DMARCbis, communément appelé DMARC 2.0, est la prochaine révision du protocole d’authentification des e-mails DMARC. Développé par l’IETF et attendu comme norme proposée en 2025, DMARCbis résout les ambiguïtés de longue date de la spécification originale, introduit une méthode plus fiable d’évaluation de domaine et simplifie l’utilisation des balises. Les configurations DMARC existantes resteront valides, mais les organisations sont encouragées à les revoir afin de s’aligner sur ces améliorations et de bénéficier d’une sécurité et d’une interopérabilité accrues.

DMARCbis se trouve actuellement dans la phase « Last Call » de l’IETF et devrait être publié en 2025.

Qu’est-ce que DMARCbis ?

DMARCbis est la prochaine évolution du protocole DMARC (Domain-based Message Authentication, Reporting, and Conformance). Contrairement à son prédécesseur (RFC 7489), publié en tant que document informatif, DMARCbis devrait être adopté comme une norme officielle. Cela reflète l’importance croissante du protocole et son déploiement généralisé dans l’écosystème mondial de l’email.

Les principes fondamentaux restent inchangés : les propriétaires de domaine peuvent authentifier leurs sources d’e-mails, empêcher l’usurpation d’identité et obtenir une visibilité sur l’utilisation de leurs domaines. Cependant, la mise à jour vise à rendre le protocole plus facile à mettre en œuvre, plus précis dans l’alignement des domaines et plus clair dans ses directives.

Améliorations clés dans DMARCbis

Remplacement du PSL par une exploration de l’arborescence DNS
Le nouvel algorithme Tree Walk remplace la dépendance à la Public Suffix List (PSL) pour déterminer le domaine organisationnel. À la place, la hiérarchie DNS est utilisée directement, permettant un alignement plus précis et une prise en charge native de l’héritage des politiques. La recherche est limitée à huit niveaux, et les limites de domaine sont définies à l’aide de nouvelles balises telles que psd.

Structure de balises simplifiée
Pour réduire la confusion et la complexité de mise en œuvre, plusieurs balises sont remplacées, notamment les suivantes :

Spécification et clarté améliorées
La spécification DMARCbis a été restructurée avec un formatage plus cohérent, des définitions plus claires et de meilleurs exemples. Une nouvelle section décrit également ce qui constitue une « participation complète à DMARC », offrant aux propriétaires de domaines et aux destinataires une norme commune de conformité.

Compatibilité descendante
Le v=DMARC1 La balise v=DMARC1 reste inchangée afin de préserver la compatibilité. Les enregistrements DMARC existants et correctement configurés continueront de fonctionner tels quels, mais les organisations sont encouragées à les revoir et les ajuster pour les aligner avec les nouvelles directives.

Pourquoi cela est important

Bien que DMARCbis soit une évolution plutôt qu’une rupture, il apporte des améliorations significatives en matière de sécurité, de clarté opérationnelle et de gestion des domaines. En affinant l’alignement des domaines, en améliorant l’héritage des politiques et en offrant de meilleures directives, DMARCbis facilite la mise en œuvre et la gestion d’une authentification des e-mails robuste à grande échelle.

Pour les organisations utilisant déjà DMARC, la transition devrait être simple. Toutefois, comprendre et se préparer dès maintenant aux changements garantira une mise à jour plus fluide par la suite – et évitera les problèmes liés aux balises obsolètes ou aux sous-domaines mal configurés.

Comment se préparer

Les enregistrements v=DMARC1 existants restent valables et continueront d’être la norme lorsque les changements seront publiés. Cela dit, lorsque DMARCbis sera publié, les propriétaires de domaines devront revoir et mettre à jour leurs enregistrements DMARC pour profiter des changements.

Lorsque les mises à jour de DMARCbis seront publiées, vous pourrez examiner vos enregistrements DMARC pour vous assurer qu’ils sont conformes à la spécification DMARC modifiée :

• Suppression des balises obsolètes pct (pourcentage), rf (format de rapport) et ri (intervalle de rapport) ;
• Ajoutez les nouvelles balises np (non-existent policy), psd (Public Suffix Domains) et t (testing mode) décrites ci-dessus.

