Comprendre SPF, DKIM et DMARC : un guide complet

Blog

Protégez vos communications par courrier électronique avec SPF, DKIM et DMARC. Protégez-vous contre l'usurpation d'adresse électronique et garantissez des interactions sûres et fiables. Commencez dès aujourd'hui !

par Ahona Rudra

Temps de lecture : 9 min
Comprendre SPF, DKIM et DMARC : un guide complet
Table des matières-

Que sont SPF, DKIM et DMARC ?

SPF, DKIM et DMARC sont les trois principaux protocoles d'authentification du courrier électronique. Ensemble, SPF, DMARC et DKIM empêchent les sources non autorisées d'utiliser votre domaine pour envoyer des courriels frauduleux à vos prospects, clients, employés, fournisseurs tiers, parties prenantes, etc. SPF et DKIM contribuent à démontrer la légitimité du courrier électronique, tandis que DMARC indique au serveur de messagerie du destinataire ce qu'il doit faire des courriers électroniques qui échouent aux contrôles d'authentification.

  • Sender Policy Framework (SPF) : Vérifie l'adresse IP de l'expéditeur pour s'assurer qu'il est autorisé à envoyer des courriels au nom de votre domaine.
  • DomainKeys Identified Mail (DKIM) : Ajoute une signature numérique aux messages électroniques, vérifiant l'identité de l'expéditeur et empêchant la falsification des messages.
  • Authentification, notification et conformité des messages par domaine (DMARC) : Fournit un cadre stratégique pour l'application des contrôles SPF et DKIM et la production de rapports sur les résultats de l'authentification du courrier électronique.

Points clés à retenir

  1. SPF, DKIM et DMARC sont des protocoles essentiels qui fonctionnent ensemble pour renforcer la sécurité du courrier électronique et empêcher l'utilisation non autorisée de votre domaine.
  2. L'authentification du courrier électronique est essentielle pour se protéger contre le phishing et le spoofing, qui représentent un pourcentage important des cyberattaques.
  3. La mise en œuvre de ces protocoles peut entraîner une nette diminution des tentatives d'usurpation d'identité, améliorant ainsi la sécurité globale de votre domaine.
  4. Le maintien et la mise à jour régulière de vos paramètres SPF, DKIM et DMARC garantissent l'efficacité de la protection de vos communications électroniques.
  5. Des techniques avancées telles que MTA-STS et BIMI peuvent renforcer votre stratégie d'authentification du courrier électronique en améliorant la sécurité et la visibilité de la marque.


Comprendre l'authentification par courrier électronique

L'authentification des courriels est le processus de vérification de la légitimité des sources de courrier électronique. Il s'agit d'une mesure de sécurité essentielle prise par les organisations pour s'assurer que seuls les expéditeurs légitimes peuvent envoyer des courriels au nom de leur domaine. SPF, DKIM et DMARC constituent les piliers de l'authentification des courriels en vérifiant les sources d'envoi et le contenu des courriels et en définissant la manière de répondre aux messages qui échouent à l'authentification.

Le rapport DBIR de Verizon indique que 94 % de toutes les cyberattaques commencent par un courrier électronique ! Cela met encore plus en évidence la menace croissante de l'usurpation d'identité et sa nature prolifique. 

L'importance de l'authentification des courriels

L'authentification des courriels est la première ligne de défense contre l'usurpation d'adresse électronique. L'usurpation d'adresse électronique consiste à falsifier des noms de domaine et des adresses électroniques dans un but malveillant. Les courriels usurpés sont envoyés par des attaquants qui se font passer pour des entreprises légitimes afin d'escroquer des victimes qui ne se doutent de rien. En vérifiant la légitimité des sources d'envoi, l'authentification empêche l'envoi de faux courriels. Des clients ont signalé une diminution de plus de 90 % des tentatives d'usurpation d'identité à partir de leur propre domaine après la mise en œuvre de protocoles d'authentification des courriels. 

