Les protocoles SPF, DKIM et DMARC permettent d'endiguer les attaques d'usurpation et de phishing. Pourtant, de nombreuses entreprises ne disposent pas de ces entrées. Comme l'analyse de sécurité informatique de LocateRisk vérifie entre autres l'existence et la configuration de SPF et DMARC, nous allons maintenant faire la lumière sur ces notions abstraites.
Phishing
Le phishing est un terme bien établi dans le monde de la cybersécurité, en particulier dans le domaine de la sécurité des e-mails. Étant donné que les pirates misent ici sur des astuces psychologiques plutôt que sur des compétences techniques, le phishing fait partie des méthodes d'attaque par manipulation (méthode d'ingénierie sociale). Les pirates utilisent une fausse identité sous laquelle ils envoient des e-mails aux victimes ou se font passer pour l'expéditeur d'un domaine de confiance. L'objectif est d'obtenir l'accès aux numéros de carte de crédit, aux mots de passe et à d'autres informations privées.
SPF, DKIM et DMARC
Ces abréviations désignent trois protocoles importants d'authentification des e-mails qui confirment aux fournisseurs de services Internet et aux serveurs de messagerie qu'un expéditeur est effectivement autorisé à envoyer des e-mails à partir d'un domaine donné. La preuve d'identité permet de prévenir les attaques de phishing et d'usurpation d'identité. Les organisations qui utilisent SPF, DKIM et DMARC pour vérifier leurs comptes de messagerie sont reconnues comme fiables par les serveurs du côté du destinataire. Les abréviations signifient
SPF : Sender Policy Framework
DKIM: Domainkeys Identified Mail
DMARC: Domain-based Message Authentication Reporting and Conformance
Qu'est-ce que le SPF ?
L'enregistrement SPF vous permet de définir quels serveurs sortants sont autorisés à envoyer des e-mails au nom de votre domaine. Le serveur destinataire reçoit alors une liste des adresses IP autorisées (enregistrement SPF). Si un serveur expéditeur ne figure pas dans l'enregistrement SPF de votre domaine, l'authentification du courrier électronique échoue. En règle générale, le système de messagerie avertit alors le destinataire avant d'ouvrir l'e-mail, rejette le message ou l'envoie directement dans la boîte de réception des spams.
L'enregistrement SPF est créé par une entrée txt dans le système de noms de domaine (DNS) de votre bureau d'enregistrement de domaine. Vous pouvez ajouter et supprimer les enregistrements dans le tableau de bord. Voici un exemple d'enregistrement SPF : v=spf1 ip4:1.2.3.4 ip4:200.199.198.197 include:spf.mailjet.com include:_spf.google.com ~all
Étape 1
Créez une entrée txt et saisissez comme version v=spf1 .
Étape 2
Saisissez les adresses IP de tous les serveurs de messagerie autorisés à utiliser votre domaine pour l'envoi d'e-mails. Ceux-ci peuvent être mentionnés comme une série d'adresses IP ou comme des adresses IP individuelles. Toutes doivent être précédées du préfixe ip4 : ou ip6 : commencer.
Étape 3
Les fournisseurs tiers autorisés à utiliser votre domaine sont répertoriés avec include : Dans notre exemple ci-dessus, mailjet.com et google.com sont des serveurs de messagerie tiers autorisés à envoyer des messages via ce domaine.
Étape 4
Une fois que vous avez ajouté tous les serveurs, vous pouvez terminer votre entrée SPF soit avec ~all (softfail) ou avec -all (hardfail) et enregistrer.
Softfail signifie que les e-mails provenant de serveurs non autorisés (serveurs qui ne figurent pas dans l'enregistrement SPF) sont tout de même autorisés à passer, mais sont marqués comme spam ou suspects. Hardfail, en revanche, signifie que l'e-mail non autorisé est rejeté. Une fois que l'enregistrement SPF est créé, il peut être publié par votre administrateur de domaine. Notez qu'il peut s'écouler 24 heures ou plus avant que les modifications ne prennent effet.
Le Record DKIM garantit que le contenu d'un message envoyé n'est pas modifié pendant qu'il est transmis de serveur en serveur via Internet au destinataire. Pour ce faire, une valeur de hash est calculée à partir du contenu du message. Si une seule virgule est modifiée dans le contenu, la valeur de Hash est modifiée. Pour vérifier l'intégrité d'un message, le hash transmise avec l'e-mail et le hash créée par le serveur destinataire lui-même doivent correspondre. Si ce n'est pas le cas, le message a été manipulé.
