bootcamp - dmarc.globalcyberalliance.org€¦ · •rapports envoyés uniquement aux adresses...
TRANSCRIPT
![Page 1: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services](https://reader033.vdocuments.mx/reader033/viewer/2022060805/608a8992b5d1bd1eb74161fa/html5/thumbnails/1.jpg)
Bootcamp
Copyright © 2020 Global Cyber Alliance
Shehzad MirzaDirecteur des Operations
[email protected]@globalcyberalliance.org
Traduction FR : Leo GonzalesCEO Devensys / Merox.io
Partenaire [email protected]
![Page 2: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services](https://reader033.vdocuments.mx/reader033/viewer/2022060805/608a8992b5d1bd1eb74161fa/html5/thumbnails/2.jpg)
Reporting & Analyses DMARC : et après ?
Copyright © 2020 Global Cyber Alliance
![Page 3: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services](https://reader033.vdocuments.mx/reader033/viewer/2022060805/608a8992b5d1bd1eb74161fa/html5/thumbnails/3.jpg)
3
SOLUTION :
U N E S O L U T I O N P RO U V É EQ U I L I MI TE L E RI S Q U E .
D o m a i n - b a s e d M e s s a g e A u t h e n t i c a t i o n , R e p o r t i n g a n d C o n f o r m a n c e ( D M A R C ) .C ’ e s t c o m m e u n c o n t r ô l e d ’ i d e n t i t é p o u r v o t r e n o m d e d o m a i n e .
Copyright © 2020 Global Cyber Alliance
![Page 4: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services](https://reader033.vdocuments.mx/reader033/viewer/2022060805/608a8992b5d1bd1eb74161fa/html5/thumbnails/4.jpg)
4
Enregistrement DMARC DNS TXT
• Basic:Domaine : _dmarc. <nomdedomaine>Valeur : v=DMARC1; p=none; rua=mailto:< adresse email>; ruf=mailto:< adresse email>;
• Complex:Domaine : _dmarc. <nomdedomaine>Valeur : v=DMARC1; p=none; rua=mailto:<adresse email>; ruf=mailto:< adresse email>; fo=1; adkim=r; aspf=r; pct=100; rf=afrf; ri=86400; sp=reject;
Copyright © 2020 Global Cyber Alliance
![Page 5: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services](https://reader033.vdocuments.mx/reader033/viewer/2022060805/608a8992b5d1bd1eb74161fa/html5/thumbnails/5.jpg)
5
Vue d’ensemble
1
2 3 4
5
6
7
Copyright © 2020 Global Cyber Alliance
2 3 4
7
Serveur DNSde l’organisation
expéditrice
Boîte d’envoi
(expéditeur)
Boîte de réception
(destinataire)
Envoieun email
EnregistrementDMARC publié
Vérifiel’enregistrement
du expéditeur
Service d’envoieemail de l’expéditeur
Service de réception email du destinataire
Renvoie les rapports
Email valide
« Reject» (R
ejeter)
« Quarantine » (Quarantaine)
Politique échouée :l’email est droppé et
n’est même pas délivré
Politique échouée :l’email est identifié
comme spam
15
6
Envoieun email
![Page 6: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services](https://reader033.vdocuments.mx/reader033/viewer/2022060805/608a8992b5d1bd1eb74161fa/html5/thumbnails/6.jpg)
6
Rapports DMARC
• DMARC génère deux types de rapports :• Agrégé (aggregate)• Forensique (Forensic / Failure)
Copyright © 2020 Global Cyber Alliance
![Page 7: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services](https://reader033.vdocuments.mx/reader033/viewer/2022060805/608a8992b5d1bd1eb74161fa/html5/thumbnails/7.jpg)
7
Rapports forensiques (Forensic/Failure)(tag ruf)• Le nombre de rapports dépend du nombre d’e-mails envoyés• Les rapports fournissent un aperçu des messages marqués comme
suspects• Préoccupations relatives à la protection de la vie privée
Copyright © 2020 Global Cyber Alliance
![Page 8: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services](https://reader033.vdocuments.mx/reader033/viewer/2022060805/608a8992b5d1bd1eb74161fa/html5/thumbnails/8.jpg)
8
Exemple de rapport Forensic/Echec
Copyright © 2020 Global Cyber Alliance
