
DMARCbis : Les risques cachés de la tag 'np' avec DNSSEC
Spécialiste LLMs, AI Agents et Infrastructure IA

Spécialiste LLMs, AI Agents et Infrastructure IA
La nouvelle tag 'np' du DMARCbis améliore la sécurité des e-mails en ciblant les sous-domaines inexistants pour limiter le spoofing. Cependant, son interaction avec DNSSEC, particulièrement avec la technique NSEC Black Lies, soulève des défis techniques et des risques de sécurité, nécessitant des ajustements dans les configurations DNS.
Le protocole DMARCbis, détaillé dans le RFC 9989, introduit une nouvelle fonctionnalité : la tag 'np' (non-existent subdomain policy). Cette tag permet de spécifier des politiques spécifiques pour les sous-domaines qui n'existent pas, renforçant ainsi la protection contre les attaques par usurpation d'identité (spoofing). Contrairement à la tag existante 'sp', qui ne s'applique qu'aux sous-domaines existants, 'np' couvre un éventail plus large de scénarios.
Les sous-domaines inexistants sont souvent exploités par les cybercriminels pour contourner les politiques DMARC classiques. En configurant une politique stricte, comme np=reject, les administrateurs système peuvent bloquer les e-mails frauduleux émis depuis des sous-domaines non réels.
Malgré ses avantages, la tag 'np' rencontre des obstacles lorsqu'elle interagit avec DNSSEC (Domain Name System Security Extensions), un protocole qui sécurise les réponses DNS via des signatures numériques.
Avec DNSSEC, lorsqu'une requête est effectuée pour un sous-domaine inexistant, la technique NSEC Black Lies (RFC 9824) est utilisée pour répondre de manière compacte, sans révéler l'ensemble des sous-domaines valides. Cette approche, bien qu'efficace pour préserver la confidentialité des données DNS, entre en conflit avec les besoins de validation de la tag 'np'.
Des stratégies peuvent être mises en place pour minimiser les problèmes découlant de l'interaction entre 'np' et DNSSEC. Voici quelques recommandations :
La tag 'np' (non-existent subdomain policy) permet de définir des politiques pour les e-mails envoyés depuis des sous-domaines inexistants, renforçant la protection contre le spoofing.
La technique NSEC Black Lies de DNSSEC peut générer des réponses ambiguës, rendant difficile la validation correcte des sous-domaines inexistants par la tag 'np'.
Il est recommandé de vérifier les configurations DNSSEC, effectuer des tests rigoureux et adopter des politiques de sécurité e-mails adaptées pour éviter les vulnérabilités.
💡 Dica Pro: Utilisez des outils comme dnsdiag ou dnsviz.net pour identifier les incompatibilités entre votre configuration DNSSEC et les exigences de la tag 'np'. Ces outils peuvent simuler des requêtes DNS et vous fournir des rapports détaillés pour ajuster vos paramètres.