ADSP ou Author Domain Signing Practices est une extension facultative de DomainKeys Identified Mail, qui permet au domaine de l'auteur de spécifier des pratiques de signature. En tant que surensemble de la norme DKIM les pratiques de signature telles que celle-ci permettent de déterminer l'autorité des messages qui ne contiennent pas d'en-tête de signature DKIM.

Qu'est-ce que l'ADSP ? 

Nous avons déjà vu que DKIM est un protocole de sécurité qui permet à l'expéditeur d'un courriel de signer cryptographiquement ses messages pour confirmer qu'ils proviennent du bon domaine. Cela permet aux destinataires de vérifier que le message est authentique et qu'il n'a pas été modifié en transit.

Parfois, lorsque cette signature est absente, l'ADSP (Author Domain SIgning Practices), accessoire de DKIM, intervient pour évaluer ces messages non signés. Il fonctionne en définissant un enregistrement dans le DNS avec certaines instructions sur les pratiques de signature déterminées par le domaine de l'auteur. 

Termes et définitions pertinents

Avant d'entrer dans les détails des pratiques opérationnelles d'ADSP, passons en revue quelques termes liés à ce sujet : 

Quelle est l'adresse de l'auteur ?

Lorsque vous ouvrez un courriel, dans la section supérieure gauche de l'en-tête du message, vous trouverez l'adresse "From :". Cette adresse contient l'adresse électronique de l'expéditeur de l'e-mail (domaine d'envoi). Elle est également connue sous le nom d'adresse de l'auteur. Elle fait partie de l'en-tête visible. 

À ne pas confondre avec l'adresse Return-path qui contient des informations sur l'adresse IP du serveur de l'expéditeur et fait partie de l'en-tête caché. 

Qu'est-ce qu'une signature de domaine d'auteur ?

La signature du domaine de l'auteur fait référence à la balise d= de l'en-tête du courriel, qui contient la signature signature DKIM pour la vérification du message. Si la signature est valide, le nom de domaine mentionné dans l'en-tête de la signature devrait idéalement correspondre au nom figurant dans l'adresse de l'auteur (en-tête From :).

S'il ne correspond pas, cela peut signifier que le message a été modifié en cours de route ou que le domaine de l'expéditeur a été usurpé. 

Configuration des pratiques de signature de domaine d'auteur (ADSP)

Types de pratiques de signalisation définissables 

• inconnu : vous pouvez définir une pratique inconnue, ou choisir de ne rien définir du tout, car les deux serviront le même objectif. Inconnu fait référence à une règle de signature non divulguée ou non spécifiée offrant la flexibilité de signer n'importe quel volume de courrier électronique.
• tous : cette pratique spécifie que tous les e-mails doivent être signés avec une signature DKIM.
• rejetable : semblable à p=reject pour DMARC, la pratique discardable se réfère à une politique appliquée dans laquelle non seulement le volume total de courrier provenant du domaine de l'auteur sera signé avec DKIM, mais en cas de lacune, le courrier électronique sera rejeté (discarded) par le serveur de réception.

Enregistrement ADSP TXT : Définir les pratiques dans le DNS

Pour mettre en place des pratiques de signature de domaine d'auteur, vous devez publier l'enregistrement TXT suivant dans votre DNS : 

_adsp._domainkey.yourdomain.com. IN TXT "dkim=discardable"

Remplacez yourdomain.com par le nom du domaine d'envoi et la valeur dkim= par une pratique de signature de votre choix parmi les options présentées ci-dessus.

Avis de non-responsabilité 

Le site "inconnu est la pratique recommandée pour les domaines où les utilisateurs ne sont pas tenus d'envoyer des courriels à partir de serveurs de messagerie spécifiques qui relèvent du domaine de l'auteur. Une politique autre que l'inconnu dans de tels cas conduira à des échecs d'authentification, et/ou à des rejets de messages non désirés.

ADSP et DMARC : une solution moderne pour contourner les limites de l'ADSP

Tout ce qui est accompagné d'une clause de non-responsabilité ne peut être qualifié de totalement infaillible et efficace. ADSP, bien qu'il s'agisse d'un complément efficace au protocole DKIM, est assorti d'un ensemble de limitations et de complications qui ont réduit sa pertinence ces derniers temps. 

Une meilleure façon de contourner ces inconvénients est de mettre en place le protocole DMARC. Un protocole d'authentification des e-mails moderne, efficace et évolutif qui vous aidera :

• définir des politiques dans le DNS pour les messages qui échouent au test DKIM
• configurer le niveau d'application que vous souhaitez
• mettre en place un mécanisme de rapport pour afficher les résultats d'authentification, les rapports d'échec et les problèmes de livraison. 

Vous avez besoin d'aide pour mettre en place vos outils de sécurité pour la messagerie électronique? Nous sommes là pour vous aider ! L'équipe d'experts en authentification des courriels de PowerDMARC vous aidera à réinventer votre posture de sécurité avec une suite complète d'outils sur une plateforme automatisée en nuage. Contactez-nous dès aujourd'hui !

• À propos de
• Derniers messages

Yunes Tarada

Yunes est chef d'équipe des opérations chez PowerDMARC et possède des connaissances approfondies en matière d'authentification et de sécurité des courriels. Yunes est certifié Microsoft Azure Administrator Associate et possède des certifications CompTIA A+ et bien d'autres encore.

Derniers messages de Yunes Tarada (voir tous)

• SPF Softfail Vs Hardfail : Quelle est la différence ? - 26 avril 2024
• La FTC signale que le courrier électronique est un moyen populaire pour les escroqueries à l'usurpation d'identité - 16 avril 2024
• SubdoMailing et la montée du phishing par sous-domaine - 18 mars 2024