![Page 9: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services](https://reader033.vdocuments.mx/reader033/viewer/2022060805/608a8992b5d1bd1eb74161fa/html5/thumbnails/9.jpg)
9
Aggregate Reports(rua tag)• Rapports envoyés en format XML à l’adresse email de votre choix
(peuvent être envoyés à plusieurs adresses)
• Le nombre et la longueur des rapports dépendent de la quantité d’emails envoyés
• Permet :• Aux équipes informatiques de corriger les problèmes avec les messages
valides étant « droppés » (supprimés) par la politique• De la visibilité sur les systèmes qui envoient des emails avec le nom de
domaine de l’organisation (depuis des IPs autorisées et non autorisées)Copyright © 2020 Global Cyber Alliance
![Page 10: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services](https://reader033.vdocuments.mx/reader033/viewer/2022060805/608a8992b5d1bd1eb74161fa/html5/thumbnails/10.jpg)
10
Exemple de rapport agrégé
<?xml version="1.0" encoding="UTF-8" ?><feedback><report_metadata><org_name>google.com</org_name><email>[email protected]</email><extra_contact_info>https://support.google.com/a/answer/2466580</extra_contact_info><report_id>6156901232184779430</report_id><date_range><begin>1466121600</begin><end>1466207999</end>
</date_range></report_metadata><policy_published><domain>globalcyberalliance.org</domain><adkim>r</adkim><aspf>r</aspf><p>quarantine</p><sp>quarantine</sp><pct>100</pct>
</policy_published><record><row><source_ip>2607:f8b0:4001:c0b::22f</source_ip><count>2</count><policy_evaluated><disposition>none</disposition><dkim>pass</dkim><spf>pass</spf>
</policy_evaluated></row><identifiers><header_from>globalcyberalliance.org</header_from>
</identifiers><auth_results><dkim><domain>globalcyberalliance.org</domain><result>pass</result>
</dkim><spf><domain>globalcyberalliance.org</domain><result>pass</result>
</spf></auth_results>
</record>Copyright © 2020 Global Cyber Alliance
![Page 11: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services](https://reader033.vdocuments.mx/reader033/viewer/2022060805/608a8992b5d1bd1eb74161fa/html5/thumbnails/11.jpg)
11
Rapports Agrégés (aggregate)
Copyright © 2020 Global Cyber Alliance
![Page 12: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services](https://reader033.vdocuments.mx/reader033/viewer/2022060805/608a8992b5d1bd1eb74161fa/html5/thumbnails/12.jpg)
12
DMARC Pass/Fail (passe/échoue)
DE : Domaine (From) DKIM Alignement DKIM SPF Alignement SPF DMARC
company.com Passe Aligné : company.com Passe Aligné : company.com Passe
company.com Passe Non-aligné : domain.com Passe Aligné : company.com Passe
company.com Passe Aligné : company.com Passe Non-aligné : domain.com Passe
company.com Échoue Non-aligné : domain.com Échoue Non-aligné : domain.com Échoue
company.com Échoue Non-aligné : domain.com Passe Aligné : company.com Passe
company.com Passe Aligné : company.com Échoue Non-aligné : domain.com Passe
Copyright © 2020 Global Cyber Alliance
![Page 13: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services](https://reader033.vdocuments.mx/reader033/viewer/2022060805/608a8992b5d1bd1eb74161fa/html5/thumbnails/13.jpg)
13
Alignement SPFPasse (Pass):
From: [email protected]
Return-Path: <[email protected]>
Received-SPF: pass (google.com: domain of [email protected] designates 2607:f8b0:4864:20::d34 as permitted sender) client-ip=2607:f8b0:4864:20::d34;
Échoue (Fail) :
From: [email protected]
Return-Path: < [email protected] >
Received-SPF: pass (google.com: domain of [email protected] designates 205.201.133.58 as permitted sender) client-ip=205.201.133.58;
Pour obtenir un alignment SPF “valide” (pass), le domaine From: du header doit être identique au domaineutilisé pour authentifier SPF (le “mail from:” de l’enveloppe ; le domaine du “return-path”).
Copyright © 2020 Global Cyber Alliance
![Page 14: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services](https://reader033.vdocuments.mx/reader033/viewer/2022060805/608a8992b5d1bd1eb74161fa/html5/thumbnails/14.jpg)
14
Alignement SPF
Copyright © 2020 Global Cyber Alliance
nonaligné
nonaligné
bon
bon
SPFDomaine
SPFpure
SPFDMARC
aligné
aligné
aligné
aligné
aligné
aligné
aligné
aligné
aligné
aligné
bon
bon
bon
bon
bon
bon
bon
bon
bon
bon
SPFDMARC
SPFpure
SPFDomaine
![Page 15: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services](https://reader033.vdocuments.mx/reader033/viewer/2022060805/608a8992b5d1bd1eb74161fa/html5/thumbnails/15.jpg)
15
Alignement DKIMPasse (pass) :Header du message (en-tête) :De: [email protected]
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=globalcyberalliance.org; s=gca; h=mime-version:references:in-reply-to:from:date:message-id:subject:to :cc;
Échoue (fail) :Header du message (en-tête) :De: [email protected]
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=mail8.mcsignup.com; s=default; h=mime-version:references:in-reply-to:from:date:message-id:subject:to :cc;
Copyright © 2020 Global Cyber Alliance
aligné
aligné
aligné
aligné
non aligné
non aligné
non aligné
non aligné
non aligné
non aligné
bon
bon
bon
bon
bon
bon
bon
bon
bon
bon
DKIMDMARC
DKIMpure
DKIMd=
![Page 16: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services](https://reader033.vdocuments.mx/reader033/viewer/2022060805/608a8992b5d1bd1eb74161fa/html5/thumbnails/16.jpg)
16
Ce qu’il faut chercherProblèmes de DKIM
Potentielle usurpation (spoofing)
Problèmes DKIM et SPF
Copyright © 2020 Global Cyber Alliance
![Page 17: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services](https://reader033.vdocuments.mx/reader033/viewer/2022060805/608a8992b5d1bd1eb74161fa/html5/thumbnails/17.jpg)
17
Fournisseurs de solutions DMARC
Copyright © 2020 Global Cyber Alliance
![Page 18: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services](https://reader033.vdocuments.mx/reader033/viewer/2022060805/608a8992b5d1bd1eb74161fa/html5/thumbnails/18.jpg)
18
Possiblités/Options « Gratuites »• UK National Cyber Security Centre - https://github.com/ukncsc/mail-check• St. Louis County - https://github.com/wwalker0307/ElasticMARC• Valimail Monitor - https://go.valimail.com/microsoft.html• parsedmarc - https://github.com/domainaware/parsedmarc
• Convertisseurs XML vers “Humain” (adapté si le nombre de rapports reçus est petit) • Dmarcian - XML Uploader
• Analyseurs DMARC (fonctionnalités/capacités limitées)• Postmark - https://dmarc.postmarkapp.com/• MXTOOLBOX - https://mxtoolbox.com/dmarcsetup
• Outils tiers• LinkedIn LaFayette - https://github.com/linkedin/lafayette/• Parser DMARC SendGrid - https://github.com/thinkingserious/sendgrid-python-dmarc-parser• DMARC Report Processor de YAHOO - https://github.com/prbinu/dmarc-report-processor
• Des ressources supplémentaires sont disponibles sur la page DMARC.org "Code and Libraries"Copyright © 2020 Global Cyber Alliance
![Page 19: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services](https://reader033.vdocuments.mx/reader033/viewer/2022060805/608a8992b5d1bd1eb74161fa/html5/thumbnails/19.jpg)
19
“Vérificationdes destinations externes”
• Par défaut, vous ne pouvez pas envoyer de rapports à des domaines externes
• Pour envoyer vers des domaines externes, le destinataire doit ajouter les éléments suivants dans ses DNS :Domaine : <reporting domain>._report._dmarcValeur : “v=DMARC1;”
• Exemple :• gotdmarc.com._report._dmarc.gotdmarc.org
Copyright © 2020 Global Cyber Alliance
![Page 20: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services](https://reader033.vdocuments.mx/reader033/viewer/2022060805/608a8992b5d1bd1eb74161fa/html5/thumbnails/20.jpg)
20
Rapports DMARC et RGPD (GDPR)
• Rapports forensique – attention à la protection de la vie privée• Les rapports d’échec doivent être « censurés » (redacted)
• Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC
• Fournit une visibilité sur tous les services qui envoient des emails en votre nom
Copyright © 2020 Global Cyber Alliance
![Page 21: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services](https://reader033.vdocuments.mx/reader033/viewer/2022060805/608a8992b5d1bd1eb74161fa/html5/thumbnails/21.jpg)
21
Et après ?
• Analyser les rapports• Ajuster le SPF et le DKIM au besoin
• Passer à Quarantine/Reject (quarantaine/rejeter)• Continuer à analyser les rapports• Ajuster le SPF et le DKIM au besoin lorsque de
nouveaux services de messagerie sont ajoutés
Copyright © 2020 Global Cyber Alliance
![Page 22: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services](https://reader033.vdocuments.mx/reader033/viewer/2022060805/608a8992b5d1bd1eb74161fa/html5/thumbnails/22.jpg)
22
Ressources aditionnelles
• DMARC.org (http://www.dmarc.org) - Très bonne source d’informations sur le DMARC
• GCA DMARC - https://dmarc.globalcyberalliance.org
• Forum – https://community.globalcyberalliance.org
• Ressources du Bootcamp : https://dmarc.globalcyberalliance.org/dmarc-bootcamp/
Copyright © 2020 Global Cyber Alliance
![Page 23: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services](https://reader033.vdocuments.mx/reader033/viewer/2022060805/608a8992b5d1bd1eb74161fa/html5/thumbnails/23.jpg)
Questions / Réponses
Copyright © 2020 Global Cyber Alliance
![Page 24: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services](https://reader033.vdocuments.mx/reader033/viewer/2022060805/608a8992b5d1bd1eb74161fa/html5/thumbnails/24.jpg)
Merci !
Copyright © 2020 Global Cyber Alliance
Shehzad MirzaDirecteur des Operations
[email protected]@globalcyberalliance.org
Traduction FR : Leo GonzalesCEO Devensys / Merox.io
Partenaire [email protected]