I. Présentation

Pour améliorer leur posture en cybersécurité, et en même temps être en conformité avec la directive NIS 2, les entreprises françaises doivent renforcer la sécurité de leurs communications électroniques. Parmi les leviers accessibles : améliorer la sécurité des e-mails grâce à l'utilisation de SPF, DKIM et DMARC. Aujourd’hui, nous vous présentons PowerDMARC, une plateforme complète dédiée à la protection contre le spoofing et l’usurpation d’identité.

Nous ne reviendrons pas en détail sur les intérêts liés à SPF, DKIM et DMARC :

SPF (Sender Policy Framework) : mécanisme permettant de spécifier quels serveurs sont autorisés à envoyer des e-mails pour un domaine donné, afin de limiter l’usurpation d’adresse.

DKIM (DomainKeys Identified Mail) : méthode d'authentification qui ajoute une signature numérique aux e-mails, garantissant que le message n'a pas été modifié et qu'il provient bien du domaine indiqué.

DMARC (Domain-based Message Authentication, Reporting and Conformance) : politique de sécurité qui s'appuie sur SPF et DKIM pour indiquer aux serveurs de réception comment gérer les e-mails non conformes, tout en fournissant des rapports sur les tentatives d'usurpation.

Ces notions ont été expliquées en détail dans cet article :

II. L’enjeu : protéger votre domaine contre l’usurpation

Toute organisation disposant d’un nom de domaine peut devenir la cible d’une usurpation d’identité par e-mail. Lorsqu'un nom de domaine n'est pas protégé, un cybercriminel peut facilement envoyer des e-mails falsifiés en se faisant passer pour votre entreprise. Cet acte malveillant peut être utilisé dans le but de tromper vos clients, partenaires ou employés, ce qui peut avoir des conséquences graves (compromission d'un compte, détournement de fonds, etc.). Résultat pour l'entreprise : réputation affectée, baisse de la délivrabilité des e-mails (spams) et, pire encore, des pertes financières.

Tous les acteurs majeurs du Web, y compris les géants américains comme Google et Microsoft, recommandent la configuration du trio SPF, DKIM et DMARC. Depuis 2024, c'est même une obligation pour les envois en masse d'e-mails, sous peine de voir les e-mails bloqués en cas de non-conformité.

Il faut bien comprendre que c'est un effort collectif qui doit être fait : chacun doit protéger son domaine de messagerie. Autrement dit, cela ne vous empêchera pas de recevoir des e-mails malveillants (campagnes de phishing où un autre domaine est usurpé).

III. PowerDMARC : une plateforme tout-en-un pour l’authentification des e-mails

Présent dans plus de 100 pays, PowerDMARC facilite l’adoption de DMARC pour toutes les structures, autant pour les PME que pour les grandes entreprises. Preuve que le besoin est réel : PowerDMARC protège déjà 100 000 domaines. À titre d'information, PowerDMARC a été fondée en 2020 et son siège est situé aux États-Unis.

Voici les principales fonctionnalités de cette solution tout-en-un :

Déploiement simplifié de DMARC, SPF, DKIM, MTA-STS, TLS-RPT et BIMI , sans prise de tête technique.

, sans prise de tête technique. Tableau de bord centralisé : surveillez vos flux e-mail, identifiez les menaces et mesurez votre conformité.

: surveillez vos flux e-mail, identifiez les menaces et mesurez votre conformité. Rapports DMARC lisibles (filtrables par source, domaine, géographie, etc.), avec alertes en temps réel possibles via webhooks, Slack, Discord ou e-mail .

(filtrables par source, domaine, géographie, etc.), avec alertes en temps réel possibles via . Optimisation automatique des enregistrements SPF grâce à PowerSPF, pour éviter les limites imposées par le protocole.

grâce à PowerSPF, pour éviter les limites imposées par le protocole. Outil d'analyse de la santé du domaine et recommandations de sécurité pour améliorer sa posture.

et recommandations de sécurité pour améliorer sa posture. Intégration avec des applications tierces via une API REST .

. Interface disponible en plusieurs langues , dont le français.

, dont le français. Mode marque blanche pour les MSP/MSSP et programme partenaire dédié (voir cette page : DMARC pour MSP)

Essayez PowerDMARC : un essai gratuit de 15 jours est disponible pour tester la plateforme sans engagement :

A. Onboarding sur PowerDMARC

Comment s'effectue l'intégration d'un domaine à la plateforme PowerDMARC ? Suite à l'inscription, vous devez ajouter votre premier domaine à la solution.

