Google et Yahoo poussent DMARC, obligeant les entreprises à rattraper leur retard

D’ici février 2024, toute entreprise envoyant plus de 5,000 XNUMX e-mails via Google ou Yahoo devra commencer à utiliser une technologie d’authentification connue sous le nom de Domain-based Message Authentication Reporting and Conformance (DMARC).

Les exigences — annoncées par Google ainsi que les Yahoo cette semaine – ira cependant bien plus loin que les spécialistes du marketing, obligeant toutes les entreprises en retard dans l’adoption du trio de technologies de sécurité à rattraper leur retard. Les entreprises utilisant Sender Policy Framework (SPF) et DomainKeys Identified Mail (DKIM) bénéficieront d'une protection contre l'usurpation d'identité grâce à une meilleure authentification, tandis que DMARC crée un canal de notification vers le propriétaire du nom de domaine pour collecter des informations indiquant si son courrier électronique est usurpé.

Les exigences de deux grands fournisseurs devraient pousser davantage d'entreprises à adopter DMARC jusqu'à ce que l'adoption atteigne un niveau permettant des mesures de sécurité plus efficaces, déclare Neil Kumaran, chef de produit du groupe Gmail Security & Trust de Google.

« En adoptant DMARC de la manière que nous demandons, les expéditeurs commencent à recevoir beaucoup d'informations qui les aideront à identifier les problèmes liés à leur configuration [et] les éléments qu'ils pourraient souhaiter modifier », dit-il. "Il y a donc un avantage matériel pour l'expéditeur à adopter DMARC et à réfléchir à ces choses collectivement."

Le trio de technologies de sécurité de la messagerie a connu une adoption accélérée ces dernières années, en particulier pendant la pandémie de coronavirus, lorsque les entreprises ont été contraintes de recourir à des opérations à distance. En conséquence, environ la moitié des expéditeurs d'e-mails ont un enregistrement DMARC, mais seulement 14 % ont configuré DMARC pour appliquer une politique stricte de quarantaine ou de rejet – ce qui est largement considéré comme l'objectif final, selon les données de Valimail, un fournisseur de services DMARC. Environ la moitié de toutes les entreprises ont établi leur record DMARC pour appliquer une politique stricte. Cependant, seulement 1 % des domaines à but non lucratif avoir DMARC configuré.

Les exigences de Google et de Yahoo sont un bon début, et le marché n'est pas prêt à imposer des exigences plus strictes. Mais Seth Blank, directeur de la technologie chez Valimail, espère que les principaux fournisseurs de messagerie placeront rapidement la barre plus haut.

«Je pense que c'est absolument fantastique, mais je pense que cela ne va pas assez loin», dit-il. « Je suis ravi qu'ils placent la barre plus haut, mais nous disposons désormais d'un ensemble de meilleures pratiques de l'industrie qui ne sont pas appliquées de manière cohérente. Il y a quelques expéditeurs de gros volumes qui le font bien, puis il y a tout le monde, c'est pourquoi les abus sont si répandus dans l'écosystème.

Extension de l'adoption de la sécurité du courrier électronique

Dans son article de blog, Google a exposé ses exigences, notamment les enregistrements SPF et DKIM pour l'authentification des domaines d'envoi d'e-mails ; un enregistrement DMARC pour le domaine ; et un en-tête « De » qui correspond à l'enregistrement SPF ou DMARC, appelé « alignement ». De plus, les spécialistes du marketing doivent avoir des taux de spam inférieurs à 0.3 % et offrir la possibilité de se désinscrire en un seul clic.

Google appliquera les nouvelles règles à ceux qui envoient plus de 5,000 2024 messages à des adresses Gmail au cours d'une journée donnée. Yahoo appliquera ces exigences aux « expéditeurs groupés », mais son article de blog ne définit pas ce qui constitue un expéditeur groupé. Les exigences devront être remplies d’ici février 2024 pour Google et « au premier trimestre XNUMX » pour Yahoo.

L'annonce de Google, ainsi que la décision correspondante de Yahoo!, signifient que l'adoption de DMARC n'est plus une suggestion, a écrit Len Shneyder, vice-président des relations industrielles chez Twilio SendGrid, un service de marketing par courrier électronique, dans un blog sur l'actualité.

