Chez Edenred Engagement, nous gérons de nombreux processus différents pour nos clients. Certains de ces processus incluent des transactions au nom de nos clients et d'autres incluent la notification de leurs employés concernant des changements dans leur éligibilité aux avantages. En raison de ce type de communication, nos clients doivent être sûrs que les e-mails de Edenred Engagement sont dignes de confiance.
L'e-mail a été inventé dans un environnement universitaire où l'usurpation d'identité et la fraude n'étaient pas considérées comme un problème potentiel. Depuis lors, les entreprises ont commencé à dépendre de l'e-mail, et des protections supplémentaires ont été introduites pour garantir que l'e-mail soit digne de confiance. La nécessité de s'assurer que l'expéditeur est vraiment celui que vous pensez est devenue de plus en plus pertinente.
Comment Edenred Engagement fait pour garantir une communication par e-mail sécurisée ?
Nous avons mis en œuvre diverses technologies pour assurer la communication par e-mail. Dans cet article, nous couvrirons les trois principales que nous utilisons :
-
Sender Policy Framework (SPF)
-
DomainKeys Identified Mail (DKIM)
-
Domain-based Message Authentication, Reporting and Conformance (DMARC)
Lorsqu'ils sont combinés, les procédures SPF, DKIM et DMARC garantissent que l'e-mail est une forme de communication sécurisée.
Sender Policy Framework (SPF)
Le SPF consiste à contrôler et à arrêter les tentatives de falsification de l'expéditeur, cela inclut :
-
Fraude
-
Malware & adware
-
Phishing
Lorsqu'un destinataire reçoit un e-mail, le serveur qui l'a envoyé est vérifié par rapport à l'adresse e-mail. Si ce serveur ne figure pas sur une liste approuvée, il est considéré comme non fiable et l'e-mail est signalé.
En savoir plus sur Wikipedia.
DomainKeys Identified Mail (DKIM)
Le DKIM fait à peu près la même chose que le SPF. Il utilise le chiffrement par clé publique pour empêcher les usurpateurs de falsifier de quelque manière que ce soit le contenu du message, et signale si les messages ont été falsifiés.
En savoir plus sur Wikipedia.
Domain-based Message Authentication, Reporting and Conformance (DMARC)
Le DMARC fonctionne avec les normes DKIM et SPF. Il nous permet de spécifier des règles pour garantir que toute activité frauduleuse semblant provenir de nos domaines soit bloquée. Il nous fournit également un canal de rapport pour surveiller les e-mails bloqués et les serveurs.
En savoir plus sur Wikipedia.
Comment cela garantit-il la sécurité des e-mails de nos clients ?
Pour le moment, nous indiquons aux serveurs de signaler les e-mails qui ne respectent pas nos règles SPF ou DMARC. Vos serveurs de messagerie devraient déjà être configurés pour vérifier cela.
Au cours de l'année 2019, nous allons renforcer la rigueur de ces règles et demander aux serveurs de nos clients non seulement de signaler les messages, mais de les supprimer activement.
Pourquoi la liste blanche des e-mails est-elle importante ?
Les mesures ci-dessus garantissent qu'aucune personne malveillante ne puisse envoyer des e-mails en notre nom. Cela ne garantit pas que le courrier sera livré une fois reçu. Il est possible que les solutions de messagerie de nos clients classent nos e-mails comme spam, appliquent des délais de livraison, bloquent les images, etc.
C'est un problème courant pour nous car nous envoyons à de nombreuses personnes différentes dans de nombreuses organisations différentes en succession rapide. De nombreux serveurs de messagerie essaient de détecter ce comportement et le classent comme des e-mails marketing, les plaçant dans un format de résumé. Nos directives de liste blanche visent à garantir que cela ne se produise pas et que les utilisateurs finaux ne soulèvent pas de problèmes de support en raison de retards dans le traitement des messages - la liste blanche ne consiste pas à désactiver les mesures de sécurité, mais à garantir que les bons e-mails atteignent les bonnes personnes au bon moment.
Qu'en est-il du phishing ?
Nous sommes conscients que le phishing constitue une menace sérieuse pour les organisations et leur sécurité, et que les avantages sont une cible facile pour les phishers.
Nous n'autoriserons aucune entreprise ou client à utiliser le contenu, la marque ou les sites Web de Edenred Engagement pour des tests de simulation de phishing. Nous prenons des mesures proactives pour détecter les menaces potentielles de phishing dans la nature. Si l'un de nos clients pense avoir reçu un e-mail de phishing utilisant nos coordonnées, il doit nous le signaler et nous prendrons toutes les mesures nécessaires pour perturber la campagne.