Le mécanisme DMARC vérifie le domaine du véritable expéditeur d'un e-mail et peut ainsi démasquer les faux e-mails. Les experts de Kaspersky ont résolu les inconvénients du rapport d'authentification et de la conformité des messages basés sur le domaine (DMARC) grâce à une technologie nouvellement développée.
Tout au long de l'histoire du courrier électronique, les gens ont mis au point de nombreuses technologies pour protéger les destinataires contre les courriers électroniques frauduleux (principalement le phishing). DomainKeys Identified Mail (DKIM) et Sender Policy Framework (SPF) présentaient des inconvénients importants, c'est pourquoi le mécanisme d'authentification de messagerie DMARC (Domain-based Message Authentication Reporting and Conformance) a été développé pour identifier les messages avec un domaine d'expéditeur usurpé. Cependant, DMARC ne s'est pas avéré être une panacée. Par conséquent, les chercheurs de Kaspersky ont développé une technologie supplémentaire pour éliminer les inconvénients du DMARC.
Comment fonctionne DMARC
Une entreprise qui souhaite empêcher d'autres personnes d'envoyer des e-mails au nom de ses employés peut configurer DMARC dans son enregistrement de ressource DNS. Cela permet essentiellement aux destinataires des messages de s'assurer que le nom de domaine dans l'en-tête "De :" est le même que dans DKIM et SPF. En outre, l'enregistrement de ressource spécifie l'adresse à laquelle les serveurs de messagerie envoient des rapports sur les messages reçus qui échouent à la vérification (par exemple, lorsqu'une erreur s'est produite ou qu'une tentative frauduleuse d'usurpation de l'identité de l'expéditeur a été détectée).
Dans le même enregistrement de ressource, on peut également configurer la politique DMARC pour déterminer ce qu'il advient du message s'il échoue à la vérification. Trois types de politiques DMARC couvrent ces cas :
- Le rejet est la politique la plus stricte. Si vous sélectionnez cette option, tous les e-mails qui ne passent pas le contrôle DMARC seront bloqués.
- Avec la politique de quarantaine, selon le fournisseur de messagerie, le message se retrouve dans le dossier spam ou est remis mais marqué comme suspect.
- Avec Aucun, le message atteint la boîte de réception du destinataire, bien qu'un rapport soit toujours envoyé à l'expéditeur.
Inconvénients du DMARC
Inconvénients du DMARC
Dans l'ensemble, DMARC est tout à fait capable. La technologie rend le phishing beaucoup plus difficile. Mais lors de la résolution d'un problème, ce mécanisme en provoque un autre : les faux positifs. Les messages innocents peuvent être bloqués ou marqués comme spam dans deux types de cas.
- Messages transférés : certains systèmes de messagerie cassent les signatures SPF et DKIM dans les messages transférés, que les messages soient transférés à partir de différentes boîtes aux lettres ou qu'ils soient réacheminés via des nœuds de messagerie intermédiaires (relais).
- Paramètres incorrects : il n'est pas rare que les administrateurs de serveur de messagerie fassent des erreurs lors de la configuration de DKIM et SPF.
En ce qui concerne les e-mails professionnels, il est difficile de dire quel scénario est le pire : laisser passer un e-mail de phishing ou bloquer un message légitime.
L'approche de Kaspersky pour corriger les failles du DMARC
Cette technologie est sans aucun doute utile, c'est pourquoi Kaspersky a décidé de la renforcer en ajoutant l'apprentissage automatique au processus de validation, minimisant ainsi les faux positifs sans compromettre les avantages du DMARC. Et c'est comme ça que ça marche :
Lorsque les utilisateurs rédigent des e-mails, ils utilisent un Mail User Agent (MUA), un programme de messagerie tel que Microsoft Outlook. Le programme est chargé de générer le message et de l'envoyer à l'agent de transfert de courrier (MTA) pour un acheminement ultérieur. Le programme de messagerie ajoute les en-têtes techniques nécessaires au corps du message, au sujet et à l'adresse du destinataire (remplis par l'utilisateur).
Les attaquants utilisent souvent leurs propres programmes de messagerie pour contourner les systèmes de sécurité. En règle générale, ce sont des moteurs de messagerie faits maison qui génèrent et remplissent les messages selon un modèle donné. Par exemple, ils génèrent des en-têtes techniques pour les messages et leur contenu. Chaque programme de messagerie électronique a sa propre "écriture manuscrite".
Distinguer un e-mail légitime d'un e-mail de phishing
Si le message reçu échoue à la vérification DMARC, notre technologie entre en jeu. Il s'exécute sur un service cloud qui se connecte à la solution de sécurité sur l'appareil. Il commence par analyser plus en détail la séquence d'en-tête et le contenu des en-têtes X-Mailer et Message-ID à l'aide d'un réseau de neurones, permettant à la solution de distinguer un e-mail légitime d'un e-mail de phishing à distinguer. La technologie a été entraînée sur une énorme collection de messages électroniques (environ 140 millions de messages, dont 40 % de spam).
La combinaison de la technologie DMARC et de l'apprentissage automatique permet d'assurer la protection des utilisateurs contre les attaques de phishing tout en réduisant le nombre de faux positifs. Nous avons déjà implémenté la technologie dans chacun de nos produits qui ont un composant antispam : Kaspersky Security for Microsoft Exchange Server, Kaspersky Security for Linux Mail Server, Kaspersky Security for Mail Gateway (en partie dans Kaspersky Total Security for Business) et Kaspersky Security for Microsoft Bureau 365.
En savoir plus sur le blog de Kaspersky.com
À propos de Kaspersky Kaspersky est une société internationale de cybersécurité fondée en 1997. L'expertise approfondie de Kaspersky en matière de renseignements sur les menaces et de sécurité sert de base à des solutions et des services de sécurité innovants pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs du monde entier. Le portefeuille de sécurité complet de la société comprend une protection des terminaux de pointe et une gamme de solutions et de services de sécurité spécialisés pour se défendre contre les cybermenaces complexes et évolutives. Plus de 400 millions d'utilisateurs et 250.000 XNUMX entreprises clientes sont protégées par les technologies Kaspersky. Plus d'informations sur Kaspersky sur www.kaspersky.com/