Dans le monde des courriels professionnels, on entend souvent parler de spam, de phishing, de courriels bloqués… Mais un terme revient de plus en plus souvent : DMARC. Et si vous avez déjà vu l’un de vos courriels partir en quarantaine sans même que vous puissiez le « libérer » vous-même, vous avez peut-être été victime d’un problème lié à ce fameux DMARC.
Mais pourquoi est-ce que ça arrive, et surtout, pourquoi ne peut-on pas simplement cliquer sur « libérer » comme pour d’autres courriels ?
D'abord, c'est quoi DMARC ?
DMARC, c’est l’acronyme de Domain-based Message Authentication, Reporting and Conformance. En français simple, c’est une technologie qui protège votre domaine de courriel (ex. : votresite.com) contre les attaques d’usurpation d’identité (comme le spoofing ou le phishing). Il sert à vérifier que les messages envoyés avec un certain domaine viennent réellement de la bonne source.
DMARC fonctionne main dans la main avec deux autres technologies :
SPF : vérifie que l’expéditeur est autorisé à envoyer depuis ce domaine.
DKIM : vérifie que le message n’a pas été modifié en route.
Si ces deux tests échouent, la politique DMARC entre en jeu.
Et c’est là que les choses se corsent.
Qu'est-ce qu'une « politique » DMARC ?
DMARC permet au propriétaire d’un domaine de définir une politique très claire :
- Aucun : on observe seulement, sans bloquer.
- Quarantaine : on place les messages douteux en quarantaine.
- Rejeter : on rejette complètement les messages.
C’est là que tout se joue. Quand la politique est configurée sur quarantaine ou rejeter, cela signifie que les messages qui échouent l’authentification peuvent se retrouver dans la quarantaine, mais avec une différence importante : ces messages ne sont pas toujours libérables par l’utilisateur final.
Pourquoi ? Parce que ce n’est pas votre système de messagerie qui décide, mais plutôt la politique définie par le domaine de l’expéditeur.
En gros, l’expéditeur a dit : « Si ce message ne passe pas les tests, je ne veux pas qu’il soit remis au destinataire. »
Mais pourquoi je ne peux pas simplement « libérer » le message ?
Parce que le message est considéré comme potentiellement frauduleux ou usurpé par son propre domaine. Il est souvent bloqué à un niveau supérieur, c’est-à-dire par le serveur, avant même qu’il ne soit présenté à l’usager.
Dans ce cas, vous ne verrez même pas le message. Et s’il est visible, votre interface ne vous proposera pas de bouton pour le libérer, car ce serait aller à l’encontre de la politique définie.
Même si le message vous semble légitime, votre système suit à la lettre ce que le domaine source a exigé.
Est-ce un bogue ou un excès de zèle ?
Ni l’un ni l’autre. C’est exactement ce que DMARC est censé faire : protéger les domaines contre l’usurpation d’identité.
Et tant mieux ! Sans ça, n’importe qui pourrait envoyer un courriel en se faisant passer pour quelqu’un de votre organisation.
Comment éviter ça ?
Voici quelques conseils simples :
- Parlez-en avec vos partenaires : si vous recevez souvent des courriels d’un fournisseur ou d’un client légitime qui se font bloquer à cause de DMARC, invitez-les à vérifier leur configuration SPF, DKIM et DMARC.
- Évitez de rediriger les courriels automatiquement : si vous redirigez vos courriels (ex. : d’une adresse personnelle vers votre adresse professionnelle), cela peut casser les signatures DKIM, ce qui entraîne un échec DMARC. Mieux vaut utiliser des transferts propres avec une authentification intacte.
- Travaillez avec votre équipe TI : ils peuvent parfois ajuster certains filtres pour mieux gérer ce genre de cas… Mais attention : ils ne peuvent pas « forcer » la réception d’un message rejeté par la politique DMARC définie.
En résumé,
DMARC, c’est un peu comme un agent de sécurité à l’entrée de votre messagerie. Si l’expéditeur a mis en place des règles strictes, même vous, le destinataire, ne pouvez pas passer outre.
Chez 10RUPTiV, nous sommes là pour vous aider à mieux comprendre et gérer ce genre de situations afin de maintenir la sécurité et la fluidité de vos communications. Nous sommes conscients que souvent, le problème vient d’une mauvaise configuration de la politique mise en place par le TI de l’entreprise. C’est pourquoi nous interceptons les messages normalement rejetés pour les acheminer vers la quarantaine, permettant ainsi une analyse manuelle avant suppression ou libération contrôlée.