Le rôle de SPF, DKIM et DMARC

L'authentification des courriels est importante pour protéger votre marque contre les cyberattaques basées sur les courriels qui utilisent des techniques d'hameçonnage et d'usurpation d'identité. L'authentification des courriels repose principalement sur les protocoles SPF, DKIM et DMARC, ainsi que sur des protocoles supplémentaires tels que MTA-STS, BIMI et ARC, qui peuvent renforcer encore davantage votre sécurité ! Voici pourquoi vous devez les mettre en œuvre :

  • Ils veillent à ce que votre nom de domaine ne puisse pas être falsifié ou utilisé à mauvais escient.
  • Ils vous aident à prévenir les attaques de phishing, de spamming, de ransomware, etc. planifiées et tentées au nom de votre entreprise.
  • Ils améliorent le taux de délivrabilité des courriels de votre domaine. Un mauvais taux de délivrabilité des e-mails a un impact sur la communication interne, le marketing et les campagnes de relations publiques, le taux de fidélisation des clientsetc.

Simplifiez l'authentification des courriels avec PowerDMARC !

15 jours d'essaiRéservez une démo

Où pouvez-vous effectuer une vérification SPF, DKIM et DMARC ?

Les contrôles SPF, DKIM et DMARC peuvent être effectués en vérifiant que les enregistrements sont stockés dans votre système de noms de domaine (DNS). Le DNS est généralement considéré comme l'annuaire téléphonique de l'internet, qui convertit les noms de domaine en adresses IP correspondantes. Le DNS est utilisé comme base de données pour stocker les informations relatives à votre domaine sous la forme d'enregistrements DNS. 

Un contrôle SPF, DKIM et DMARC est utilisé pour examiner les enregistrements DNS existants que vous pouvez publier et stocker dans votre DNS. Lors des contrôles d'authentification du courrier électronique, les MTA de réception interrogent votre DNS pour rechercher ces enregistrements et prendre des mesures en fonction des instructions ou des informations qui y sont définies. Vous pouvez utiliser le vérificateur d'enregistrements SPF, DKIM et DMARC gratuit de PowerDMARC pour vérifier instantanément si votre DNS contient ces enregistrements !

Comment configurer SPF, DKIM et DMARC ?

Suivez ces instructions pour configurer SPF, DKIM et DMARC afin de protéger votre domaine et vos courriels.

  1. Créer un enregistrement DNS SPF.
  2. Créez votre clé publique DKIM.
  3. Créez votre politique politique DMARC enregistrer et activer les rapports DMARC
  4. Créez une boîte aux lettres dédiée à la réception de vos rapports DMARC ou utilisez une plateforme d'analyse de rapports DMARC.
  5. Publier vos enregistrements SPF, DKIM et DMARC dans le DNS

SPF : vérification des expéditeurs de courrier électronique

Sender Policy Framework ou SPF est un protocole d'authentification des courriels dans lequel les propriétaires de domaines répertorient tous les serveurs autorisés à envoyer des courriels en utilisant leur domaine. Pour ce faire, ils créent un enregistrement TXT SPF qui est publié dans le DNS. Si une adresse IP d'envoi ne figure pas sur la liste, l'authentification échoue et l'e-mail peut être marqué comme spam ou suspect. Cependant, SPF a quelques limites : il s'interrompt lorsqu'un message est transféré ou que la limite de 10 recherches DNS est dépassée.

Si vous avez déjà un enregistrement SPF, vous pouvez utiliser notre vérificateur d'enregistrement SPF pour vous assurer qu'il ne contient pas d'erreurs.

Mise en place du SPF 

  1. Identifiez toutes vos sources d'envoi de courrier électronique (y compris les fournisseurs tiers).
  2. Créer un enregistrement SPF à l'aide d'un générateur SPF gratuit. L'enregistrement doit autoriser toutes vos sources d'envoi.
  3. Copier la syntaxe de l'enregistrement.
  4. Connectez-vous à votre console de gestion DNS.
  5. Collez l'enregistrement dans votre section d'enregistrements DNS sous le type de ressource "TXT".

