Comment protéger les petites entreprises du BEC avec l'authentification par e-mail ?
Publié: 2021-01-31Business Email Compromise ou BEC est une forme de violation de la sécurité des e-mails ou d'attaque par usurpation d'identité qui affecte les organisations commerciales, gouvernementales, à but non lucratif, les petites entreprises et les startups ainsi que les multinationales et les entreprises pour extraire des données confidentielles qui peuvent influencer négativement la marque ou l'organisation. Les attaques de hameçonnage, les escroqueries aux factures et les attaques par usurpation sont tous des exemples de BEC.
Les cybercriminels sont des intrigants experts qui ciblent intentionnellement des personnes spécifiques au sein d'une organisation, en particulier celles qui occupent des postes autoritaires comme le PDG ou une personne similaire, ou même un client de confiance. L'impact financier mondial dû au BEC est énorme, en particulier aux États-Unis, qui sont devenus la principale plaque tournante. La solution? Passez au DMARC !
Qu'est-ce que le DMARC ?
Domain-based Message Authentication, Reporting and Conformance (DMARC) est une norme de l'industrie pour l'authentification des e-mails. Ce mécanisme d'authentification indique aux serveurs de réception comment répondre aux e-mails qui échouent aux contrôles d'authentification SPF et DKIM. DMARC peut réduire d'un pourcentage substantiel les risques que votre marque soit la proie d'attaques BEC et contribuer à protéger la réputation, les informations confidentielles et les actifs financiers de votre marque.
Notez qu'avant de publier un enregistrement DMARC, vous devez implémenter SPF et DKIM pour votre domaine puisque l'authentification DMARC utilise ces deux protocoles d'authentification standard pour valider les messages envoyés au nom de votre domaine.
Comment optimiser votre enregistrement DMARC pour vous protéger contre le BEC ?
Afin de protéger votre domaine contre la compromission de la messagerie professionnelle, ainsi que d'activer un mécanisme de rapport étendu pour surveiller les résultats d'authentification et obtenir une visibilité complète sur votre écosystème de messagerie, nous vous recommandons de publier la syntaxe d'enregistrement DMARC suivante dans le DNS de votre domaine :
v = DMARC1 ; p=rejeter ; rua=mailto:[email protected] ; ruf=mailto:[email protected] ; fo=1 ;
Comprendre les balises utilisées lors de la génération d'un enregistrement DMARC :
| v (obligatoire) | Ce mécanisme spécifie la version du protocole. |
| p (obligatoire) | Ce mécanisme spécifie la politique DMARC utilisée. Vous pouvez définir votre politique DMARC sur : p=none (DMARC lors de la surveillance uniquement dans laquelle les e-mails qui échouent aux contrôles d'authentification atterriraient toujours dans les boîtes de réception des destinataires). p=quarantine (DMARC lors de l'application, où les e-mails qui échouent aux contrôles d'authentification seront mis en quarantaine ou déposés dans le dossier spam). p=reject (DMARC à l'application maximale, où les e-mails qui échouent aux contrôles d'authentification seront rejetés ou ne seront pas livrés du tout). Pour les novices en matière d'authentification, il est recommandé de commencer avec votre stratégie à la surveillance uniquement (p=aucun), puis de passer lentement à l'application. Cependant, pour les besoins de ce blog, si vous souhaitez protéger votre domaine contre BEC, p=reject est la politique recommandée pour vous assurer une protection maximale. |
| sp (facultatif) | Cette balise spécifie la politique des sous-domaines qui peut être définie sur sp=none/quarantine/reject demandant une politique pour tous les sous-domaines dans lesquels les e-mails échouent à l'authentification DMARC. Cette balise n'est utile que si vous souhaitez définir une politique différente pour votre domaine principal et vos sous-domaines. Si elle n'est pas spécifiée, la même politique sera appliquée par défaut à tous vos sous-domaines. |
| adkim (facultatif) | Ce mécanisme spécifie le mode d'alignement de l'identifiant DKIM qui peut être défini sur s (strict) ou r (relaxed). L'alignement strict spécifie que le champ d= dans la signature DKIM de l'en-tête de l'e-mail doit s'aligner et correspondre exactement au domaine trouvé dans l'en-tête de. Cependant, pour l'alignement relâché, les deux domaines doivent partager le même domaine organisationnel uniquement. |
| aspf (facultatif) | Ce mécanisme spécifie le mode d'alignement de l'identifiant SPF qui peut être défini sur s (strict) ou r (assoupli). L'alignement strict spécifie que le domaine dans l'en-tête "Return-path" doit s'aligner et correspondre exactement au domaine trouvé dans l'en-tête de. Cependant, pour l'alignement relâché, les deux domaines doivent partager le même domaine organisationnel uniquement. |
| rua (facultatif mais recommandé) | Cette balise spécifie les rapports agrégés DMARC qui sont envoyés à l'adresse spécifiée après le champ mailto :, fournissant des informations sur les e-mails qui passent et échouent DMARC. |
| ruf (facultatif mais recommandé) | Cette balise spécifie les rapports d'investigation DMARC qui doivent être envoyés à l'adresse spécifiée après le champ mailto:. Les rapports d'investigation sont des rapports au niveau des messages qui fournissent des informations plus détaillées sur les échecs d'authentification. Étant donné que ces rapports peuvent contenir du contenu d'e-mails, leur cryptage est la meilleure pratique. |
| pct (facultatif) | Cette balise spécifie le pourcentage d'e-mails auxquels la politique DMARC est applicable. La valeur par défaut est fixée à 100. |
| fo (facultatif mais recommandé) | Les options médico-légales de votre enregistrement DMARC peuvent être définies sur : DKIM et SPF ne réussissent pas ou ne s'alignent pas (0)DKIM ou SPF ne réussissent pas ou ne s'alignent pas (1)DKIM ne réussissent pas ou ne s'alignent pas (d)SPF ne réussit pas pass ou align (s) Le mode recommandé est fo=1 spécifiant que des rapports d'investigation doivent être générés et envoyés à votre domaine chaque fois que les e-mails échouent aux vérifications d'authentification DKIM ou SPF. |
Vous pouvez générer votre enregistrement DMARC avec le générateur d'enregistrements DMARC gratuit de PowerDMARC dans lequel vous pouvez sélectionner les champs en fonction du niveau d'application que vous souhaitez.
