Comprendre SPF, DKIM et DMARC : un guide complet
SPF, DKIM et DMARC sont des protocoles essentiels d'authentification des courriels conçus pour protéger votre domaine et améliorer la délivrabilité des courriels. Ces protocoles fonctionnent ensemble pour vérifier l'identité de l'expéditeur et empêcher l'usurpation d'identité, un délit cybernétique courant dans lequel des acteurs malveillants se font passer pour des expéditeurs légitimes afin d'inciter les destinataires à cliquer sur des liens malveillants ou à ouvrir des pièces jointes.
- Sender Policy Framework (SPF) : Vérifie l'adresse IP de l'expéditeur pour s'assurer qu'il est autorisé à envoyer des courriels au nom de votre domaine.
- DomainKeys Identified Mail (DKIM) : Ajoute une signature numérique aux messages électroniques, vérifiant l'identité de l'expéditeur et empêchant la falsification des messages.
- Authentification, notification et conformité des messages par domaine (DMARC) : Fournit un cadre stratégique pour l'application des contrôles SPF et DKIM et la production de rapports sur les résultats de l'authentification du courrier électronique.
Nous allons nous pencher sur les notions de SPF, DKIM et DMARC, qui sont les éléments fondamentaux de l'authentification des courriers électroniques.
Comprendre l'authentification par courrier électronique
L'authentification des courriels est le processus de vérification de la légitimité des sources de courrier électronique. Il s'agit d'une mesure de sécurité essentielle prise par les organisations pour s'assurer que seuls les expéditeurs légitimes peuvent envoyer des courriels au nom de leur domaine. SPF, DKIM et DMARC constituent les piliers de l'authentification des courriels en vérifiant les sources d'envoi et le contenu des courriels et en définissant la manière de répondre aux messages qui échouent à l'authentification.
La menace croissante de l'usurpation d'adresse électronique
L'usurpation d'adresse électronique consiste à falsifier des noms de domaine et des adresses électroniques dans un but malveillant. Les courriels usurpés sont envoyés par des attaquants qui se font passer pour des entreprises légitimes afin d'escroquer des victimes qui ne se doutent de rien. Le rapport DBIR de Verizon indique que 94 % de toutes les cyberattaques commencent par un courrier électronique ! Cela met encore plus en évidence la menace croissante de l'usurpation d'identité et sa nature prolifique.
L'importance de l'authentification des courriels
L'authentification des courriels est la première ligne de défense contre l'usurpation d'adresse électronique. En vérifiant la légitimité des sources d'envoi, l'authentification empêche l'envoi de faux courriels. Des clients ont signalé une diminution de plus de 90 % des tentatives d'usurpation d'identité à partir de leur propre domaine après la mise en œuvre de protocoles d'authentification des courriels.
Que sont SPF, DKIM et DMARC ?
SPF, DKIM et DMARC sont des protocoles d'authentification du courrier électronique. Ensemble SPF, DMARC et DKIM empêchent les sources non autorisées d'utiliser votre domaine pour envoyer des courriels frauduleux à vos prospects, clients, employés, fournisseurs tiers, parties prenantes, etc. SPF et DKIM aident à démontrer la légitimité de l'e-mail, tandis que DMARC indique au serveur de messagerie du destinataire ce qu'il doit faire des e-mails qui échouent à l'authentification. d'authentification les vérifications.
Le rôle de SPF, DKIM et DMARC
L'authentification des courriels est importante pour protéger votre marque contre les cyberattaques basées sur les courriels qui utilisent des techniques d'hameçonnage et d'usurpation d'identité. L'authentification des courriels repose principalement sur les protocoles SPF, DKIM et DMARC, ainsi que sur des protocoles supplémentaires tels que MTA-STS, BIMI et ARC, qui peuvent renforcer encore davantage votre sécurité ! Voici pourquoi vous devez les mettre en œuvre :
- Ils veillent à ce que votre nom de domaine ne puisse pas être falsifié ou utilisé à mauvais escient.
- Ils vous aident à prévenir les attaques de phishing, de spamming, de ransomware, etc. planifiées et tentées au nom de votre entreprise.
- Ils améliorent le taux de délivrabilité des courriels de votre domaine. Un mauvais taux de délivrabilité des e-mails a un impact sur la communication interne, le marketing et les campagnes de relations publiques, le taux de fidélisation des clientsetc.
Où trouver vos enregistrements SPF, DKIM et DMARC ?
Les enregistrements SPF, DKIM et DMARC sont stockés dans votre système de noms de domaine ou DNS. Le DNS est généralement considéré comme l'annuaire téléphonique de l'internet, qui convertit les noms de domaine en adresses IP correspondantes. Le DNS est utilisé comme base de données pour stocker les informations relatives à votre domaine sous la forme d'enregistrements DNS.
SPF, DKIM et DMARC existent en tant qu'enregistrements DNS que vous pouvez publier et stocker dans votre DNS. Lors des contrôles d'authentification du courrier électronique, les MTA de réception interrogent votre DNS pour consulter ces enregistrements et prendre des mesures en fonction des instructions ou des informations qu'ils contiennent.
Comment configurer SPF, DKIM et DMARC ?
Suivez ces instructions pour configurer SPF, DKIM et DMARC afin de protéger votre domaine et vos courriels.
- Créer un enregistrement DNS SPF.
- Créez votre clé publique DKIM.
- Créez votre politique politique DMARC enregistrer et activer les rapports DMARC
- Créez une boîte aux lettres dédiée à la réception de vos rapports DMARC ou utilisez une plateforme d'analyse de rapports DMARC.
- Publier vos enregistrements SPF, DKIM et DMARC dans le DNS
SPF : vérification des expéditeurs de courrier électronique
Sender Policy Framework ou SPF est un protocole d'authentification des courriels dans lequel les propriétaires de domaines répertorient tous les serveurs autorisés à envoyer des courriels en utilisant leur domaine. Pour ce faire, ils créent un enregistrement TXT SPF qui est publié dans le DNS. Si une adresse IP d'envoi ne figure pas sur la liste, l'authentification échoue et l'e-mail peut être marqué comme spam ou suspect. Cependant, SPF a quelques limites : il s'interrompt lorsqu'un message est transféré ou que la limite de 10 recherches DNS est dépassée.
Si vous avez déjà un enregistrement SPF, vous pouvez utiliser notre vérificateur d'enregistrement SPF pour vous assurer qu'il ne contient pas d'erreurs.
Mise en place du SPF
- Identifiez toutes vos sources d'envoi de courrier électronique (y compris les fournisseurs tiers).
- Créer un enregistrement SPF à l'aide d'un générateur SPF gratuit. L'enregistrement doit autoriser toutes vos sources d'envoi.
- Copier la syntaxe de l'enregistrement.
- Connectez-vous à votre console de gestion DNS.
- Collez l'enregistrement dans votre section d'enregistrements DNS sous le type de ressource "TXT".
Attendez quelques heures pour que les changements soient appliqués. Une fois que c'est fait, vous pouvez utiliser notre outil de recherche d'enregistrements SPF outil pour vous assurer que l'enregistrement est exempt d'erreurs.
Défis communs avec le FPS
Les propriétaires de domaines sont confrontés à quelques problèmes courants lors de la mise en œuvre de SPF. Ils sont les suivants :
- Le dépassement de la limite de 10 consultations DNS interrompt le SPF
- Le dépassement de la limite de 2 pour la recherche des vides peut entraîner une rupture du SPF.
- Les enregistrements SPF sont limités à 255 caractères
- SPF échoue pour les messages transférés
Pour résoudre ces erreurs, les enregistrements SPF doivent être optimisés à l'aide de macros afin de rester en deçà des limites définies. La combinaison de SPF avec DKIM et DMARC garantit également une authentification et une délivrabilité plus aisées.
DKIM : protéger le contenu de vos courriels
DomainKeys Identified Mail ou DKIM permet aux propriétaires de domaines de signer automatiquement les courriers électroniques envoyés à partir de leur domaine. Le fonctionnement de DKIM est similaire à celui de la signature des chèques bancaires pour en valider l'authenticité. Les signatures DKIM garantissent que le contenu de votre courrier électronique reste sécurisé et inchangé au cours du processus d'envoi.
Elle consiste à stocker une clé publique dans un enregistrement DNS DKIM. Le serveur de messagerie destinataire peut accéder à cet enregistrement pour obtenir la clé publique. D'autre part, une clé privée est stockée secrètement par l'expéditeur qui signe l'en-tête du courrier électronique avec cette clé. Les serveurs de messagerie destinataires vérifient la clé privée de l'expéditeur en la comparant à la clé publique facilement accessible.
Configuration de DKIM
- Vous pouvez facilement mettre en place la norme DKIM en générant un enregistrement DKIM à l'aide du logiciel gratuit PowerDMARC générateur d'enregistrements DKIM.
- Entrez votre nom de domaine dans la boîte à outils et cliquez sur le bouton Générer l'enregistrement DKIM et cliquez sur le bouton Générer l'enregistrement DKIM.
