
Comment renforcer la sécurité de vos e-mails en vous adaptant aux changements prévus par Google et Yahoo sur l’usage du protocole DMARC ?
À cette heure où le paysage de la sécurité des e-mails est en constante évolution, les principaux acteurs du marché, dont Google et Yahoo, sont sur le point d’introduire de nouvelles exigences en rapport au protocole DMARC (authentification, notification et conformité des messages par domaine). Ces changements devraient commencer à intervenir au début de l’année 2024.
L’introduction de ces nouvelles mesures offre une occasion unique aux établissements scolaires, en particulier à ceux qui utilisent la G Suite. Pour les établissements de la maternelle au lycée, le moment est propice pour prendre certaines initiatives de protection, par exemple contre les attaques par usurpation de domaine et contre les interruptions quelquefois causées par des prestataires commerciaux tiers de services éducatifs.
Le changement communiqué en rapport à la procédure d'authentification des expéditeurs d’e-mails
Google et Yahoo ont récemment annoncé qu’ils poursuivaient leur mise en œuvre de procédés permettant l’authentification fiable des expéditeurs de courriers électroniques. Ces services de messagerie cherchent à protéger leurs clients contre certaines attaques, en empêchant cette fois les expéditeurs d’e-mails de recourir à des usurpations de domaine. Yahoo et Google ont commencé à agir dans ce sens il y a un certain temps, en recourant de plus en plus au fil du temps à certains outils — comme les protocoles SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) et DMARC.
Selon leurs annonces, leurs prochaines étapes va consister à imposer des exigences encore plus strictes pour l’authentification des e-mails, ceci à partir de février 2024. Tout expéditeur devra alors appliquer une politique en rapport à DMARC si son domaine transmet plus de 5 000 courriers par jour à Gmail ou à un autre service hébergé par Google Workspace. Les expéditeurs qui ne le feront pas devront subir les conséquences de leur inaction car, lorsque l’authenticité d’un expéditeur n’aura pas pu être vérifiée, les e-mails légitimes qui lui seront envoyés seront rejetés.
Quand ce changement aura été introduit, les expéditeurs qui envoient des gros volumes à Google Workspace devront prouver leur authenticité. À défaut, ils pourraient faire face à des problèmes de réception, car les e-mails légitimes qui leur seront envoyés pourraient être rejetés.
Le défi pour les clients du secteur de l’éducation
Les prestataires de service éducatifs connus, comme Blackboard, PowerSchool, MySchoolBucks et d’autres, envoient couramment des volumes substantiels d'e-mails aux établissements scolaires. Ces courriers peuvent être destinés aux enseignants, au personnel non-enseignant ou aux élèves. Il s’agit d’e-mails qui proviennent d’un tiers mais qui utilisent le nom de domaine de l'établissement visé comme domaine d'expéditeur. Étant donné que les messageries des établissements scolaires sont hébergées sur Google Workspace, le changement prochain dans le recours au protocole DMARC devrait perturber considérablement la distribution de ces messages. La raison en est qu’ils sont envoyés par des tiers qui, dans la pratique, usurpent les domaines de leurs destinataires.
À partir de février 2024, Google traitera tous ces messages de la même manière que ceux qui constituent une attaque d’hameçonnage par usurpation de nom de domaine.
Découvrez comment Barracuda peut vous aider
Pour vous protéger contre la fraude par usurpation de domaine, Barracuda vous propose un dispositif qui analyse les rapports liés au protocole DMARC. L’intervention de cet outil arrive à un moment clé pour vous permettre de relever le défi auquel vous faites face. Rappelez-vous bien que c’est en février 2024 que Google prévoit d’appliquer les nouvelles mesures liées au protocole DMARC. Si vous gérez un établissement scolaire, vous ne disposez donc que d’un délai limité pour saisir l’occasion de protéger votre domaine, car le changement est imminent.
Grâce à la méthodologie proactive de Barracuda, vous atteindrez simultanément deux objectifs : vous vous prémunirez contre les attaques par e-mail entrant, et vous garantirez la continuité de vos communications électroniques avec les prestataires tiers de services éducatifs. Chose encore plus importante, nous protégerons votre organisation contre les usurpations potentielles de son domaine, car nous savons qu’un très grand nombre de tentatives d’hameçonnage réussies recourent à ce moyen d’attaque.
Conclusion
À cette heure où le paysage numérique continue d'évoluer, il est essentiel de souligner l'importance de la sécurisation des e-mails pour les établissements scolaires. Google et Yahoo prévoient de changer sous peu leurs politiques en rapport au protocole DMARC, et ces changements offrent aux établissements scolaires une occasion unique. En effet, le moment est devenu propice pour sécuriser les messageries scolaires et pour renforcer les mesures de protection prises par les écoles contre la fraude par e-mail. Cependant, il est également important que les établissements scolaires s’assurent qu’ils ne perturberont pas leurs communications lorsqu’elles sont essentielles à leur fonctionnement. Les établissements qui auront pris les mesures qui s’imposent pourront considérer les changements à venir comme bienvenus car, bien gérés, ces changements peuvent constituer une étape vers une sécurisation accrue des écosystèmes de communication numérique.
Cet article de blog a été écrit par Thorsten Stoeterau. Une assistance pour la recherche et le contenu a été fournie par Michael Townsend, architecte d’infrastructures de terrain chez Barracuda.

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter