Aller au contenu principal

9. Considérations sur la Confidentialité

Cette section traite des considérations de sécurité et de confidentialité spécifiques à la génération et à la transmission des rapports DMARC.

9.1. Considérations sur l'Exposition des Données

Les rapports agrégés sont limités en portée aux résultats de politique et de disposition DMARC, aux informations relatives aux mécanismes d'authentification sous-jacents, et aux identifiants impliqués dans la validation DMARC.

Les rapports de messages échoués fournissent des détails spécifiques aux messages concernant les échecs d'authentification. Les rapports individuels peuvent contenir du contenu de message ainsi que des champs d'en-tête de trace. Les propriétaires de domaines peuvent analyser les rapports individuels et tenter de déterminer les causes profondes des échecs des mécanismes d'authentification, obtenir un aperçu des mauvaises configurations ou d'autres problèmes avec l'infrastructure de courrier électronique et de réseau, ou inspecter les messages pour obtenir un aperçu des pratiques abusives.

Les deux types de rapports peuvent exposer des informations sensibles, notamment:

  • Adresses e-mail des expéditeurs et des destinataires.

  • Adresses IP des serveurs de messagerie, qui pourraient être utilisées pour déduire la topologie du réseau.

  • Détails de l'infrastructure d'authentification, tels que les noms de sélecteur DKIM et les mécanismes SPF.

  • Contenu des e-mails (dans les rapports d'échec, si inclus).

9.1.1. Données de Rapport Agrégé

Les rapports agrégés ne contiennent que des données statistiques de haut niveau et n'incluent pas de contenu de message. Cependant, ils incluent:

  • Adresses IP sources à partir desquelles le courrier prétendant provenir du domaine du propriétaire de domaine a été envoyé.

  • Volume de courrier de chaque source.

  • Résultats d'authentification (pass/fail) pour SPF et DKIM.

  • Résultats d'alignement des identifiants.

Ces informations pourraient potentiellement être utilisées pour cartographier l'infrastructure de courrier électronique du propriétaire de domaine ou identifier les services tiers utilisés pour envoyer du courrier électronique au nom du domaine.

9.1.2. Données de Rapport d'Échec

Les rapports d'échec peuvent contenir des informations beaucoup plus sensibles, notamment:

  • En-têtes de message complets, qui peuvent contenir des informations de routage interne.

  • Corps du message (si inclus), qui peut contenir des informations confidentielles ou personnelles.

  • Détails d'authentification, qui pourraient révéler des détails d'infrastructure.

9.2. Destinataires de Rapports

Un enregistrement DMARC peut spécifier que les rapports doivent être envoyés à une adresse en dehors du domaine sur lequel on rapporte. Cela crée des considérations de confidentialité supplémentaires:

  1. Rapports de tiers: Les propriétaires de domaines doivent examiner attentivement s'ils doivent diriger les rapports vers des services tiers.

  2. Partage de données: L'envoi de rapports à des adresses externes signifie partager des informations sur l'infrastructure de courrier électronique du domaine et les modèles de trafic avec un tiers.

  3. Exigence de vérification: Le mécanisme de vérification décrit dans la Section 7.1 aide à garantir que les destinations de rapport externes sont légitimement autorisées par le propriétaire de domaine.

Les propriétaires de domaines doivent:

  • Examiner attentivement tous les services tiers auxquels ils dirigent les rapports DMARC.

  • Comprendre quelles données sont partagées et comment elles seront utilisées.

  • Utiliser le chiffrement (par exemple, TLS) lorsque cela est possible pour la livraison de rapports afin de protéger les données en transit.

  • Considérer les politiques de confidentialité des destinataires de rapports et s'assurer qu'elles correspondent aux exigences de confidentialité du propriétaire de domaine.

9.3. Minimisation des Données

Pour minimiser les risques de confidentialité:

  • Les récepteurs de courrier devraient considérer le niveau de détail nécessaire dans les rapports d'échec et éviter d'inclure plus de données que nécessaire.

  • Les rapports d'échec devraient expurger ou omettre le contenu du corps du message à moins qu'il ne soit spécifiquement nécessaire pour le débogage.

  • Les propriétaires de domaines devraient limiter la distribution des rapports uniquement aux parties qui ont besoin d'accéder aux données.

  • Les processeurs de rapports devraient mettre en œuvre des contrôles de sécurité appropriés pour protéger les données de rapport.

9.4. Conformité aux Réglementations sur la Confidentialité

Les propriétaires de domaines et les récepteurs de courrier doivent s'assurer que leur traitement des rapports DMARC est conforme aux réglementations applicables en matière de confidentialité, telles que:

  • RGPD (Règlement général sur la protection des données) dans l'Union européenne.

  • CCPA (California Consumer Privacy Act) en Californie.

  • Autres lois régionales ou nationales sur la confidentialité.

Cela comprend:

  • S'assurer qu'il existe une base légitime pour le traitement des données dans les rapports.

  • Fournir une notification appropriée aux personnes dont les données peuvent être incluses dans les rapports.

  • Mettre en œuvre des mesures de sécurité appropriées pour protéger les données de rapport.

  • Honorer les droits des personnes concernées (par exemple, accès, suppression) le cas échéant.

Dernière mise à jour le