Comme tous les mois maintenant, je vous partage aujourd’hui notre monitoring des données DMARC pour le mois de septembre 2021 !
Pour résumé : Aujourd’hui, suite à notre migration de messagerie électronique, nous avons passé notre politique de sécurité DMARC de « quarantine » à « none » pour être sûr qu’aucun flux e-mail ne soit impacté. Par la suite, nous repasserons avec un niveau « quarantine » pour protéger un minimum notre nom de domaine.
Nous avons, à terme, deux objectifs pour 2021 :
- Passer notre politique de sécurité à « reject » : nous demanderions alors à tout organisme interprétant DMARC de rejeter les e-mails ayant une mauvaise authentification SPF & DKIM.
- Légitimer tous nos flux e-mails (et oui, nous utilisons plusieurs outils distincts pour chaque typologie d’envoi – comprenez, nous n’avons pas tous nos œufs dans le même panier :p).
Appliquer un alignement SPF & DKIM « strict » au lieu de « relaxed » (comprenez « souple ») : On brande TOUT en Badsender.com !
Ce 3ème point est trop compliqué à mettre en place (cf. point n°2), on restera en « relaxed » puisque tous nos flux légitimes seront brandés avec un sous-domaine de Badsender.com. Et si un jour les choses changent… On étudiera un passage vers un alignement strict !
Nous sommes conscients que ça va prendre du temps et de l’énergie mais ce n’est pas infaisable ! Et puis, si ça nous permet de réduire les risques d’utilisation de notre nom de domaine, le jeu en vaut la chandelle.
Allez, on rentre dans le vif du sujet… Bonne lecture 🙂
Taux de conformité de septembre 2021
Pour être conforme DMARC, l’e-mail doit renvoyer un enregistrement SPF ou DKIM correctement authentifié et correctement aligné (souple ou strict).
Voici nos résultats depuis le début de l’année 2021 et en particulier pour le mois de septembre où l’activité e-mail a repris du poil de la bête :
| Badsender.com | Volumes | Conforme | Non Conforme | Non Authentifié |
| Septembre 2021 | 4 912 | 99,8% | 0,2% | 0,0% |
| Août 2021 | 1 711 | 99,8% | 0,1% | 0,1% |
| Juillet 2021 | 2 124 | 82,6% | 5,6% | 11,8% |
| Juin 2021 | 4 717 | 99,6% | 0,2% | 0,2% |
| Mai 2021 | 3 900 | 99,7% | 0,1% | 0,2% |
| Avril 2021 | 4 214 | 99,4% | 0,1% | 0,5% |
| Mars 2021 | 3 549 | 99,1% | 0,9% | 0,0% |
| Février 2021 | 5 221 | 99,8% | 0,2% | 0,0% |
| Janvier 2021 | 4 843 | 98,0% | 1,9% | 0,1% |
Avec le volume le plus fort depuis l’année 2021, le taux de conformité DMARC en septembre reste très bon voire très proche des 100%. Seulement 11 e-mails ne sont pas conformes et/ou ont été non-authentifiés à DMARC sur le mois de septembre !
Authentification & alignement SPF & DKIM
Pour qu’un e-mail soit correctement authentifié avec SPF, il faudra que l’IP utilisée soit bien déclarée dans l’enregistrement SPF du domaine de l’enveloppe de l’e-mail (comprenez ici le domaine du MailFrom/Return-path – visible dans l’entête SMTP d’un e-mail).
Que dire sur ce mois de septembre à part que nous avons un des meilleurs taux de l’année, avec plus de 97% des e-mails ayant une authentification SPF valide ^^
Et pour qu’un e-mail soit correctement aligné avec SPF, il faudra que le domaine de l’enveloppe de l’e-mail (ici le MailFrom/Return-path) soit identique ou issu d’un sous-domaine du domaine FROM (cf. domaine de l’adresse expéditrice).
Notre taux d’alignement SPF sur septembre reste plutôt très bon, avec un taux à quasi 93% mais il reste encore perfectible. Nous devrons étudier les sources remontant un problème d’alignement SPF et les corriger si cela nous est possible.
Pour qu’un e-mail soit correctement authentifié avec DKIM, il faudra que l’e-mail comporte une signature DKIM valide (Peu importe le domaine utilisé dans la déclaration du « d= »).
RAS. Que dire ici mis à part qu’on frôle sur ce mois de septembre le 100% d’authentification DKIM !
Besoin d'aide ?
Lire du contenu ne fait pas tout. Le mieux, c’est d’en parler avec nous.
En ce qui concerne l’alignement DKIM, pour qu’un e-mail soit correctement aligné, il faudra alors que le domaine déclaré dans la signature DKIM (contenu dans le « d= ») soit identique ou issu du sous-domaine du domaine FROM (cf. domaine de l’adresse expéditrice).