- Vous obtiendrez une paire de clés DKIM privée et publique.
- Publier la clé publique sur le DNS de votre domaine.
- Configurez votre serveur de messagerie pour qu'il utilise la clé privée DKIM afin de signer les en-têtes de tous les courriels sortants. Ce processus de signature ajoute une signature DKIM à chaque courriel, que les serveurs de messagerie des destinataires vérifieront à l'aide de la clé publique DKIM correspondante publiée dans votre DNS. Veillez à conserver votre clé privée en lieu sûr et à ne pas la publier ni la divulguer.
Enfin, vérifiez votre clé publique DKIM à l'aide d'un moteur de recherche outil de recherche DKIM pour vous assurer qu'elle est correcte.
Avantages de DKIM
DKIM présente plusieurs avantages pour l'authentification des courriers électroniques. En voici quelques-uns :
- Dans la plupart des cas, DKIM authentifie correctement les messages transférés.
- DKIM empêche les cyber-attaquants de modifier le contenu des courriels.
- DKIM permet à chaque domaine de gérer indépendamment ses propres paires de clés publiques-privées, ce qui donne aux organisations un contrôle plus granulaire sur la sécurité de leur courrier électronique.
DMARC : prévention du phishing et du spoofing par courrier électronique
Authentification, notification et conformité des messages par domaine ou DMARC indique au serveur du destinataire ce qu'il doit faire des courriers électroniques qui ne répondent pas aux critères SPF, DKIM ou aux deux. L'action entreprise par le destinataire dépend de la politique DMARC configurée par l'expéditeur : aucune, quarantaine ou rejet.
Les politiques DMARC sont définies dans un enregistrement DMARC qui contient également des instructions pour envoyer aux administrateurs de domaine des rapports sur tous les courriels qui passent ou échouent les contrôles de validation. Si vous avez déjà mis en place une politique DMARCutilisez notre outil gratuit de recherche d'enregistrements outil gratuit de recherche d'enregistrements DMARC pour vérifier si elle est correcte.
Configuration de DMARC
- Vous pouvez créer votre enregistrement DMARC à l'aide d'un générateur DMARC gratuit.
- Choisissez votre politique DMARC (par exemple p=quarantine) et activez le reporting DMARC en définissant une adresse e-mail dans la balise "rua" (par exemple rua=mailto:[email protected]).
- Cliquez sur Générer.
- Copiez l'enregistrement TXT dans le presse-papiers et collez-le sur votre DNS pour activer le protocole.
Vérifiez votre mise en œuvre de DMARC à l'aide d'un DMARC checker pour valider vos configurations.
Politiques et actions de mise en œuvre de DMARC
Il existe trois types de politiques DMARC que les propriétaires de domaines peuvent configurer pour prendre des mesures contre les courriels non authentifiés. Ils sont les suivants :
- Aucune : Désignée par p=none, la politique none est une politique de non-action qui délivre des messages non authentifiés sans prendre aucune mesure à leur encontre. Elle est idéale pour les débutants.
- Quarantaine: Désignée par p=quarantine, la politique de quarantaine est une politique DMARC appliquée qui met en quarantaine les courriels non authentifiés.
- Rejet : Désignée par p=reject, la politique de rejet est une politique d'application maximale pour DMARC qui rejette les messages non authentifiés.
Votre politique politique DMARC joue un rôle important dans la prévention des menaces liées au courrier électronique. En appliquant les règles en vigueur, les propriétaires de domaines sont mieux protégés contre les attaques par usurpation d'identité et par hameçonnage.
Techniques avancées d'authentification des courriels
L'authentification du courrier électronique ne s'arrête pas à SPF, DKIM et DMARC. Pour renforcer la sécurité de votre domaine et de votre messagerie, vous pouvez mettre en œuvre des techniques d'authentification avancées. Examinons-en quelques-unes :
MTA-STS, BIMI et ARC
Le protocole d'authentification MTA-STS garantit la livraison cryptée TLS des messages électroniques dans votre boîte de réception. Il empêche les attaques de type "man-the-middle" et "DNS spoofing" en négociant une connexion SMTP cryptée entre les serveurs de messagerie qui communiquent entre eux.
BIMI, ou Brand Indicators for Message Identification, permet aux entreprises d'apposer le logo de leur marque sur les messages électroniques. Il s'agit d'une vérification et d'une authentification visuelles qui améliorent la mémorisation et la crédibilité de la marque.
ARC (Authenticated Received Chain) crée un mécanisme de repli lors du transfert de courrier électronique, en aidant à préserver les en-têtes d'authentification SPF et DKIM d'origine. Cela permet d'éviter les échecs d'authentification inutiles pour les messages transférés.