L’article DMARCbis : Qu’est-ce qui change ? est apparu en premier sur IRONIE.

Rebaptisée FortiMail Workspace, cette solution conserve son indépendance technique tout en s’intégrant à l’écosystème Fortinet. Elle ne dépend pas de FortiMail classique, mais s’aligne sur la vision globale de Fortinet pour sécuriser les canaux de communication modernes dans le cloud.

Trois briques complémentaires

1. FortiMail Cloud SaaS, pour la sécurisation avancée des emails (phishing, malware, BEC, ATO, zero-day)
2. Browser Security, qui transforme tout navigateur en espace de travail sécurisé contre les menaces web
3. Collaboration Security, dédiée à la protection des plateformes comme Teams, Slack, Google Drive, Salesforce, etc.

Cloud Native

FortiMail Workspace combine IA, Machine Learning, sandboxing avancé, OCR, NLP (Natural Language Processing) et un service managé de réponse aux incidents 24/7, le tout dans une architecture cloud-native. Disponible en modules ou en bundles, elle offre une couverture unifiée, rapide à déployer et conçue pour alléger la charge des équipes SOC.

Cette intégration sous l’étiquette Fortinet marque une étape stratégique : proposer une défense complète, lisible et efficace de vos environnements de travail numériques.

NB : La solution historique FortiMail, dans sa version Cloud, devient FortiMail Cloud Hosted.

Sécurité Email et navigateur

Corrélation des preuves multicanal pour bloquer les menaces les plus évasives
L’analyse des menaces du point de vue de l’utilisateur rend inefficaces les techniques d’évasion les plus avancées. Le géorepérage, les CAPTCHA, la protection par mot de passe ou les tactiques temporelles conçues pour échapper à la détection sont bloqués en temps réel dès que l’utilisateur rencontre le site web ou la charge utile malveillante dans son navigateur. Les preuves contextuelles recueillies dans les e-mails (par exemple, l’expéditeur, le domaine) sont exploitées pour améliorer la détection et la sensibilisation des utilisateurs aux attaques web, et inversement.

Remonter à la source des attaques et identifier les utilisateurs impactés
La combinaison des données de navigation en temps réel avec les événements de messagerie permet de relier facilement et visuellement les points et d’analyser l’impact d’une attaque ou d’un incident en cours :
Quels utilisateurs ont saisi leurs identifiants ? Qui a cliqué/téléchargé le contenu malveillant ? Quelles applications non autorisées mes employés utilisent-ils ?

Correction rapide des incidents liés aux navigateurs et aux e-mails + DLP
Correction plus rapide et plus efficace des utilisateurs victimes d’hameçonnage et des piratages de comptes grâce à la surveillance et à la visibilité des événements de connexion. Les fichiers ou URL malveillants analysés par l’extension sont automatiquement corrigés de toutes les boîtes de réception. Avertissez ou prévenez les utilisateurs finaux de l’exfiltration de données liées aux e-mails, auditez les pièces jointes sensibles (par exemple, les départs d’employés) et recevez des alertes DLP par e-mail.

L’article FortiMail Workspace est apparu en premier sur IRONIE.

C’est là qu’interviennent un certain nombre de protocoles, qu’il faut mettre en oeuvre sur son domaine, pour se protéger, et que les autres puissent vérifier ces éléments. Et d’autre part, que vos systèmes de messagerie puissent aussi vérifier les éléments de vos interlocuteurs. La protection réciproque permet alors de faire grandement reculer les menaces.

• SPF
• DKIM
• DMARC
• BIMI
• MTA-STS
• TLS-RPT

Ces protocoles participent aussi à une bonne déliverabilité de vos messages. La délivrabilité d’un email est le fait que l’email envoyé atteigne la boîte de réception de son destinataire.

• votre réputation : c’est-à-dire votre adresse IP, votre nom de domaine, … ;
• la fréquence d’envoi de vos emails ;
• le contenu de vos emails ;
• la qualité de votre liste de contacts.

