Badsender

Microsoft applique dorénavant les politiques de sécurité DMARC

  • , mis à jour le 

Restez informé·e via les newsletters de Badsender

Chaque mois, nous publions une newsletter sur l’email marketing et une infolettre sur la sobriété et le marketing. En savoir plus.

Votre adresse email ne sera jamais communiquée à un tiers. Vous pourrez vous désabonner à tout moment en un seul clic.

Le 19 juillet dernier, Microsoft annonçait sur le blog Exchange d’importants changements dans la gestion de leur politique DMARC ! Ces changements vont affecter en même temps les services de messagerie de leurs clients particuliers et professionnels.

Les objectifs de DMARC

Pour rappel, Domain-based Message Authentication, Reporting & Conformance (ou DMARC) est une norme qui va s’appuyer sur la vérification des systèmes d’authentifications SPF & DKIM afin de déterminer une politique de sécurité (NONE ; QUARANTINE ; REJECT) à appliquer en cas d’échec de DMARC.

La non-conformité avec DMARC s’explique par :

  • Une mauvaise configuration de SPF et DKIM par l’entreprise
  • Une utilisation frauduleuse du domaine expéditeur de l’entreprise par un tiers malveillant

Les principaux objectifs de DMARC sont de :

  • Protéger le nom de domaine contre l’usurpation d’identité.
  • Fournir des rapports d’authentifications des domaines (domaine principal et sous-domaines) aux entreprises. Ces rapports sont fournis par des tiers comme des FAI / Webmails et entreprises.

«  Si vous n’avez pas encore déployer DMARC sur votre domaine principal, je vous invite à prendre connaissance de notre guide dédié à ce sujet. »

La gestion de DMARC chez Microsoft, Gmail et Yahoo

Là où ses principaux concurrents appliquent déjà la politique de sécurité définit dans l’enregistrement DMARC en cas d’échec, Microsoft – depuis leur annonce – a modifié sa gestion de DMARC ! Ainsi, si un e-mail reçu n’est pas conforme à DMARC, Microsoft appliquera dorénavant la valeur définie dans l’attribut P (p=quarantine ou p=reject) de l’enregistrement DMARC du domaine expéditeur (domaine FROM).

Note : la valeur NONE (p=none) ne produit aucune action et donc rien ne bougera.

J’ai testé sur mon nom de domaine l’envoi de 2 campagnes depuis mon compte Brevo avec une authentification SPF valide mais non aligné avec mon domaine expéditeur et j’ai volontairement supprimé la clé publique de DKIM (fournie initialement par Brevo) pour générer un DMARC=fail sur mes envois à destination de mes adresses Outlook.fr, Yahoo.com, Gmail.com. Ceci me permettra de vérifier que font Microsoft, Gmail et Yahoo appliquent bien la politique de sécurité que j’ai défini !

Test 01 : Avec une politique DMARC p=quarantine

  • Outlook : L’e-mail a été placé en spam !

Authentication-Results: spf=pass (sender IP is 77.32.148.59) smtp.mailfrom=ig.d.sender-sib.com; dkim=fail (no key for signature) header.d=sficonsulting.email;dmarc=fail action=quarantine header.from=sficonsulting.email;compauth=fail reason=000

  • Gmail : Mon e-mail a été placé en spam et flaggé dangereux !
Gmail n'hésite pas à alerter ses utilisateurs en cas d'e-mails mal authentifié ou potentiellement dangereux !

Authentication-Results: mx.google.com; dkim=temperror (no key for signature) header.i=@sficonsulting.email header.s=mail header.b=iABVnDRa; dkim=pass header.i=@mailin.fr header.s=mail header.b=tDcfFbPc; spf=pass (google.com: domain of bounces-b7caw-yesreply=sficonsulting.email@ig.d.sender-sib.com designates 77.32.148.59 as permitted sender) smtp.mailfrom= »bounces-b7caw-yesreply=sficonsulting.email@ig.d.sender-sib.com »; dmarc=fail (p=QUARANTINE sp=QUARANTINE dis=QUARANTINE) header.from=sficonsulting.email

  • Yahoo : Mon e-mail a été placé en spam !

