La réponse est oui, vous pouvez configurer DMARC sans DKIM.
Mais est-ce une bonne idée de le faire ?
Cet article explore cette question. Et discute des conséquences de la configuration de DMARC sans DKIM.
Comprendre les normes d'authentification DMARC
DMARC est un protocole qui vous permet d'authentifier les messages électroniques provenant de votre domaine. Il utilise un ensemble de règles pour déterminer si un message électronique est légitime ou non.
SPF et DKIM sont deux autres protocoles qui sont utilisés à des fins d'authentification dans le contexte de DMARC.
SPF est un acronyme de Sender Policy Framework (cadre de politique d'expéditeur). Il spécifie comment les fournisseurs de courrier peuvent vérifier l'identité des expéditeurs et bloquer les messages de spam.
DKIM est un acronyme de DomainKeys Identified Mail. Il fonctionne en chiffrant le message au moment de son envoi, puis en utilisant la cryptographie à clé publique pour le signer à nouveau lorsqu'il atteint son serveur de destination.
DMARC, SPF et DKIM - lorsqu'ils sont combinés, forment les trois piliers de l'authentification des e-mails. Ils garantissent que vos courriels ne sont pas falsifiés, altérés ou piratés par des tiers.
Algorithme d'évaluation DMARC
L'algorithme d'évaluation DMARC est une valeur booléenne qui prend en compte les résultats d'authentification de SPF et DKIM. Il détermine ensuite s'il faut accepter ou non un message électronique comme légitime.
Le résultat dépend de deux issues possibles :
1. Passe : L'e-mail passe les deux authentifications SPF et DKIM OU une seule d'entre elles. Il est donc considéré comme propre. Et est donc accepté par le serveur récepteur.
Pour mettre l'algorithme d'authentification "pass" dans des équations simples :
| Passe d'authentification DMARC = enregistrement SPF avec un alignement d'identifiant SPF valide +ou enregistrement DKIM avec un alignement d'identifiant DKIM valide |
OU (lorsque DKIM est absent)
| Passe d'authentification DMARC = enregistrement SPF avec un alignement d'identifiant SPF valide |
OU (lorsque le SPF est absent)
| Passe d'authentification DMARC = enregistrement DKIM avec un alignement d'identifiant DKIM valide |
2. Échec : Le message a échoué aux contrôles d'authentification SPF et DKIM, ce qui indique qu'il est mal formé ou qu'il contient un contenu malveillant.
Puis-je configurer DMARC sans DKIM ?
DMARC passe dans les trois scénarios suivants :
Il est donc possible de mettre en place DMARC sans DKIM.
DMARC s'appuie sur SPF et DKIM à des fins d'authentification, mais ce sont des technologies orthogonales.
D'une manière générale, SPF est un mécanisme d'"autorisation de chemin", ce qui signifie qu'il autorise une IP à envoyer des messages au nom d'un domaine donné. DKIM, quant à lui, est un mécanisme d'"intégrité du contenu", ce qui signifie qu'il garantit que ce que vous envoyez ne change pas lorsqu'il atteint le serveur.
Cela signifie qu'ils ne dépendent pas les uns des autres pour leur efficacité ; ils peuvent être utilisés en parallèle ou même indépendamment les uns des autres.
Cependant, il est recommandé d'utiliser à la fois SPF et DKIM avec DMARC car ils fonctionnent ensemble pour fournir des capacités d'authentification DMARC plus robustes. DMARC sans DKIM, bien que possible, n'est pas une pratique recommandée.
Comment les clients de messagerie traitent-ils les courriels sans DKIM ?
La plupart des clients de messagerie traitent les courriels qui n'ont pas de DKIM comme du spam.
Dans certains cas, le message peut être signalé par le serveur de messagerie du destinataire et marqué comme spam.
Certains fournisseurs de services de courrier électronique peuvent également indiquer aux destinataires que vos messages proviennent d'un domaine différent de celui que vous aviez prévu.
Par exemple, dans Outlook et Gmail, votre courriel sans DKIM s'affichera dans la boîte de réception du destinataire avec l'adresse FROM correcte mais en étant "envoyé par" ou "via" une autre personne.