Ce sera aussi l'occasion de mettre à jour votre enregistrement DMARC dans votre DNS pour rediriger les rapports vers la plateforme. D'un point de vue technique, cela signifie que l'enregistrement DNS contiendra une adresse e-mail spécifique pour les champs rua et ruf . Vous avez deux options pour effectuer la configuration :

Manuelle : à vous de créer l'enregistrement dans la zone DNS, en vous appuyant sur les instructions fournies par PowerDMARC.

: à vous de créer l'enregistrement dans la zone DNS, en vous appuyant sur les instructions fournies par PowerDMARC. Automatique : PowerDMARC détecte votre registrar et peut, s'il est pris en charge par la plateforme, effectue automatiquement la modification. Par exemple, dans le cas d'OVHcloud, il suffit de spécifier ses identifiants et PowerDMARC configure pour vous la zone DNS.

Une fois la mise en route initiale effectuée, il est possible de poursuivre la configuration en traitant, une à une, les tâches suggérées par PowerDMARC. Sinon, il est aussi possible d'explorer l'interface : le menu situé à gauche contient de nombreuses catégories.

B. Les rapports DMARC

La section Reporting de la solution PowerDMARC a une réelle valeur ajoutée puisqu'elle offre une visibilité concrète sur les rapports DMARC. Il est possible d'afficher ces rapports par source d'envoi, par résultat, par organisation, ou encore par hôte source. Lorsqu'il y a une tentative d'usurpation de votre domaine, celle-ci apparaît et est signalée à PowerDMARC puisque l'enregistrement DNS de notre domaine fait référence à une boîte aux lettres gérée par la solution.

L'exemple ci-dessous met en évidence une tentative effectuée depuis une adresse IP française, signalée par le service Amazon SES auprès du propriétaire du domaine. Ici, il s'agit des rapports agrégés de DMARC (RUA) reçus au format XML sur la plateforme.

En complément, la section DMARC Forensics fait référence aux rapports RUF : c'est-à-dire une copie des e-mails (en texte clair) à l'origine de la tentative d'usurpation. Néanmoins, pour des raisons de confidentialité, de nombreux fournisseurs ne transmettent pas ces informations.

PowerDMARC offre également la possibilité de télécharger des rapports XML, que ce soit à des fins d'archivage ou pour l'intégration dans un autre service.

C. Votre assistant pour protéger votre domaine

Vouloir renforcer la sécurité de son domaine, c'est une chose, mais comment savoir par où commencer et où on se situe ? Ce n'est pas forcément évident de répondre à cette question. C'est là que PowerDMARC et sa fonctionnalité "Domain Health" intervient. Elle permet d'obtenir un état de santé d'un domaine. Ici, le domaine it-connect.tech utilisé à des fins de démo obtient une note de D+, ce qui indique une configuration de sécurité partielle et insuffisante. Autrement dit, c'est un signe que ce domaine n'est pas correctement protégé contre les attaques (spoofing, etc...).

Ce rapport évalue la configuration des protocoles de sécurité e-mail pour le domaine sélectionné, de quoi avoir une visibilité claire. Surtout, il vous permet de suivre l'état de votre domaine dans le temps, et ainsi effectuer facilement le suivi.

Au-delà de SPF, DKIM et DMARC, d'autres protocoles peuvent également renforcer la sécurité et la crédibilité des e-mails :

BIMI : ce protocole permet d’afficher le logo officiel de l’entreprise directement dans la boîte mail du destinataire, à condition que les autres protocoles (notamment DMARC) soient bien configurés. Il renforce la confiance et l'identité visuelle de la marque.

: ce protocole permet d’afficher le logo officiel de l’entreprise directement dans la boîte mail du destinataire, à condition que les autres protocoles (notamment DMARC) soient bien configurés. Il renforce la confiance et l'identité visuelle de la marque. MTA-STS : ce mécanisme associé à la RFC 8461 permet de sécuriser le transport des e-mails entre serveurs en imposant l’utilisation du chiffrement TLS. Il est là pour garantir que l'e-mail est envoyé uniquement si la connexion est sécurisée, réduisant ainsi le risque d’attaques de type man-in-the-middle.