Authentication-Results: atlas-production.v2-mail-prod1-gq1.omega.yahoo.com; dkim=perm_fail header.i=@sficonsulting.email header.s=mail; dkim=pass header.i=@mailin.fr header.s=mail; spf=pass smtp.mailfrom=ig.d.sender-sib.com; dmarc=fail (p=QUARANTINE) header.from=sficonsulting.email;

Test 02 : Avec une politique DMARC p=reject

  • Outlook : Mon e-mail a été bouncé !

550 5.7.509 Access denied, sending domain [SFICONSULTING.EMAIL] does not pass DMARC verification and has a DMARC policy of reject.

Besoin d'aide ?

Lire du contenu ne fait pas tout. Le mieux, c’est d’en parler avec nous.


  • Gmail : Mon e-mail a été bouncé !

550-5.7.26 Unauthenticated email from sficonsulting.email is not accepted due to 550-5.7.26 domain’s DMARC policy. Please contact the administrator of 550-5.7.26 sficonsulting.email domain if this was a legitimate mail. Please 550-5.7.26 visit 550-5.7.26 https://support.google.com/mail/answer/2451690 to learn about the 550 5.7.26 DMARC initiative.

  • Yahoo : Mon e-mail a été bouncé !

554 5.7.9 Message not accepted for policy reasons.
See https://postmaster.yahooinc.com/error-codes

Avec cette série de tests, on s’aperçoit que Microsoft applique à la lettre la politique de sécurité définie dans le champ P du domaine expéditeur. Il en va de même pour Gmail et Yahoo. Un bon point pour la protection des noms de domaine !

Microsoft indique également dans son article dédié que le déploiement de cette nouvelle gestion a commencé depuis le 19 juillet et devrait se terminer à la mi-août ! (vous savez ce qu’il vous reste à faire surtout si vous n’êtes pas sûr de la conformité de tous vos flux e-mails :p).

Qui est concerné par la mesure de Microsoft ?

Tout l’éco-système Microsoft va – à terme (ndlr : mi-août) – bénéficier de cette mesure, j’entends par là les particuliers (Hotmail ; Outlook ; Live ; Msn.com) et toutes les entreprises utilisant les services de Microsoft. Ce qui veut dire que tous les flux gérés par Microsoft seront conformes à la norme DMARC et appliqueront la politique de sécurité !

› Les particuliers

Pour les utilisateurs du service gratuit, Microsoft appliquera la politique de sécurité définie sur le domaine expéditeur et rejettera tout e-mail non-conforme à DMARC (ndlr: le résultat du test 02 et le bounce fourni par Microsoft sur le p=reject), ce qui n’était pas encore le cas dernièrement (celui-ci était mis en spam au lieu d’être rejeté) !

Previously, Microsoft would treat a DMARC p=reject policy the same way as it did quarantine. The authentication-results header would show dmarc=fail action=oreject, which stands for override reject.

Microsoft Honors DMARC Enforcement Policies par Dmarcian

› Les entreprises

Pour les entreprises disposant d’un compte Microsoft 365 payant, elles auront la possibilité de choisir comment gérer les e-mails non-conformes à DMARC, à savoir les rejeter (p=reject) ou les mettre en spam (p=quarantine). À voir dans le futur si cette option est laissée en l’état ou annulée par Microsoft… Réponse d’ici la fin du déploiement !

Besoin d’aide dans votre déploiement DMARC ?

Vous n’avez pas encore déployé DMARC ou vous ne savez pas par où commencer ? Vous aimeriez justement durcir votre politique de sécurité DMARC mais vous n’êtes pas sûr que tous vos flux soient bien conformes ? Vous cherchez à mettre en place un outil de monitoring DMARC mais vous ne savez pas lequel choisir ?

Nous sommes là pour vous aider ! Au-delà du déploiement de DMARC, nous pouvons vous auditer et optimiser la sécurisation de vos noms domaines et flux e-mails.

N’hésitez pas à prendre contact avec nous 🙂

Soutenez l'initiative "Email Expiration Date"

Brevo et Cofidis soutiennent financièrement le projet. Rejoignez le mouvement et ensemble, responsabilisons l’industrie de l’email face à l’urgence climatique.

Je me renseigne
Partagez
L’auteur
Image de Sébastien Fischer
Sébastien Fischer
Sébastien est la principal intervenant autour des questions de délivrabilité dans l'équipe de Badsender. Il travaille sur le sujet depuis plus de 10 ans, et a passé toute sa carrière chez des routeurs dont Emailvision, Adobe Campaign ou Cabestan.
Toutes les publications

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *