bootcamp - dmarc.globalcyberalliance.org€¦ · •rapports envoyés uniquement aux adresses...

24
Bootcamp Copyright © 2020 Global Cyber Alliance Shehzad Mirza Directeur des Operations [email protected] [email protected] Traduction FR : Leo Gonzales CEO Devensys / Merox.io Partenaire GCA [email protected]

Upload: others

Post on 16-Nov-2020

5 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services

Bootcamp

Copyright © 2020 Global Cyber Alliance

Shehzad MirzaDirecteur des Operations

[email protected]@globalcyberalliance.org

Traduction FR : Leo GonzalesCEO Devensys / Merox.io

Partenaire [email protected]

Page 2: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services

Reporting & Analyses DMARC : et après ?

Copyright © 2020 Global Cyber Alliance

Page 3: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services

3

SOLUTION :

U N E S O L U T I O N P RO U V É EQ U I L I MI TE L E RI S Q U E .

D o m a i n - b a s e d M e s s a g e A u t h e n t i c a t i o n , R e p o r t i n g a n d C o n f o r m a n c e ( D M A R C ) .C ’ e s t c o m m e u n c o n t r ô l e d ’ i d e n t i t é p o u r v o t r e n o m d e d o m a i n e .

Copyright © 2020 Global Cyber Alliance

Page 4: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services

4

Enregistrement DMARC DNS TXT

• Basic:Domaine : _dmarc. <nomdedomaine>Valeur : v=DMARC1; p=none; rua=mailto:< adresse email>; ruf=mailto:< adresse email>;

• Complex:Domaine : _dmarc. <nomdedomaine>Valeur : v=DMARC1; p=none; rua=mailto:<adresse email>; ruf=mailto:< adresse email>; fo=1; adkim=r; aspf=r; pct=100; rf=afrf; ri=86400; sp=reject;

Copyright © 2020 Global Cyber Alliance

Page 5: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services

5

Vue d’ensemble

1

2 3 4

5

6

7

Copyright © 2020 Global Cyber Alliance

2 3 4

7

Serveur DNSde l’organisation

expéditrice

Boîte d’envoi

(expéditeur)

Boîte de réception

(destinataire)

Envoieun email

EnregistrementDMARC publié

Vérifiel’enregistrement

du expéditeur

Service d’envoieemail de l’expéditeur

Service de réception email du destinataire

Renvoie les rapports

Email valide

« Reject» (R

ejeter)

« Quarantine » (Quarantaine)

Politique échouée :l’email est droppé et

n’est même pas délivré

Politique échouée :l’email est identifié

comme spam

15

6

Envoieun email

Page 6: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services

6

Rapports DMARC

• DMARC génère deux types de rapports :• Agrégé (aggregate)• Forensique (Forensic / Failure)

Copyright © 2020 Global Cyber Alliance

Page 7: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services

7

Rapports forensiques (Forensic/Failure)(tag ruf)• Le nombre de rapports dépend du nombre d’e-mails envoyés• Les rapports fournissent un aperçu des messages marqués comme

suspects• Préoccupations relatives à la protection de la vie privée

Copyright © 2020 Global Cyber Alliance

Page 8: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services

8

Exemple de rapport Forensic/Echec

Copyright © 2020 Global Cyber Alliance

Page 9: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services

9

Aggregate Reports(rua tag)• Rapports envoyés en format XML à l’adresse email de votre choix

(peuvent être envoyés à plusieurs adresses)

• Le nombre et la longueur des rapports dépendent de la quantité d’emails envoyés

• Permet :• Aux équipes informatiques de corriger les problèmes avec les messages

valides étant « droppés » (supprimés) par la politique• De la visibilité sur les systèmes qui envoient des emails avec le nom de

domaine de l’organisation (depuis des IPs autorisées et non autorisées)Copyright © 2020 Global Cyber Alliance

Page 10: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services

10

Exemple de rapport agrégé

<?xml version="1.0" encoding="UTF-8" ?><feedback><report_metadata><org_name>google.com</org_name><email>[email protected]</email><extra_contact_info>https://support.google.com/a/answer/2466580</extra_contact_info><report_id>6156901232184779430</report_id><date_range><begin>1466121600</begin><end>1466207999</end>

</date_range></report_metadata><policy_published><domain>globalcyberalliance.org</domain><adkim>r</adkim><aspf>r</aspf><p>quarantine</p><sp>quarantine</sp><pct>100</pct>

</policy_published><record><row><source_ip>2607:f8b0:4001:c0b::22f</source_ip><count>2</count><policy_evaluated><disposition>none</disposition><dkim>pass</dkim><spf>pass</spf>

</policy_evaluated></row><identifiers><header_from>globalcyberalliance.org</header_from>

</identifiers><auth_results><dkim><domain>globalcyberalliance.org</domain><result>pass</result>

</dkim><spf><domain>globalcyberalliance.org</domain><result>pass</result>

</spf></auth_results>

</record>Copyright © 2020 Global Cyber Alliance

Page 11: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services

11

Rapports Agrégés (aggregate)

Copyright © 2020 Global Cyber Alliance

Page 12: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services

12

DMARC Pass/Fail (passe/échoue)

DE : Domaine (From) DKIM Alignement DKIM SPF Alignement SPF DMARC

company.com Passe Aligné : company.com Passe Aligné : company.com Passe

company.com Passe Non-aligné : domain.com Passe Aligné : company.com Passe

company.com Passe Aligné : company.com Passe Non-aligné : domain.com Passe

company.com Échoue Non-aligné : domain.com Échoue Non-aligné : domain.com Échoue

company.com Échoue Non-aligné : domain.com Passe Aligné : company.com Passe

company.com Passe Aligné : company.com Échoue Non-aligné : domain.com Passe

Copyright © 2020 Global Cyber Alliance

Page 13: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services

13

Alignement SPFPasse (Pass):