Attendez quelques heures pour que les changements soient appliqués. Une fois que c'est fait, vous pouvez utiliser notre outil de recherche d'enregistrements SPF outil pour vous assurer que l'enregistrement est exempt d'erreurs.

Défis communs avec le FPS

Lorsque l'on connaît les défis posés par SPF, DKIM et DMARC, il convient de noter que les propriétaires de domaines sont confrontés à quelques difficultés communes, en particulier dans le cadre de la mise en œuvre de SPF. Ces problèmes sont les suivants : 

  • Le dépassement de la limite de 10 consultations DNS interrompt le SPF
  • Le dépassement de la limite de 2 pour la recherche des vides peut entraîner une rupture du SPF.
  • Les enregistrements SPF sont limités à 255 caractères 
  • SPF échoue pour les messages transférés 

Pour résoudre ces erreurs, les enregistrements SPF doivent être optimisés à l'aide de macros afin de rester en deçà des limites définies. La combinaison de SPF avec DKIM et DMARC garantit également une authentification et une délivrabilité plus aisées.

DKIM : protéger le contenu de vos courriels

DomainKeys Identified Mail ou DKIM permet aux propriétaires de domaines de signer automatiquement les courriers électroniques envoyés à partir de leur domaine. Le fonctionnement de DKIM est similaire à celui de la signature des chèques bancaires pour en valider l'authenticité. Les signatures DKIM garantissent que le contenu de votre courrier électronique reste sécurisé et inchangé au cours du processus d'envoi.

Elle consiste à stocker une clé publique dans un enregistrement DNS DKIM. Le serveur de messagerie destinataire peut accéder à cet enregistrement pour obtenir la clé publique. D'autre part, une clé privée est stockée secrètement par l'expéditeur qui signe l'en-tête du courrier électronique avec cette clé. Les serveurs de messagerie destinataires vérifient la clé privée de l'expéditeur en la comparant à la clé publique facilement accessible.

Configuration de DKIM 

  1. Vous pouvez facilement mettre en place la norme DKIM en générant un enregistrement DKIM à l'aide du logiciel gratuit PowerDMARC générateur d'enregistrements DKIM.
  2. Entrez votre nom de domaine dans la boîte à outils et cliquez sur le bouton Générer l'enregistrement DKIM et cliquez sur le bouton Générer l'enregistrement DKIM.
  3. Vous obtiendrez une paire de clés DKIM privée et publique. 
  4. Publier la clé publique sur le DNS de votre domaine.
  5. Configurez votre serveur de messagerie pour qu'il utilise la clé privée DKIM afin de signer les en-têtes de tous les courriels sortants. Ce processus de signature ajoute une signature DKIM à chaque courriel, que les serveurs de messagerie des destinataires vérifieront à l'aide de la clé publique DKIM correspondante publiée dans votre DNS. Veillez à conserver votre clé privée en lieu sûr et à ne pas la publier ni la divulguer. 

Enfin, vérifiez votre clé publique DKIM à l'aide d'un moteur de recherche outil de recherche DKIM pour vous assurer qu'elle est correcte.

Avantages de DKIM

Lorsque l'on envisage d'ajouter l'authentification SPF, DKIM et DMARC, DKIM présente plusieurs avantages en matière d'authentification des courriers électroniques :

  • Dans la plupart des cas, DKIM authentifie correctement les messages transférés. 
  • DKIM empêche les cyber-attaquants de modifier le contenu des courriels.
  • DKIM permet à chaque domaine de gérer indépendamment ses propres paires de clés publiques-privées, ce qui donne aux organisations un contrôle plus granulaire sur la sécurité de leur courrier électronique.