Cela peut être déroutant pour les destinataires et peut même les amener à croire que quelqu'un d'autre leur a envoyé le message à votre place.
Exemple #1 (Outlook)
Fig.1 Sans DKIM : Outlook affiche l'adresse "envoyé par" dans la boîte de réception du destinataire.
Fig.2 Avec DKIM : Outlook affiche uniquement l'adresse FROM.
Exemple n°2 (Gmail)
Fig.3 Sans DKIM : Gmail affiche l'adresse "via" dans la boîte de réception du destinataire.
Fig.4 Avec DKIM : Gmail ne montre que l'adresse FROM.
Si DKIM est présent dans votre courrier électronique, les problèmes susmentionnés ne risquent pas de se produire. Le serveur d'envoi n'apparaît plus sur l'écran du client, ce qui réduit les risques de tomber dans les dossiers de spam ou de courrier indésirable. Et la seule information dont ils disposent est l'adresse FROM - ce qui signifie des facteurs de confiance élevés pour les entreprises expéditrices qui recherchent des clients par le biais de stratégies de marketing par courriel.
Conséquences de la configuration de DMARC avec et DMARC sans DKIM
La mise en place de DMARC avec DKIM peut contribuer à éviter que vos messages électroniques ne soient repérés par les filtres anti-spam et bloqués.
Toutefois, la mise en place de DMARC sans DKIM peut entraîner une augmentation des faux positifs ainsi que des retards lorsqu'un destinataire tente de vérifier l'adresse électronique de l'expéditeur.
Dans cette section, nous examinerons certaines des conséquences possibles de la mise en place de DMARC avec et DMARC sans DKIM.
1. Lors de la vérification de la confiance dans les e-mails
Avec l'approche basée sur SPF uniquement, la protection DMARC serait limitée aux adresses invisibles de l'"expéditeur de l'enveloppe" (MAIL FROM ou Return-path). Ces adresses sont utilisées pour recevoir les rebonds (rapports de non-livraison) des expéditeurs.
Toutefois, lorsque DKIM est associé à SPF, la protection DMARC est activée pour l'adresse "header From :" ainsi que pour les adresses visibles par les destinataires. Ainsi, la confiance dans le courrier électronique est plus grande qu'en utilisant DMARC avec SPF seul.
2. Lorsque vous transférez des courriels
L'authentification SPF fonctionne en envoyant un courriel contenant votre enregistrement SPF (l'adresse IP du serveur à partir duquel vous voulez envoyer des courriels) à un autre serveur. L'autre serveur vérifie alors si cette adresse IP est enregistrée chez lui et renvoie son propre enregistrement SPF - s'il n'en a pas, il rejette la demande.
Dans le cas d'une redirection de courrier électronique, l'authentification SPF peut échouer car il n'y a aucune garantie que l'adresse IP du serveur intermédiaire figure sur la liste SPF du domaine expéditeur. Par conséquent, un courriel légitime sans signature signature DKIM échouera à l'authentification DMARC, ce qui entraînera un faux négatif.
Si DKIM avait été configuré sur ce domaine, le faux négatif n'aurait pas eu lieu.
Mais pourquoi ?
La signature DKIM (d=) est attachée au corps du message lui-même, tandis que la signature SPF est attachée à l'en-tête "Return-Path".
Dans le cas d'un transfert d'e-mail, le corps de l'e-mail n'est pas touché ou modifié, par conséquent la signature DKIM (d=) contenue dans le corps de l'e-mail reste intacte. Cela signifie que l'identité de l'expéditeur peut être vérifiée à l'aide de la paire de clés publique et privée incluse dans le corps du message et que l'authentification DMARC est réussie.
Le SPF, quant à lui, est attaché à l'en-tête "Return-Path", qui change dans le cas d'une redirection de courrier électronique. Sa validité n'est donc pas vérifiée, ce qui entraîne un faux négatif.
En conclusion, l'authentification SPF échoue à cause du transfert de courriel, mais DKIM survit au transfert de courriel parce qu'il est attaché au corps du courriel. Par conséquent, il est important de configurer DMARC avec DKIM également.
3. Lors de la mise à jour de l'adresse IP
Lorsque vous envoyez un courriel, le serveur de réception vérifie l'en-tête du courriel pour voir s'il a été altéré. Si c'est le cas, le serveur de réception rejette votre message et vous envoie une notification.
