences, complétez les étapes suivantes :

  • Configurez Easy DKIM en effectuant les procédures d' Easy DKIM dans Amazon SES. Lorsque vous utilisez Easy DKIM, Amazon SES signe automatiquement vos e-mails.

    Note

    Plutôt que d'utiliser Easy DKIM, vous pouvez également signer manuellement vos messages. Cependant, vous devez être prudent si vous choisissez de le faire, car Amazon SES ne valide pas la signature DKIM que vous construisez. Pour cette raison, nous recommandons vivement d'utiliser Easy DKIM.

  • Assurez-vous que le domaine spécifié dans la signature DKIM est aligné sur le domaine indiqué dans l'adresse d'origine. Ou, si vous envoyez depuis un sous-domaine du domaine indiqué dans l'adresse d'origine, assurez-vous que votre politique DMARC est définie de manière à assouplir l'alignement.

    Note

    Vous pouvez déterminer l'alignement DMARC de votre domaine pour DKIM en tapant la commande suivante sur la ligne de commande et en remplaçant example.com par votre domaine :

    dig -type=TXT _dmarc.example.com

    Dans le résultat de la commande, sous Non-authoritative answer, recherchez un registre qui commence par v=DMARC1. Si cet registre inclut la chaîne adkim=r, ou si la chaîne adkim n'est pas du tout présente, votre domaine utilise l'alignement souple pour DKIM. Si le registre inclut la chaîne adkim=s, votre domaine utilise l'alignement strict pour DKIM. Votre administrateur système doit supprimer cette balise de le registre TXT DMARC dans la configuration DNS de votre domaine.

    Vous pouvez également utiliser un outil de recherche DMARC basé sur le Web, tel que le DMARC Inspector sur le site Web de dmarcian ou l'outil de vérification DMARC sur le site MxToolBox Web, pour déterminer l'alignement des politiques de votre domaine pour le DKIM.