Comment corriger l’authentification DMARC

Le mécanisme d’authentification DMARC a quelques défauts mais nous avons développé une technologie qui les corrigent.

Au cours de l’histoire des e-mails, certains ont mis au point des technologies pour protéger les destinataires contre les messages frauduleux, et surtout contre les messages d’hameçonnage. Le DKIM (DomainKeys Identified Mail) et le protocole SPF (Sender Policy Framework) présentaient d’importants inconvénients, ce qui a donné lieu au mécanisme d’authentification e-mail DMARC (Domain-based Message Authentication Reporting and Conformance) qui identifie les messages qui ont un faux domaine d’expéditeur. Il s’est avéré que le DMARC était loin d’être la solution parfaite. Nos chercheurs ont donc développé une technologie supplémentaire afin de corriger les défauts de cette approche.

Fonctionnement de l’authentification DMARC

Une entreprise qui cherche à empêcher toute personne externe d’envoyer des e-mails en utilisant le nom de ses employés peut configurer l’authentification DMARC dans les enregistrements de ressources DNS. En substance, cela permet au destinataire du message d’être certain que le nom du domaine qui apparaît dans le champ « De : » est le même que dans le DKIM et le protocole SPF. De plus, l’enregistrement indique l’adresse à laquelle les serveurs de messagerie envoient les rapports relatifs aux messages reçus n’ayant pas réussi à passer le contrôle de vérification. Par exemple, dans le cas d’une erreur ou de la détection d’une tentative d’usurpation d’un serveur.

Ces mêmes enregistrements de ressources vous permettent de configurer la politique DMARC et d’indiquer la procédure à suivre lorsque le message échoue au test de vérification. Trois types de politiques DMARC s’offrent à vous :

  • L’option Rejeter est la plus stricte. Sélectionnez-la pour bloquer tous les e-mails qui ne réussissent pas la vérification DMARC.
  • La politique Quarantaine repose sur les paramètres exacts du fournisseur de services e-mail. Le message se retrouvera soit dans le dossier spam soit dans le dossier principal mais sera détecté comme suspect.
  • Le mode Aucun laisse le message arriver normalement dans la boîte de réception du destinataire même si un rapport est tout de même envoyé à l’expéditeur.

Inconvénients de DMARC

Dans l’ensemble, le système DMARC est fonctionnel. Cette technologie rend l’hameçonnage beaucoup plus difficile. Pourtant, lorsque ce mécanisme résout un problème il en crée un autre : les faux positifs. Les messages authentiques peuvent être bloqués ou considérés comme spam dans deux situations :

  • Les messages transférés. Certains systèmes de messagerie cassent les signatures SPF et DKIM lorsqu’un message est transféré. Cela arrive lorsque plusieurs comptes font suivre le même message ou lorsque le message est redirigé entre les nœuds intermédiaires d’e-mails (relais).
  • Une mauvaise configuration. Il n’est pas rare que les administrateurs de serveurs de messagerie fassent des erreurs lorsqu’ils configurent le DKIM et le SPF.

Il est difficile de dire quelle situation est la pire lorsqu’il s’agit d’une adresse e-mail professionnelle : laisser passer un message d’hameçonnage ou bloquer un e-mail légitime.

Notre approche pour corriger les défauts de DMARC

Cette technologie est incontestablement utile. Nous avons donc décidé d’ajouter une technologie d’apprentissage automatique au processus de vérification pour réduire le nombre de faux positifs sans pour autant ébranler l’efficacité de DMARC. Voici comment ce programme fonctionne.

Lorsque les utilisateurs rédigent un e-mail, ils utilisent un client de messagerie (MUA) comme Microsoft Outlook. Ce client s’occupe de la génération du message et de son envoi au MTA (Mail Transfer Agent) pour un routage plus approfondi. Le MUA ajoute les en-têtes techniques nécessaires au corps du message, à l’objet et à l’adresse du destinataire. Tous ces renseignements ont été saisis par l’utilisateur.

Pour contourner les systèmes de sécurité, les pirates informatiques utilisent souvent leur propre MUA. Normalement, ce sont des moteurs e-mail qu’ils ont eux-mêmes créés qui génèrent et remplissent les messages selon un modèle. Par exemple, ils génèrent les en-têtes techniques pour un message et son contenu. Chaque MUA a sa propre « écriture ».

Notre technologie entre en jeu lorsque le message reçu échoue au test de vérification DMARC. Elle s’exécute sur un service Cloud qui se connecte à la solution de sécurité installée sur le dispositif. Elle lance une analyse plus approfondie de la séquence des en-têtes, du contenu de X-Mailer et de Message-ID grâce à un réseau neuronal, ce qui permet alors à la solution de faire la différence entre un e-mail légitime et un message d’hameçonnage. Cette technologie s’est entraînée à partir d’un vaste répertoire d’e-mails (près de 140 millions de messages dont 40 % était des spams).

L’association de la technologie DMARC et de l’apprentissage automatique aide à garantir la protection de l’utilisateur contre les attaques d’hameçonnage tout en réduisant le nombre de faux positifs. Nous avons déjà ajouté cette technologie à tous nos produits ayant une fonction anti-spam : Kaspersky Security for Microsoft Exchange Server, Kaspersky Security for Linux Mail Server, Kaspersky Security for Mail Gateway (option comprise dans Kaspersky Total Security for Business) et Kaspersky Security for Microsoft Office 365.

Conseils