C'est là que le SPF intervient. Le SPF vérifie que votre adresse IP figure comme une adresse valide dans l'enregistrement SPF du serveur d'envoi (en d'autres termes, qu'il n'y a pas d'adresses IP usurpées).
Si votre adresse IP change, votre enregistrement SPF doit être mis à jour avec la nouvelle adresse. Le temps que cela prend dépend de la fréquence à laquelle vous changez votre adresse IP. Dans la plupart des cas, il faut jusqu'à 48 heures pour que le nouvel enregistrement SPF prenne effet.
Que se passera-t-il donc si votre fournisseur de messagerie ajoute une nouvelle IP à sa gamme ? Dans ce cas, la livraison de votre courriel peut être retardée en raison du temps de propagation de la mise à jour de l'enregistrement SPF.
Cependant, une fois que vous avez configuré DKIM et SPF, vous pouvez contourner ce problème en utilisant la signature cryptographique de DKIM pour prouver que le serveur de messagerie à l'adresse sender@yourdomain.com était autorisé à l'envoyer.
Cela signifie que même si leur plage d'adresses IP change, DKIM sera toujours en mesure de vérifier que les courriels provenant de certains domaines sont authentiques et légitimes.
Utilisation de DMARC sans DKIM : les scénarios possibles OK/FAIL
Lorsque vous utilisez les mécanismes DKIM et SPF, vous utilisez effectivement deux outils différents pour atteindre le même objectif : empêcher l'usurpation d'identité.
Ils fonctionnent tous deux indépendamment, mais ils peuvent également échouer indépendamment. Par exemple, SPF peut échouer indépendamment de DKIM, et DKIM peut échouer indépendamment de SPF.
Voici les quatre scénarios possibles (OK/Échec) de la configuration de DMARC sans ou sans DKIM :
| Scénario | Signification | État de la livraison des e-mails |
| SPF ok, DKIM ok | Il garantit que les courriers électroniques sont envoyés depuis une source légitime. Le serveur est autorisé à envoyer du courrier parce qu'il possède un enregistrement SPF valide et une signature DKIM valide. | Livré dans la boîte de réception |
| SPF ok, DKIM échoue | Cela signifie que le courrier est délivré par un serveur autorisé, mais que la validation de sa signature DKIM échoue. | Livré dans le dossier spam ou junk |
| SPF échoue, DKIM ok | Cela signifie que la signature DKIM du courrier est valide, mais que le serveur d'envoi n'a pas l'autorisation de distribuer le courrier. | Livré dans le dossier spam ou junk |
| SPF échoue, DKIM échoue | Si SPF et DKIM échouent tous deux, le courriel est considéré comme usurpé et sera rejeté par le serveur de messagerie DMARC du destinataire. | Non livré / Rejeté |
Une mise en œuvre complète de DMARC est la nécessité de l'heure !
SPF et DKIM sont les mécanismes de protection du courrier électronique les plus couramment utilisés pour mettre en œuvre un enregistrement DMARC approprié afin d'empêcher l'usurpation d'adresse électronique. Lorsqu'une implémentation DMARC appropriée est appliquée à votre infrastructure de messagerie existante, vos messages électroniques sont délivrés comme prévu. Cela signifie moins de plaintes pour spam, moins de faux positifs dans les listes noires et de meilleures statistiques de délivrabilité pour tous vos abonnés.
PowerDMARC offre des services complets de DMARC avec DKIM, SPF et des politiques DMARC créées pour votre domaine. Ainsi, vous pouvez obtenir des résultats plus fiables de vos e-mails.
Générer un enregistrement DKIM en ligne ou faites votre essai DMARC gratuit pour une solution complète au monde complexe et en constante évolution de la sécurité des emails.
- Proxy pour centres de données : Dévoiler le cheval de bataille du monde des proxys - 7 mai 2024
- Kimsuky exploite les politiques DMARC "None" dans de récentes attaques de phishing - 6 mai 2024
- Augmentation des escroqueries fiscales et des attaques d'usurpation d'identité par courriel de l'IRS pendant la saison des impôts - 2 mai 2024