Qu'est-ce que DMARC et comment affecte-t-il mon marketing par e-mail ?

Publié: 2014-06-20

Si vous êtes un spécialiste du marketing par e-mail, je suis sûr que vous avez entendu parler d'un nouvel acronyme flottant dans l'industrie de l'e-mail : DMARC ! De nombreux spécialistes du marketing ont demandé ce qu'est ce nouvel acronyme et s'il affectera leurs pratiques d'envoi. Mon objectif aujourd'hui est d'apaiser vos inquiétudes et de vous expliquer très simplement de quoi il s'agit et pourquoi vous pourriez l'envisager. Commençons.

Qu'est-ce que le DMARC ?

DMARC signifie Domain-based Message Authentication, Reporting and Conformance. DMARC normalise la façon dont les récepteurs de messagerie (FAI) effectuent l'authentification des e-mails et donne des commentaires aux expéditeurs d'e-mails.

  • Pour les expéditeurs d'e-mails, il s'agit d'un module complémentaire d'authentification des e-mails conçu pour s'intégrer à votre processus d'authentification des e-mails entrants existant.
  • En action, il indique au serveur de réception lorsqu'un message est protégé par SPF et/ou DKIM.
  • Si vous êtes un expéditeur, vous pouvez indiquer aux destinataires des e-mails que : s'ils reçoivent un e-mail qui semble provenir de votre domaine - mais qui n'est pas authentifié -, il doit être placé directement dans le dossier spam ou rejeté purement et simplement.
  • Avec DMARC, les expéditeurs d'e-mails reçoivent des commentaires sur les messages utilisant leur domaine - à la fois légitimes et faux. Cela vous aidera à traquer toute personne hameçonnant votre domaine.

DMARC aidera à protéger les destinataires du courrier ainsi que les expéditeurs de courrier électronique contre les attaques de phishing ou de courrier électronique usurpé. Cela empêchera de telles attaques avant qu'elles ne puissent atteindre la boîte de réception du destinataire.

Résultats Twitter DMARC

En tant que spécification technique, DMARC est le résultat d'une coalition d'industries, d'organisations et d'entreprises concernées par la sécurité des informations personnelles et la protection des communications Internet.

Les trois principaux objectifs du DMARC

1.) Confirmez que l'authentification par e-mail est utilisée (SPF, DKIM, ID de l'expéditeur).

2.) Fournissez des commentaires sur les messages utilisant votre domaine - légitimes ou non.

3.) Appliquez une politique aux messages qui échouent à l'authentification (Ne rien faire, Rejeter, Mettre en quarantaine) et donnez à l'expéditeur la possibilité de spécifier lequel est utilisé.

L'importance du DMARC

  • Les expéditeurs ignorent en grande partie le niveau de risque qu'ils courent d'être victimes d'hameçonnage ou d'usurpation d'identité. La plupart des expéditeurs ne surveillent actuellement que la livraison de leurs messages, pas les tentatives frauduleuses utilisant leur identité de domaine. Il existe actuellement peu ou pas d'outils dans l'industrie pour protéger les spécialistes du marketing contre de telles attaques. DMARC aide avec chacun d'entre eux.
  • Les e-mails sont devenus plus faciles à usurper. Cela signifie que vos destinataires ont plus de mal à identifier ce qui est réel et ce qui est usurpé dans leur boîte de réception. Compte tenu de la publicité généralisée sur le vol d'identité et les problèmes connexes, les destinataires qui ne sont pas certains de l'authenticité d'un e-mail sont probablement plus susceptibles de marquer plus d'e-mails comme spam. S'ils le font avec vos e-mails, cela entraînera d'autres problèmes de livraison.
  • Les attaques de sécurité contre les informations personnelles ultra-précieuses des personnes sont de plus en plus répandues – presque courantes – dans l'industrie. Combien de fois au cours des deux dernières années avez-vous entendu parler de piratage d'entreprises ? Combien d'entre vous ont été touchés personnellement ? J'ai été victime de la violation de Target, avec 110 millions d'autres personnes. (Voir aussi PF Chang's, Neiman-Marcus, et alia dans le Wall Street Journal.)