SPF

Le SPF, ou Sender Policy Framework, est un mécanisme d’authentification des emails conçu pour vérifier l’identité d’un expéditeur. Il permet aux serveurs de messagerie de vérifier si l’adresse IP d’origine d’un email est autorisée à envoyer des emails au nom du domaine indiqué.

Le SPF est important car il évite que vos emails ne soient marqués comme spam ou rejetés par les filtres anti-spam des destinataires. Il permet ainsi de prouver que vous êtes un expéditeur légitime et, dans le domaine de l’emailing par exemple, que vous utilisez les bonnes pratiques de base.

DKIM

Le DKIM, ou DomainKeys Identified Mail, est un autre protocole d’authentification des emails. Il permet à l’expéditeur de signer numériquement l’email à l’aide d’une clé privée. Le destinataire peut ensuite vérifier cette signature à l’aide de la clé publique disponible dans les enregistrements DNS du domaine de l’expéditeur.

Le DKIM garantit l’intégrité de l’email et permet au destinataire de vérifier que l’email n’a pas été modifié durant son transit. Cela contribue à renforcer la confiance entre l’expéditeur et le destinataire, tout en réduisant le risque d’emails frauduleux (usurpation d’identité, phishing).

DMARC

Le DMARC, ou Domain-based Message Authentication, Reporting, and Conformance, est un mécanisme de sécurité de messagerie électronique conçu pour renforcer l’authentification des emails et lutter contre les tentatives de phishing et de fraude en ligne. Il va de paire avec le SPF et le DKIM, offrant ainsi une protection supplémentaire.

L’expéditeur configure une politique DMARC pour indiquer aux serveurs de messagerie comment traiter les emails qui échouent aux vérifications SPF et DKIM. Les options incluent le rejet, la quarantaine ou l’acceptation (« Aucun ») avec un avertissement.

Le DMARC contribue à améliorer la délivrabilité des emails légitimes en aidant les fournisseurs de messagerie à distinguer les messages authentiques du spam. Il aide également à renforcer la confiance dans les communications par email en permettant une meilleure authentification des messages.

BIMI

Le BIMI, ou Brand Indicators for Message Identification, est une norme relativement nouvelle qui vise à améliorer la confiance et la reconnaissance des expéditeurs d’emails. Il permet aux entreprises de lier le logo de leur marque à leurs emails authentifiés via SPF, DKIM et DMARC.

Lorsque les destinataires voient le logo dans leur boîte de réception, ils sont plus susceptibles de reconnaître l’email comme étant légitime, ce qui augmente le taux d’ouverture.

En résumé, le SPF, le DKIM, le DMARC et le BIMI sont des outils essentiels. L’authentification des emails permet de faire la différence entre une vraie personne et du spam. Concernant les expéditeurs, c’est un moyen de prouver leur légitimité et de mettre toutes les chances de leur côté pour atterrir sans encombre dans la boîte de réception visée. Quant aux destinataires, c’est l’assurance pour eux de recevoir des emails autorisés, fiables plutôt qu’une nuée de spam, et de se prémunir contre la fraude. Tout le monde y trouve donc son compte !

MTA-STS

Une norme internet très connue qui permet d’améliorer la sécurité des connexions entre les serveurs SMTP (Simple Mail Transfer Protocol) est le SMTP Mail Transfer Agent-Strict Transport Security (MTA-STS). MTA-STS résout les problèmes existants en matière de SMTP en appliquant le chiffrement TLS, et en l’imposant en transit. Le chiffrement est facultatif dans le protocole SMTP, ce qui signifie que les courriels peuvent être envoyés en clair. MTA-STS permet aux fournisseurs de services de messagerie d’appliquer le protocole TLS (Transport Layer Security) pour sécuriser les connexions SMTP et de spécifier si les serveurs SMTP d’envoi doivent refuser de livrer des courriels aux hôtes MX qui ne prennent pas en charge le protocole TLS avec un certificat de serveur fiable. Il a été prouvé qu’il permettait d’atténuer avec succès les attaques par déclassement TLS et les attaques de type Man-In-The-Middle (MITM).

