DMARC introduit le concept d'« alignement d'identifiants » dans le monde de l'e-mail. Le concept est nécessaire parce que SPF et DKIM sont des technologies autonomes capables d'associer un domaine à un courrier électronique.

Quand un récepteur utilise SPF, le destinataire examine le domaine trouvé dans RFCXNUMX.MailFrom pour savoir où trouver un enregistrement SPF. L’adresse RFCXNUMX.MailFrom est l’entité transmise dans le cadre de la commande « MAIL FROM » lors de la conversation SMTP. Pour aggraver les choses, on appelle cette adresse aussi « adresse de rebond », « adresse de l'enveloppe », « adresse SPF », ou adresse de « ReturnPath » (car elle est copiée dans le contenu des messages électroniques en tant qu'en-tête ReturnPath par le destinataire de l'e-mail!). Quand un contrôle SPF a terminé avec succès, les destinataires se voient attribuer un « Identifiant Autorisé » qui est le domaine de RFCXNUMX.MailFrom.

DKIM est similaire en ce sens qu'il génère également un « Identifiant Autorisé ». Cependant, l'identifiant DKIM vient de la balise “d =” qui fait partie de chaque signature DKIM.

Dans le monde de DMARC, tout Identifiant Autorisé doit être pertinent pour le domaine examiné par DMARC, et c'est toujours le domaine trouvé dans l'en-tête De: d'un e-mail.

L'Alignment d'Identifiants est donc le processus de vérification pour s'assurer que les domaines authentifiés par SPF et DKIM soient pertinents pour le domaine trouvé dans l'en-tête De: d'un e-mail.

Un concept déroutant pour ceux qui démarrent avec DMARC.

L'Alignement d'Identifiants est requis car n'importe qui peut déployer SPF et DKIM pour chaque e-mail. Si un délinquant essaie de parodier bank.com et met en place un domaine criminel.net pour metrre en place SPF et DKIM; le fait que SPF et DKIM passent ne signifie pas que l'authentification ait quelque chose à voir avec bank.com.

De même, les destinataires d'e-mails ne peuvent pas gérer d'énormes listes pour associer les différents domaines de messagerie. Ils doivent traiter leurs e-mails le plus rapidement possible et n'ont pas le temps de démêler les nuances subtiles entre les domaines. Par exemple, si votre fournisseur de service de messagerie utilise «banknewsletter.com» pour SPF et DKIM tout en envoyant au nom de bank.com, l'infrastructure de réception d'e-mails d'Internet n'a aucune idée si banknewsletter.com est légitime, un site d'hameçonnage créé avec soin ou détenu et exploité par la même entité que bank.com.

L'Alignement d'Identifiants indique comment les technologies d'authentification d'e-mails existantes sont adaptées au contenu d'un e-mail.