Les avantages du DMARC

  • Permet aux expéditeurs d'être proactifs plutôt que réactifs (une once de prévention vaut toujours une tonne de remède, en particulier pour votre marque de confiance. Les malheurs de Target ont chassé le PDG et affecté les cours des actions, et ce n'est que le début).
  • Protège les expéditeurs et les destinataires contre les attaques d'informations financières et personnelles
  • Les messages qui hameçonnent ou usurpent votre domaine sont bloqués avant même d'atteindre la boîte de réception de votre client
  • Diminue le spam, ce qui entraîne une augmentation de la livraison d'e-mails légitimes
  • Élimine les conjectures sur le traitement des e-mails non authentifiés pour les FAI
  • Améliore les relations globales de l'expéditeur avec les FAI et les clients
  • Donne à l'expéditeur des commentaires qui pourraient conduire à l'identification des méchants

PayPal et DMARC

Comment mettre en œuvre DMARC

1) Vous devez avoir SPF et DKIM en place avant que l'authentification DMARC puisse être initiée

  • SPF - Cadre de politique de l'expéditeur
  • DKIM - Courrier identifié par clés de domaine

2) En tant qu'expéditeur, vous devrez définir la politique DMARC dans le DNS (Domain Name Server) de votre entreprise pour votre domaine

  • Les expéditeurs définissent la politique appropriée (rejeter, mettre en quarantaine, ne rien faire) pour indiquer aux FAI comment ils souhaitent qu'ils traitent les messages qui échouent à l'authentification

3) Vos options de politique DMARC :

  • Ne rien faire : essentiellement l'étape 1 lors de la première mise en œuvre. Utilisé d'abord comme un filet pour capturer et collecter des données, puis identifier les tendances et les tentatives d'attaque (mode moniteur).
  • Quarantaine : Les messages sont toujours envoyés au destinataire final mais vont dans le dossier quarantaine/spam au lieu de la boîte de réception. Cela réduit la probabilité que vos destinataires voient l'e-mail.
  • Rejeter : Si DMARC échoue, les messages sont rejetés. Les destinataires ne verront jamais l'e-mail.

Comment DMARC gère les e-mails Le schéma ci-dessus montre comment votre message serait livré et comment une usurpation serait traitée, en fonction des vérifications effectuées par le FAI et des paramètres de politique DMARC choisis par votre entreprise.

Enquêter sur les problèmes

Dans le cadre de l'incorporation de DMARC, vous vous inscrivez pour recevoir un rapport que vous pouvez analyser pour aider à identifier les entreprises et/ou les individus qui hameçonnent ou usurpent votre domaine. Vous devez surveiller ces rapports sur une période de temps (qui sera différente pour chaque entreprise). Vous pouvez alors lancer une enquête sur la base des informations que vous obtenez des rapports. Certaines entreprises enquêtent en interne, puis contactent la société d'hébergement du domaine/IP à l'origine du problème, laissant la société d'hébergement s'occuper du problème. D'autres entreprises, telles que les institutions financières, pourraient aller plus loin et ouvrir une enquête du FBI.

Dans l'ensemble, DMARC est encore relativement nouveau dans l'industrie et de nombreuses entreprises sont en «mode moniteur» pour analyser les informations qu'elles obtiennent.

Problèmes liés aux fournisseurs de services de messagerie tiers

Plusieurs FAI, tels que Gmail, Yahoo! et AOL, ont récemment défini leurs politiques pour rejeter tout courrier utilisant le domaine d'une entreprise dans l'adresse "De" (par exemple, "De : [email protected]") si cet e-mail provient de le serveur d'un tiers, au lieu d'un serveur « company.com ». Pour une discussion sur la façon dont cela affecte les spécialistes du marketing, lisez cet article de blog qui examine les pratiques de Yahoo!.

Act-On Delivery Insight peut vous aider avec DMARC

Vous avez des questions ? Si vous êtes un client Act-On, contactez votre Customer Success Manager. Si vous n'êtes pas un client Act-On, consultez la FAQ DMARC. Notre groupe de services professionnels Delivery Insight peut également vous aider.