Comme SPF, DKIM nécessite une entrée txt dans le domaine mais une clé publique et une clé privée doivent être créées (cryptage asymétrique).
Un enregistrement DKIM ressemble par exemple à ceci :
v=DKIM1\;k=rsa\ ;p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC3QEKyU1fSma0axspqYK5iAj+54lsAg4qRCnpK68hawSd8zpsDz77ntGCR0X2mHVvkf0WEOIqaspaG/A5IGxieiWer+wBX8lW2tE4NHTE0PLhHqL0uD2sif2pKoPR3Wr6n/rbiihGYCIzvuY4/U5GigNUGls/QUbCPRyzho30wIDAQAB
Une entrée DKIM se compose de la version DKIM v=DKIM1l'algorithme de cryptage utilisé, RSA k=rsa et la clé publique p=.. La clé privée est utilisée pour crypter l'e-mail haché et ne quitte jamais le serveur expéditeur. La clé publique est publiée dans l'enregistrement DKIM du domaine et envoyée avec l'e-mail dans l'en-tête. Lorsque le serveur destinataire reçoit l'e-mail, il procède comme suit :
Étape 1
Créez une nouvelle entrée txt dans les paramètres DNS pour votre domaine. La domainkey vous est fournie par votre fournisseur de messagerie. Par exemple newsletter2022._domainkey.yourdomainname.com
Saisissez le nom dans le champ correspondant.
Étape 2
Générez une clé DKIM via votre fournisseur de messagerie et copiez sa valeur, par exemple k=rsa ; p=... (insérer la chaîne de caractères de la clé publique p) dans le champ txt chez votre fournisseur de domaine.
Étape 3
Après l'enregistrement, vérifiez si la signature fonctionne en envoyant un e-mail à une adresse Gmail ou Outlook.com, par exemple. Vous pourrez alors voir le contenu brut du message. Dans l'en-tête, il devrait y avoir un dkim=pass trouver.
Pour Gmail, cliquez sur le trois points en haut à droite du message, puis allez sur Afficher l'original.
DMARC complète l'authentification du courrier électronique en comparant la validité des enregistrements SPF et DKIM. Avec l'enregistrement DMARC, le serveur destinataire reçoit des instructions sur la manière de traiter les e-mails qui ne passent pas le test d'authentification. Ces règles sont données par le propriétaire du domaine via lequel les e-mails sont envoyés : par exemple, déplacer dans le dossier spam ou rejeter. DMARC indique également quels protocoles SPF, DKIM ou les deux ont été mis en œuvre et génère un rapport pour l'expéditeur.
Pour pouvoir configurer une entrée DMARC, il faut que soit DKIM, soit SPF, soit les deux soient actifs. Une entrée DMARC typique se présente comme suit : v=DMARC1 ; p=rejet ; rua=mailto:dmarc_reports@yourdomainname.com
v - indique la version du protocole DMARC.
p - indique comment procéder avec le message :
None - Ignorer la directive
Quarantaine - Mettre les courriers dans le dossier spam
Rejeter - Rejeter un e-mail
rua - indique l'adresse électronique à laquelle les données de rapport des messages qui ont échoué à la vérification DMARC doivent être envoyées.
Étape 1
Créez un nouvel enregistrement txt dans les paramètres DNS de votre domaine.
Étape 2
Copiez l'hôte/le nom et la valeur/la destination fournis par votre fournisseur de messagerie et collez-les dans les champs correspondants.
Étape 3
Testez vos paramètres comme décrit dans DKIM (étape 3) en envoyant un e-mail à une adresse Gmail ou Outlook. Idéalement, l'en-tête de l'e-mail envoyé devrait ressembler à ceci.
SPF, DKIM et DMARC servent à la sécurité informatique et devraient être activés comme partie intégrante de votre concept de sécurité. Dans le cadre d'une analyse LocateRisk, la catégorie "DNS" vérifie si les enregistrements SPF et DKIM sont présents et si votre envoi de courrier est bien protégé. Si vous n'êtes pas sûr que votre organisation utilise SPF et DMARC, vous devriez absolument le vérifier. Nous sommes toujours étonnés de voir combien d'entreprises mettent en péril leur sécurité en ne définissant pas d'entrées.
Identifiez et réduisez vos cyber-risques grâce à un aperçu comparable et compréhensible de votre sécurité informatique. Demandez conseil à nos experts et découvrez comment LocateRisk peut vous aider à résoudre vos cyber-risques.
Français 
Deutsch 
English