Notez que seule une politique d'application de rejet peut minimiser le BEC et protéger votre domaine contre les attaques d'usurpation d'identité et de phishing.
Alors que DMARC peut être une norme efficace pour protéger votre entreprise contre BEC, la mise en œuvre correcte de DMARC nécessite des efforts et des ressources. Que vous soyez un novice ou un aficionado de l'authentification, en tant que pionniers de l'authentification des e-mails, PowerDMARC est une plateforme SaaS unique d'authentification des e-mails qui combine toutes les meilleures pratiques d'authentification des e-mails telles que DMARC, SPF, DKIM, BIMI, MTA-STS et TLS-RPT, sous le même toit pour vous. Nous vous aidons :
- Passez de la surveillance à l'application en un rien de temps pour tenir le BEC à distance
- Nos rapports agrégés sont générés sous forme de graphiques et de tableaux simplifiés pour vous aider à les comprendre facilement sans avoir à lire des fichiers XML complexes
- Nous chiffrons vos rapports médico-légaux pour protéger la confidentialité de vos informations
- Visualisez vos résultats d'authentification dans 7 formats différents (par résultat, par source d'envoi, par organisation, par hôte, statistiques détaillées, rapports de géolocalisation, par pays) sur notre tableau de bord convivial pour une expérience utilisateur optimale
- Obtenez une conformité DMARC à 100 % en alignant vos e-mails sur SPF et DKIM afin que les e-mails qui échouent à l'un des points de contrôle d'authentification n'atteignent pas les boîtes de réception de vos destinataires
Comment DMARC protège-t-il contre le BEC ?
Dès que vous définissez votre politique DMARC sur une application maximale (p=rejet), DMARC protège votre marque contre la fraude par e-mail en réduisant les risques d'attaques par usurpation d'identité et d'abus de domaine. Tous les messages entrants sont validés par rapport aux vérifications d'authentification des e-mails SPF et DKIM pour s'assurer qu'ils proviennent de sources valides.
SPF est présent dans votre DNS en tant qu'enregistrement TXT, affichant toutes les sources valides autorisées à envoyer des e-mails depuis votre domaine. Le serveur de messagerie du destinataire valide l'e-mail par rapport à votre enregistrement SPF pour l'authentifier. DKIM attribue une signature cryptographique, créée à l'aide d'une clé privée, pour valider les e-mails sur le serveur de réception, dans laquelle le destinataire peut récupérer la clé publique du DNS de l'expéditeur pour authentifier les messages. Avec votre politique de rejet, les e-mails ne sont pas du tout remis à la boîte aux lettres de votre destinataire lorsque les vérifications d'authentification échouent, ce qui indique que votre marque est usurpée. Cela permet finalement de tenir à distance les attaques d'usurpation d'identité et de phishing de type BEC.
Plan de base de PowerDMARC pour les petites entreprises
Notre plan de base commence à partir de seulement 8 USD par mois, donc les petites entreprises et les startups essayant d'adopter des protocoles sécurisés comme DMARC peuvent facilement en profiter. Les avantages dont vous disposerez avec ce plan sont les suivants :
- Économisez 20 % sur votre forfait annuel
- Jusqu'à 2 000 000 d'e-mails conformes à DMARC
- Jusqu'à 5 domaines
- 1 an d'historique des données
- 2 utilisateurs de la plate-forme
- BIMI hébergé
- MTA-STS hébergé
- TLS-RPT
Inscrivez-vous dès aujourd'hui avec l'analyseur DMARC gratuit et protégez le domaine de votre marque en minimisant les risques de compromission des e-mails professionnels et de fraude par e-mail !
| Url-protect-small-businesses-from-bec Mots-clés : BEC, authentification par e-mail, DMARC, optimisez votre enregistrement DMARC, enregistrement DMARC Méta : les protocoles d'authentification par e-mail comme DMARC peuvent vous aider à réduire efficacement le BEC, tout en respectant votre budget ! |