DMARC : prévention du phishing et du spoofing par courrier électronique

Authentification, notification et conformité des messages par domaine ou DMARC indique au serveur du destinataire ce qu'il doit faire des courriers électroniques qui ne répondent pas aux critères SPF, DKIM ou aux deux. L'action entreprise par le destinataire dépend de la politique DMARC configurée par l'expéditeur - aucune, quarantine ou rejet.

Les politiques DMARC sont définies dans un enregistrement DMARC qui contient également des instructions pour envoyer aux administrateurs de domaine des rapports sur tous les courriels qui passent ou échouent les contrôles de validation. Si vous avez déjà mis en place une politique DMARCutilisez notre outil gratuit de recherche d'enregistrements outil gratuit de recherche d'enregistrements DMARC pour vérifier si elle est correcte.

Configuration de DMARC

  1. Vous pouvez créer votre enregistrement DMARC à l'aide d'un générateur DMARC gratuit.
  2. Choisissez votre politique DMARC (par exemple quarantine) et activez le reporting DMARC en définissant une adresse e-mail dans la balise "rua" (par exemple rua=mailto:[email protected]).
  3. Cliquez sur Générer.
  4. Copiez l'enregistrement TXT dans le presse-papiers et collez-le sur votre DNS pour activer le protocole.

Vérifiez votre mise en œuvre de DMARC à l'aide d'un DMARC checker pour valider vos configurations.

Générateur d'enregistrements DMARC

Politiques et actions de mise en œuvre de DMARC

Il existe trois types de politiques DMARC que les propriétaires de domaines peuvent configurer pour prendre des mesures contre les courriels non authentifiés. Ils sont les suivants : 

  1. Aucune : Désignée par p=none, la politique none est une politique de non-action qui délivre des messages non authentifiés sans prendre aucune mesure à leur encontre. Elle est idéale pour les débutants.
  2. Quarantine: Désignée par quarantine, la politique de quarantine est une politique DMARC appliquée qui met en quarantaine les courriels non authentifiés.
  3. Rejet : Désignée par p=reject, la politique de rejet est une politique d'application maximale pour DMARC qui rejette les messages non authentifiés.

Votre politique politique DMARC joue un rôle important dans la prévention des menaces liées au courrier électronique. En appliquant les règles en vigueur, les propriétaires de domaines sont mieux protégés contre les attaques par usurpation d'identité et par hameçonnage.

Techniques avancées d'authentification des courriels

L'authentification du courrier électronique ne s'arrête pas à SPF, DKIM et DMARC. Pour renforcer la sécurité de votre domaine et de votre messagerie, vous pouvez mettre en œuvre des techniques d'authentification avancées. Examinons-en quelques-unes : 

MTA-STS, BIMI et ARC

Le protocole d'authentification MTA-STS garantit la livraison cryptée TLS des messages électroniques dans votre boîte de réception. Il empêche les attaques de type "man-the-middle" et "DNS spoofing" en négociant une connexion SMTP cryptée entre les serveurs de messagerie qui communiquent entre eux. 

BIMI, ou Brand Indicators for Message Identification, permet aux entreprises d'apposer le logo de leur marque sur les messages électroniques. Il s'agit d'une vérification et d'une authentification visuelles qui améliorent la mémorisation et la crédibilité de la marque. 

ARC(Authenticated Received Chain) crée un mécanisme de repli lors du transfert de courrier électronique, en aidant à préserver les en-têtes d'authentification SPF et DKIM d'origine. Cela permet d'éviter les échecs d'authentification inutiles pour les messages transférés. 

Quand mettre en œuvre ces techniques ?

Une fois que vous êtes sûr de votre configuration DMARCvous pouvez mettre en œuvre ces techniques dans la phase 2 de votre parcours d'authentification des courriels.

Ces configurations avancées sont idéales pour toutes les organisations qui souhaitent établir la crédibilité de leur marque et améliorer encore davantage la réputation de leur courrier électronique. Elles permettent de fournir une sécurité supplémentaire en plus d'une configuration d'authentification de base, ce qui vous permet d'être mieux équipé pour lutter contre les cyberattaques sophistiquées. 