From: [email protected]

Return-Path: <[email protected]>

Received-SPF: pass (google.com: domain of [email protected] designates 2607:f8b0:4864:20::d34 as permitted sender) client-ip=2607:f8b0:4864:20::d34;

Échoue (Fail) :

From: [email protected]

Return-Path: < [email protected] >

Received-SPF: pass (google.com: domain of [email protected] designates 205.201.133.58 as permitted sender) client-ip=205.201.133.58;

Pour obtenir un alignment SPF “valide” (pass), le domaine From: du header doit être identique au domaineutilisé pour authentifier SPF (le “mail from:” de l’enveloppe ; le domaine du “return-path”).

Copyright © 2020 Global Cyber Alliance

Page 14: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services

14

Alignement SPF

Copyright © 2020 Global Cyber Alliance

nonaligné

nonaligné

bon

bon

SPFDomaine

SPFpure

SPFDMARC

aligné

aligné

aligné

aligné

aligné

aligné

aligné

aligné

aligné

aligné

bon

bon

bon

bon

bon

bon

bon

bon

bon

bon

SPFDMARC

SPFpure

SPFDomaine

Page 15: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services

15

Alignement DKIMPasse (pass) :Header du message (en-tête) :De: [email protected]

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=globalcyberalliance.org; s=gca; h=mime-version:references:in-reply-to:from:date:message-id:subject:to :cc;

Échoue (fail) :Header du message (en-tête) :De: [email protected]

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=mail8.mcsignup.com; s=default; h=mime-version:references:in-reply-to:from:date:message-id:subject:to :cc;

Copyright © 2020 Global Cyber Alliance

aligné

aligné

aligné

aligné

non aligné

non aligné

non aligné

non aligné

non aligné

non aligné

bon

bon

bon

bon

bon

bon

bon

bon

bon

bon

DKIMDMARC

DKIMpure

DKIMd=

Page 16: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services

16

Ce qu’il faut chercherProblèmes de DKIM

Potentielle usurpation (spoofing)

Problèmes DKIM et SPF

Copyright © 2020 Global Cyber Alliance

Page 17: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services

17

Fournisseurs de solutions DMARC

Copyright © 2020 Global Cyber Alliance

Page 18: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services

18

Possiblités/Options « Gratuites »• UK National Cyber Security Centre - https://github.com/ukncsc/mail-check• St. Louis County - https://github.com/wwalker0307/ElasticMARC• Valimail Monitor - https://go.valimail.com/microsoft.html• parsedmarc - https://github.com/domainaware/parsedmarc

• Convertisseurs XML vers “Humain” (adapté si le nombre de rapports reçus est petit) • Dmarcian - XML Uploader

• Analyseurs DMARC (fonctionnalités/capacités limitées)• Postmark - https://dmarc.postmarkapp.com/• MXTOOLBOX - https://mxtoolbox.com/dmarcsetup

• Outils tiers• LinkedIn LaFayette - https://github.com/linkedin/lafayette/• Parser DMARC SendGrid - https://github.com/thinkingserious/sendgrid-python-dmarc-parser• DMARC Report Processor de YAHOO - https://github.com/prbinu/dmarc-report-processor

• Des ressources supplémentaires sont disponibles sur la page DMARC.org "Code and Libraries"Copyright © 2020 Global Cyber Alliance

Page 19: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services

19

“Vérificationdes destinations externes”

• Par défaut, vous ne pouvez pas envoyer de rapports à des domaines externes

• Pour envoyer vers des domaines externes, le destinataire doit ajouter les éléments suivants dans ses DNS :Domaine : <reporting domain>._report._dmarcValeur : “v=DMARC1;”

• Exemple :• gotdmarc.com._report._dmarc.gotdmarc.org

Copyright © 2020 Global Cyber Alliance

Page 20: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services

20

Rapports DMARC et RGPD (GDPR)

• Rapports forensique – attention à la protection de la vie privée• Les rapports d’échec doivent être « censurés » (redacted)

• Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC

• Fournit une visibilité sur tous les services qui envoient des emails en votre nom

Copyright © 2020 Global Cyber Alliance

Page 21: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services

21

Et après ?

• Analyser les rapports• Ajuster le SPF et le DKIM au besoin

• Passer à Quarantine/Reject (quarantaine/rejeter)• Continuer à analyser les rapports• Ajuster le SPF et le DKIM au besoin lorsque de

nouveaux services de messagerie sont ajoutés

Copyright © 2020 Global Cyber Alliance

Page 22: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services

22

Ressources aditionnelles

• DMARC.org (http://www.dmarc.org) - Très bonne source d’informations sur le DMARC

• GCA DMARC - https://dmarc.globalcyberalliance.org

• Forum – https://community.globalcyberalliance.org

• Ressources du Bootcamp : https://dmarc.globalcyberalliance.org/dmarc-bootcamp/

Copyright © 2020 Global Cyber Alliance

Page 23: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services

Questions / Réponses

Copyright © 2020 Global Cyber Alliance

Page 24: Bootcamp - dmarc.globalcyberalliance.org€¦ · •Rapports envoyés uniquement aux adresses e-mail définies dans la stratégie DMARC •Fournit une visibilité sur tous les services

Merci !

Copyright © 2020 Global Cyber Alliance

Shehzad MirzaDirecteur des Operations

[email protected]@globalcyberalliance.org

Traduction FR : Leo GonzalesCEO Devensys / Merox.io

Partenaire [email protected]