Concernant le taux d’alignement DKIM pour le mois de septembre, il est plutôt pas mal, avec un taux à 97,3%. Comme les taux précédents, il reste perfectible mais nous sommes bien loin du score du mois de juillet.
Dernier taux lié à DKIM, le taux d’e-mails non-signés (et oui il y en a encore). Il s’agit des e-mails ne comportant aucune signature DKIM.
RAS pour le taux d’e-mails non signés avec DKIM. On retrouve le taux que nous avons quasi toujours eu depuis le début de l’année !
Répartition des e-mails non-conformes & non-authentifiés
Voici la liste des « Sender rDNS » (comprenez ici le nom de domaine qui est associé à une IP) remontés comme « non-conformes » sur le mois de septembre 2021 :
| Organisation | Sender rDNS | Catégorie | Volumes | Pourcentage | Source | Action |
| Microsoft | *.outlook.com | Webmail | 4 | 44% | Inconnu | Aucune action |
| OVH | *.ovh.net | Hosting | 3 | 33% | Inconnu | Aucune action |
| *.google.com | Webmail | 2 | 22% | Inconnu | Aucune action |
Pas grand-chose à dire pour ce mois de septembre, seulement 9 e-mails non-conformes et pas de mise en conformité requise.
Et la liste des « Sender rDNS » remontés comme « non-authentifiés » :
| Organisation | Sender rDNS | Catégorie | Volumes | Pourcentage | Source | Action |
| ? | *.nspu.ru | ? | 1 | 50% | Inconnu | Aucune action |
| Microsoft | *.outlook.com | Webmail | 1 | 50% | Inconnu | Aucune action |
Idem pour les flux « non-authentifiés », seulement 2 remontées sur le mois de septembre et aucune intervention à faire.
Tendance des erreurs SPF & DKIM
Nous avons la possibilité de savoir sur chaque « Sender rDNS » quelles sont les problématiques que nous avons rencontrés et qui seront à corriger.
Voici ci-dessous les tendances remontées sur les erreurs SPF & DKIM pour le mois de septembre 2021 :
Tendance des erreurs SPF les plus fréquentes
Sur le mois de septembre, 242 e-mails remontent un problème d’alignement SPF, 68 e-mails remontent SPF en échec, 9 e-mails remontent aucun enregistrement SPF et 2 e-mails remontent une erreur temporaire avec SPF.
Tendance des erreurs DKIM les plus fréquentes
Du côté des erreurs DKIM sur le mois de septembre, 106 e-mails remontent un problème d’alignement avec DKIM, 25 e-mails remontent un problème d’authentification DKIM, 16 e-mails remontent un problème temporaire avec DKIM, 2 e-mails remontent aucun enregistrement DKIM et 1 e-mail avec une erreur permanente.
Notre feuille de route pour la fin de l’année !
Comme nous avons enfin migré (il reste quelques petits ajustements à réaliser) notre message d’Outlook vers Infomaniak, je vais pouvoir nous concentrer sur notre conformité DMARC sur la fin de l’année, ce qui amène les objectifs suivants :
- Corriger les flux devant être conforme à DMARC : ceux avec SPF non-conforme ou DKIM non-conforme.
- Passer notre politique de sécurité DMARC à « quarantine » puis « reject » avant la fin de l’année.
Conclusion
Comme vous avez pu le constater dans les chiffres de septembre, nous n’avons pas eu de mauvaises surprises sur notre migration d’infrastructure mais aussi de tiers malveillant (ce qui est toujours rassurant :p). On va pouvoir analyser les flux e-mails qui ont encore une défaille au niveau de SPF ou de DKIM pour être totalement d’équerre. C’est un travail de fourni qui va prendre du temps 🙂
Nos autres contenus liés à DMARC (de près ou de loin) :
- Monitoring DMARC de Juillet-août 2021
- Monitoring DMARC de Juin 2021
- Monitoring DMARC de Mai 2021
- Monitoring DMARC de Avril 2021
- Monitoring DMARC de Mars 2021
- Monitoring DMARC de Février 2021
- Monitoring DMARC de Janvier 2021
- Monitoring DMARC de Décembre 2020
- Monitoring DMARC d’Octobre vs. Novembre 2020
- Tech 2021 #02 | Et si vous déployez DMARC en 2021 sur votre nom de domaine ?
- Notre Livre Blanc sur le déploiement de DMARC
- Tout savoir sur SPF en 3 articles :
- Tout savoir sur DKIM (1 article seulement) :
- Presque tout savoir sur ARC (1 article pour le moment) :