Quand mettre en œuvre ces techniques ?
Vous pouvez mettre en œuvre ces techniques dans la phase 2 de votre parcours d'authentification du courrier électronique, une fois que vous êtes sûr de votre configuration SPF, DKIM et DMARC.
Ces configurations avancées sont idéales pour toutes les organisations qui souhaitent établir la crédibilité de leur marque et améliorer encore davantage la réputation de leur courrier électronique. Elles permettent de fournir une sécurité supplémentaire en plus d'une configuration d'authentification de base, ce qui vous permet d'être mieux équipé pour lutter contre les cyberattaques sophistiquées.
Mise en œuvre et maintenance de votre configuration d'authentification des courriels
Une fois que vous avez mis en œuvre vos protocoles SPF, DKIM et DMARC, il est temps de les surveiller et de les maintenir pour s'assurer que tout fonctionne correctement. Voici quelques moyens de maintenir votre configuration d'authentification :
Utilisation des outils de surveillance
Les outils de surveillance DMARC sont des plateformes basées sur le cloud et alimentées par l'IA, qui permettent de surveiller instantanément et facilement vos implémentations d'authentification de courrier électronique à partir d'une interface unique.
Analyse des rapports DMARC
L'analyse de vos rapports DMARC peut fournir une mine d'informations sur les résultats d'authentification SPF, DKIM et DMARC et sur les sources d'envoi de votre domaine. Cela permet de détecter les incohérences et de prévenir les tentatives d'usurpation d'identité.
Mises à jour et maintenance régulières
Il est important de vérifier régulièrement les techniques d'authentification avancée SPF, DKIM et DMARC pour s'assurer qu'elles fonctionnent correctement. SPF peut nécessiter des mises à jour périodiques pour inclure de nouvelles sources d'envoi, les clés DKIM doivent faire l'objet d'une rotation fréquente pour améliorer la sécurité, et les politiques DMARC doivent être appliquées pour prévenir les cyberattaques. En l'absence de mises à jour ou d'une maintenance appropriée, vos implémentations risquent d'être inefficaces.
Conclusion
Une fois que vous avez configuré DKIM, SPF et DMARC pour votre domaine, vous devez commencer à surveiller vos rapports pour repérer les activités suspectes. En configurant et en gérant correctement ces protocoles, vous pouvez améliorer de manière significative la sécurité et la délivrabilité de votre domaine.
N'oubliez pas qu'ensemble, ces protocoles d'authentification peuvent réduire le risque d'hameçonnage, mais qu'ils ne protègent pas contre tous les actes de cybercriminalité par courriel. C'est pourquoi il est important de poursuivre l'éducation et la sensibilisation des employés.
Questions courantes sur SPF, DKIM et DMARC
Puis-je créer un DMARC si SPF et DKIM ne sont pas ajoutés ?
La réponse est non. Pour configurer DMARC, il faut d'abord mettre en œuvre SPF ou DKIM. Sans SPF ou DKIM, votre configuration DMARC ne fonctionnera pas.
DMARC exige-t-il à la fois SPF et DKIM ?
DMARC ne nécessite pas les deux protocoles SPF et DKIM. L'un ou l'autre de ces protocoles peut être mis en place avant DMARC. Toutefois, nous recommandons de les mettre en œuvre tous les deux pour une sécurité accrue.
Gmail utilise-t-il SPF ou DKIM ?
Oui. La mise à jour des directives d'envoi de Gmail exige que tous les expéditeurs mettent en œuvre SPF ou DKIM pour envoyer avec succès des courriers électroniques dans les boîtes de réception Gmail.
Un domaine peut-il avoir 2 enregistrements DKIM ?
Un domaine peut avoir 2 ou plusieurs enregistrements DKIM avec différents sélecteurs afin que les serveurs de réception puissent facilement localiser le bon enregistrement DKIM lors de l'authentification.
Comment puis-je savoir si DMARC, DKIM et SPF sont activés ?
Pour savoir si DMARC, DKIM et SPF sont activés pour votre domaine, vous pouvez utiliser nos outils de vérification des enregistrements DNS dans Powertoolbox, ou analyser les en-têtes de votre courrier électronique.
- Comment devenir un expert DMARC ? - 3 septembre 2024
- Le rôle de l'adoption numérique dans la délivrabilité et la sécurité des courriels - 2 septembre 2024
- Phases de déploiement de DMARC : A quoi s'attendre et comment se préparer - 30 août 2024