: ce mécanisme associé à la RFC 8461 permet de sécuriser le transport des e-mails entre serveurs en imposant l’utilisation du chiffrement TLS. Il est là pour garantir que l'e-mail est envoyé uniquement si la connexion est sécurisée, réduisant ainsi le risque d’attaques de type man-in-the-middle. TLS-RPT : Ce protocole complète MTA-STS en envoyant des rapports sur les problèmes rencontrés lors des tentatives de connexion TLS.

PowerDMARC propose une liste d'actions à entreprendre pour améliorer la sécurité de votre domaine : l'occasion de viser un meilleur score. Cette To-do List est accompagnée par un rapport mettant en évidence d'éventuelles erreurs de configuration. Attention, certaines fonctionnalités sont réservées à la version payante de l'outil.

Des outils d'analyse permettent d’obtenir une vue approfondie de l'état d'un domaine :

PowerAnalyzer : analyser la configuration de n'importe quel domaine, avec la possibilité de générer un rapport d'audit.

: analyser la configuration de n'importe quel domaine, avec la possibilité de générer un rapport d'audit. MailAuth Analyzer : permet de tester la configuration de sécurité d’un domaine en envoyant un e-mail à une adresse générée automatiquement. Elle fournit une analyse détaillée et met en évidence les récents changements DNS.

: permet de tester la configuration de sécurité d’un domaine en envoyant un e-mail à une adresse générée automatiquement. Elle fournit une analyse détaillée et met en évidence les récents changements DNS. PowerToolbox : une boîte à outils complète pour analyser des domaines, y compris les données whois, la consultation des listes de blocage (spams), un convertisseur de logo pour BIMI ou encore des générateurs pour vos enregistrements.

En complément, vous recevrez par e-mail un rapport de plusieurs pages avec l'état de santé de votre domaine et les dernières statistiques associées (notamment sur la conformité DMARC).

D. Le suivi des menaces

PowerDMARC dispose d'un module complet pour effectuer un suivi des menaces et de threat intelligence. L'occasion d'en savoir plus sur les acteurs à l'origine de tentative d'usurpation de votre domaine. Ceci est valable pour chacun de vos domaines, selon la période de votre choix.

Vous pouvez obtenir une analyse précise sur un hôte ou une adresse IP. Ce module de threat intelligence s'appuie aussi sur les services de Cisco Talos pour obtenir une analyse externe. Il y a aussi le score Seclytics, qu’est-ce que c’est ? Seclytics est une entreprise spécialisée dans la détection et la prévention des menaces, et ceci permet d'obtenir le score associé à une IP via cette solution.

L'objectif étant de prendre connaissance du niveau d'agressivité de la source, son activité sur l'année, et aussi, le type de menaces associé (phishing, spam, etc.).

IV. Essayez gratuitement PowerDMARC

Si vous souhaitez tester cette solution, c'est possible et c'est gratuit. Vous n'avez pas besoin de rentrer une carte bancaire, donc c'est sans risque. L'essai gratuit de 15 jours ne donne pas accès à toutes les fonctionnalités, mais à minima à toutes celles évoquées dans cet article.

Sachez que pour un usage personnel, l'utilisation de PowerDMARC est gratuite ! Sinon, il y a une tarification pour les professionnels, en fonction des besoins. Vous pouvez comparer les plans et les tarifs sur cette page :

En complément, et sans inscription, PowerDMARC propose des outils gratuits, comme un outil SPF Generator pour générer vos enregistrements SPF.

V. Conclusion

Grâce à sa plateforme tout-en-un, PowerDMARC rend l’adoption des mécanismes de sécurité des e-mails plus simple, et surtout, la plateforme offre une bonne observabilité sur les événements. Cette solution vous guidera pour (re)prendre en main la sécurité de votre domaine, grâce à des fonctions prêtes à l'emploi. En complément, il y a aussi une dizaine de tutoriels vidéo (en anglais et en espagnol pour le moment) pour vous accompagner.

PowerDMARC permet de répondre à plusieurs enjeux réglementaires et opérationnels :

Sécurité de votre domaine de messagerie : meilleure visibilité sur les flux d’e-mail.

: meilleure visibilité sur les flux d’e-mail. Mise en conformité avec la directive NIS2 : indispensable en 2025.

: indispensable en 2025. Renforcement de la confiance des destinataires et amélioration de la délivrabilité des e-mails .

et . Réduction des risques de phishing, d’usurpation directe de domaine et de fraude.

Cet article inclut une communication commerciale.