« Avec les actualités de Yahoo également, vous pouvez considérer cela comme la nouvelle normalité », a-t-il écrit. « Les nouvelles exigences marquent un changement dans la façon dont le secteur perçoit l'authentification des e-mails et les meilleures pratiques : ce qui était autrefois un ensemble de recommandations devient désormais un ensemble d'exigences exécutoires.

Google s'attend à ce que ces exigences conduisent à une adoption presque complète de l'authentification des e-mails sur sa plateforme. Actuellement, l'entreprise traite environ 15 milliards d'e-mails chaque jour, et le nombre de messages non authentifiés a diminué de 75 % depuis que l'entreprise exige que chaque message soit une certaine forme d'authentification.

L'authentification n'est qu'un début

L'objectif des exigences DMARC est de garantir que tous les e-mails légitimes ont défini des enregistrements DMARC avec leur service DNS, fournissant des informations d'authentification à vérifier par rapport aux en-têtes de tout e-mail reçu. Presque tous les fournisseurs de messagerie transmettent des informations sur l'alignement DMARC au propriétaire faisant autorité d'un domaine.

Pour cette raison, une meilleure identification des sources et une identification plus forte des messages sont essentielles à l'amélioration de la technologie de messagerie électronique, explique Kumaran de Google.

« L'authentification en elle-même n'est pas une solution miracle pour arrêter le spam, mais elle permet à chacun de mieux comprendre le courrier électronique qui circule », dit-il. "Je m'attends à ce que les filtres commencent à détecter ces modèles, à tirer parti des avantages de l'authentification et à faire un meilleur travail – nous devrions voir les impacts à tous les niveaux."

Une fois l'authentification de l'expéditeur mise en place, les fournisseurs de sécurité et les fournisseurs de messagerie peuvent mieux filtrer le mauvais trafic, explique Blank.

"Vous contrôlez qui est autorisé à envoyer en tant que vous, ce qui signifie qu'au moment où le message parvient à n'importe quel fournisseur de boîte aux lettres, dans le monde entier, l'authentification est en place et ils peuvent profiter de DMARC", a-t-il déclaré. dit. "Les messages usurpés ou authentifiés n'arrivent jamais dans les boîtes de réception des utilisateurs, et nous obtenons donc cette immunité collective et cette protection à grande échelle, bien au-delà de Google et Yahoo, où se trouvent les exigences."

Attendez-vous à des solutions de contournement

Même si ces exigences inciteront probablement toutes les sociétés de marketing légitimes à ajuster leurs configurations de sécurité de messagerie, les entreprises doivent s'attendre à ce que les acteurs malveillants trouvent des moyens de continuer à envoyer du spam, du phishing et des logiciels malveillants, explique Raf Marconi, consultant senior chez Bishop Fox.

« Un acteur malveillant peut soit rester en dessous des seuils, soit utiliser des services légitimes pour éviter d'être affecté par les exigences », dit-il, ajoutant : « Ces nouvelles exigences devraient avoir un certain effet sur le niveau de spam et de phishing, mais il est difficile de l'évaluer. combien de temps avant que les exigences aient été mises en œuvre, et cela dépend également de la bonne mise en œuvre de DKIM, SPF et DMARC.

Dans un récent rapport, la société de services Internet Cloudflare a découvert que 89% des messages bloqués comme spam disposaient d'informations SPF, DKIM ou DMARC correctes, soulignant que les technologies font partie de l'équation, mais pas de la solution complète, explique Oren Falkowitz, CSO sur le terrain pour Cloudflare.

« Pour cette raison, il est vain de s’appuyer uniquement sur des normes qui suivent les informations de l’expéditeur afin de détecter et d’arrêter les campagnes », explique-t-il. « Afin de résoudre les dommages réels, les équipes de sécurité doivent identifier et contrôler les charges utiles, les fichiers, les liens et les requêtes malveillantes qui constituent le phishing et qui causent des dommages. »

Blank de Valimail a renforcé ce point.

« Les mauvais acteurs ont tendance à être les premiers à suivre les meilleures pratiques », dit-il. « L’hypothèse selon laquelle avoir SPF, DKIM ou DMARC signifie que le courrier est bon est fausse. Cela signifie que nous savons d'où vient le courrier, et c'est essentiel pour prendre des décisions en matière de réputation.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/dr-tech/google-yahoo-push-dmarc-forcing-companies-to-catch-up