Mise en œuvre et maintenance de votre configuration d'authentification des courriels

Une fois que vous avez mis en œuvre vos protocoles SPF, DKIM et DMARC, il est temps de les surveiller et de les maintenir pour s'assurer que tout fonctionne correctement. Voici quelques moyens de maintenir votre configuration d'authentification : 

Utilisation des outils de surveillance

Les outils de surveillance DMARC sont des plateformes basées sur le cloud et alimentées par l'IA, qui permettent de surveiller instantanément et facilement vos implémentations d'authentification de courrier électronique à partir d'une interface unique.

Analyse des rapports DMARC

L'analyse de vos rapports DMARC peut fournir une mine d'informations sur les résultats de l'authentification des courriels et sur les sources d'envoi de votre domaine. Cela permet de détecter les incohérences et de prévenir les tentatives d'usurpation d'identité. 

Mises à jour et maintenance régulières

Il est important de vérifier régulièrement les techniques d'authentification avancée SPF, DKIM et DMARC pour s'assurer qu'elles fonctionnent correctement. SPF peut nécessiter des mises à jour périodiques pour inclure de nouvelles sources d'envoi, les clés DKIM doivent faire l'objet d'une rotation fréquente pour améliorer la sécurité, et les politiques DMARC doivent être appliquées pour prévenir les cyberattaques. En l'absence de mises à jour ou d'une maintenance appropriée, vos implémentations risquent d'être inefficaces. 

Conclusion

Une fois que vous avez mis en place ces protocoles de sécurité pour votre domaine, vous devez commencer à surveiller vos rapports pour repérer les activités suspectes. En configurant et en gérant correctement ces protocoles, vous pouvez améliorer de manière significative la sécurité et la délivrabilité de votre domaine. 

N'oubliez pas qu'ensemble, ces protocoles d'authentification peuvent réduire le risque d'hameçonnage, mais qu'ils ne protègent pas contre tous les actes de cybercriminalité par courriel. C'est pourquoi il est important de poursuivre l'éducation et la sensibilisation des employés.

Questions courantes sur SPF, DKIM et DMARC

Puis-je créer un DMARC sans SPF ni DKIM ?

La réponse est non. Pour configurer DMARC, il faut d'abord mettre en œuvre SPF ou DKIM. Sans SPF ou DKIM, votre configuration DMARC ne fonctionnera pas.

DMARC exige-t-il à la fois SPF et DKIM ? 

DMARC ne nécessite pas les deux protocoles SPF et DKIM. L'un ou l'autre de ces protocoles peut être mis en place avant DMARC. Toutefois, nous recommandons de les mettre en œuvre tous les deux pour une sécurité accrue.

Gmail utilise-t-il SPF ou DKIM ?

Oui. La mise à jour des directives d'envoi de Gmail exige que tous les expéditeurs mettent en œuvre SPF ou DKIM pour envoyer avec succès des courriers électroniques dans les boîtes de réception Gmail.

Un domaine peut-il avoir 2 enregistrements DKIM ?

Un domaine peut avoir 2 ou plusieurs enregistrements DKIM avec différents sélecteurs afin que les serveurs de réception puissent facilement localiser le bon enregistrement DKIM lors de l'authentification.

Comment savoir si les protocoles sont activés ?

Pour savoir si vos protocoles d'authentification sont activés pour votre domaine, vous pouvez utiliser nos outils de vérification des enregistrements DNS dans Powertoolbox, ou analyser les en-têtes de votre courrier électronique.

Derniers messages de Ahona Rudra (voir tous)
Principaux risques liés à la sécurité informatique et moyens de s'en prémunirrisques liés à la sécurité informatiqueQu'est-ce que la défense en profondeur ?Qu'est-ce que la défense en profondeur ?