TLS-RPT

TLS-RPT signifie Transport Layer Security Reporting et est une norme définie dans la RFC 8460. Elle permet de signaler des problèmes dans le processus de cryptage pour les domaines compatibles avec la sécurité stricte du transport de l’agent de transfert de courrier (MTA-STS) ou des problèmes de délivrabilité du courrier électronique pendant le transfert de courrier SMTP.

TLS-RPT signale les problèmes de distribution liés au cryptage TLS, causés par des échecs de cryptage TLS au cours des communications SMTP. TLS-RPT est souvent utilisé avec MTA-STS (Mail Transfer Agent Strict Transport Security) pour fournir aux parties concernées des informations complètes sur les problèmes d’acheminement du courrier électronique.

TLS DANE

Le DANE (DNS-Based Authentication of Named Entities) est un protocole de sécurité qui utilise le système DNS pour sécuriser les communications en ligne. Il permet de garantir l’authenticité et l’intégrité des connexions sécurisées telles que les connexions SSL/TLS. DANE est un protocole standardisé qui vise à valider le certificat utilisé lors d’une connexion sécurisée par TLS. La machine initiant une connexion va pouvoir récupérer l’empreinte du certificat de son correspondant via un enregistrement DNS afin de confirmer son intégrité.

Sécuriser les serveurs SMTP avec DANE permet de garantir que les communications entre les serveurs de messagerie sont authentiques et confidentielles. Cela empêche les attaques telles que les interceptions de messages et les falsifications de l’identité des serveurs.

L’article Sécurisation #mails est apparu en premier sur IRONIE.

BIMI coordonne les éditeurs de messageries électroniques (Gmail, Yahoo, Fastmail, …) et les propriétaires de noms de domaine pour permettre à ces derniers d’afficher leur logo directement au niveau de la boite email de leurs clients, c’est-à-dire, à côté du nom de l’émetteur.

Un enregistrement BIMI fonctionne comme un panneau de signalisation, indiquant à un destinataire l’emplacement où vous avez sauvegardé le fichier du logo. Il fait aussi référence à un certificat VMC ou CMC.

La participation à BIMI est volontaire. Pour vous inscrire en tant que volontaire, il vous suffit d’ajouter un enregistrement BIMI à votre DNS avec un lien vers votre logo préféré. Lorsqu’il vérifie la présence de DMARC dans votre courrier électronique, le destinataire recherche également un enregistrement BIMI dans votre DNS pour. BIMI ne fonctionne qu’à la condition stricte que la politique DMARC sur votre domaine soit de quarantaine ou de rejet. Lorsque le test DMARC s’avère positif pour ces conditions, votre message apparaîtra dans la boîte de réception avec votre logo. N’oubliez pas : La sécurité avant tout !

Vous avez besoin d’aide pour implémenter et exploiter efficacement DMARC, parlons-en.

L’article Réputation #BIMI est apparu en premier sur IRONIE.

S’appuyant sur des normes existantes, que sont SPF et DKIM, DMARC est la première et la seule technologie qui peut rendre l’en-tête “From” de domaine fiable.

Le propriétaire du domaine doit publier un enregistrement DMARC dans sa zone DNS et créer une politique indiquant aux destinataires ce qu’ils doivent faire des emails qui échouent à l’authentification. Il protège ainsi les autres de l’usurpation de son propre domaine.

Grâce à DMARC, la réciproque est vraie. En configurant ses passerelles de messagerie avec ce protocole, les propriétaires de domaines peuvent définir efficacement leurs pratiques d’authentification et déterminer les actions spécifiques à entreprendre lorsqu’un email entrant échoue à l’authentification. Ce puissant protocole d’authentification email aide les propriétaires de domaines à lutter contre une multitude de menaces de sécurité. 

Vous avez besoin d’aide pour implémenter et exploiter efficacement DMARC, parlons-en. Nous vous aidons à l’implémenter, et à le piloter à l’aide de tableaux de bord et de reporting mis à jour en temps réel, vous permettant de suivre et de faire évoluer votre niveau de conformité.

L’article Protection #DMARC est apparu en premier sur IRONIE.