Disponibilité

Le protocole est bien fait. Un nom de domaine peut avoir plusieurs serveurs faisant autorité sur une zone, et permet donc de distribuer la charge des requêtes. Cela permet aussi de palier à une indisponibilité d’un serveur, d’un réseau (IP/AS). Pour cela, il faut bien distribuer la configuration.

Il faut cependant bien veiller à configuration de ses serveurs DNS, pour ne pas qu’ils soient saturés de requêtes par du déni de service (DOS, rate-limit). Vous veillerez aussi à filtrer en amont le trafic avec ses opérateurs, pour éviter le déni de service distribué (DDoS).

Intégrité

DNSSEC (Domain Name System Security Extensions) est une extension DNS qui permet à un client de valider la réponse DNS sur les domaines et TLD pris en charge.

Les résolveurs vérifient la signature numérique des réponses DNS pour vérifier que les données correspondent à ce que le propriétaire de la zone a initialement configuré. Cela repose sur l’utilisation d’un chiffrement asymétrique et utilise donc un schéma utilisant deux clés: une clé privée et une clé publique. Le but de DNSSEC est de protéger contre l’empoisonnement de cache DNS (DNS cache poisoning)

Contrairement à d’autres protocoles comme TLS, il ne sécurise pas un canal de communication mais il protège les données, les enregistrements DNS, de bout en bout. Ainsi, il est efficace même lorsqu’un serveur intermédiaire trahit la réponse (ment).

Confidentialité

DoH et DoT établissent un tunnel sécurisé entre le client et le serveur DNS. Ils garantissent qu’un client reçoit des informations d’adresse IP précises, éliminant ainsi les opportunités pour les tiers de voir à quels sites Web un utilisateur tente d’accéder.

Pour assurer une confidentialité DNS maximale, DoH et DoT fonctionnent mieux en tandem avec DNSSEC et d’autres mesures de sécurité qui valident les autorités de certification SSL (CA) utilisées pour les connexions au site.

Différences entre DoT et DoH

DNS Over TLS comme son nom l’indique s’appuie sur le protocole TLS (Transport Layer Security).
De ce fait DoT fonctionne avec le protocole TCP avec comme port par défaut 853. Cela rend donc ce dernier assez facile à bloquer puisqu’il suffit d’interdire la connexion vers ce port sortant.

DNS Over HTTPs se base donc sur le chiffrement HTTPS qui fonctionnent en standard sur le port 443. Cela rend donc le blocage de ce dernier plus difficile puisqu’il se mélange avec le trafic HTTPS classique. Sachant qu’en plus, on peut le configurer sur le navigateur WEB, cela permet de contourner la configuration du poste.

En conclusion

Implémenter ces mesures de sécurité est incontournable pour la diffusion dans le DNS d’infomations comme des enregistrements SPF, des clés DKIM ou une politique DMARC.

BIMI coordonne les éditeurs de messageries électroniques (Gmail, Yahoo, Fastmail, …) et les propriétaires de noms de domaine pour permettre à ces derniers d’afficher leur logo directement au niveau de la boite email de leurs clients, c’est-à-dire, à côté du nom de l’émetteur.

Un enregistrement BIMI fonctionne comme un panneau de signalisation, indiquant à un destinataire l’emplacement où vous avez sauvegardé le fichier du logo. Il fait aussi référence à un certificat VMC ou CMC.

La participation à BIMI est volontaire. Pour vous inscrire en tant que volontaire, il vous suffit d’ajouter un enregistrement BIMI à votre DNS avec un lien vers votre logo préféré. Lorsqu’il vérifie la présence de DMARC dans votre courrier électronique, le destinataire recherche également un enregistrement BIMI dans votre DNS pour. BIMI ne fonctionne qu’à la condition stricte que la politique DMARC sur votre domaine soit de quarantaine ou de rejet. Lorsque le test DMARC s’avère positif pour ces conditions, votre message apparaîtra dans la boîte de réception avec votre logo. N’oubliez pas : La sécurité avant tout !

Vous avez besoin d’aide pour implémenter et exploiter efficacement DMARC, parlons-en.

S’appuyant sur des normes existantes, que sont SPF et DKIM, DMARC est la première et la seule technologie qui peut rendre l’en-tête “From” de domaine fiable.

Le propriétaire du domaine doit publier un enregistrement DMARC dans sa zone DNS et créer une politique indiquant aux destinataires ce qu’ils doivent faire des emails qui échouent à l’authentification. Il protège ainsi les autres de l’usurpation de son propre domaine.

Grâce à DMARC, la réciproque est vraie. En configurant ses passerelles de messagerie avec ce protocole, les propriétaires de domaines peuvent définir efficacement leurs pratiques d’authentification et déterminer les actions spécifiques à entreprendre lorsqu’un email entrant échoue à l’authentification. Ce puissant protocole d’authentification email aide les propriétaires de domaines à lutter contre une multitude de menaces de sécurité. 

Vous avez besoin d’aide pour implémenter et exploiter efficacement DMARC, parlons-en. Nous vous aidons à l’implémenter, et à le piloter à l’aide de tableaux de bord et de reporting mis à jour en temps réel, vous permettant de suivre et de faire évoluer votre niveau de conformité.