Comment authentifier les courriels ?

Un courriel d'authentification garantit aux fournisseurs de services de messagerie que l'expéditeur est bien celui qu'il prétend être. Si ce n'est pas le cas, l'e-mail est marqué comme spam ou est complètement interdit d'accès à la boîte aux lettres. Cela permet d'éviter les attaques de type BEC et les attaques par hameçonnage tentées par des employés, des patrons, des fournisseurs tiers, des membres du conseil d'administration, etc. qui se font passer pour eux.

Ce blog explique comment authentifier les courriels afin d'éviter les cyberattaques par courriel planifiées au nom de votre entreprise. 

Pourquoi l'authentification des courriels est-elle importante ?

Les acteurs de la menace compromettent les comptes de messagerie professionnelle pour envoyer des courriels au nom de votre entreprise, demandant à vos clients, prospects, employés, etc. de partager des informations sensibles telles que des données financières, des coordonnées, des numéros de sécurité sociale, des rapports médicaux, etc. Ces informations sont ensuite exploitées pour effectuer des achats, transférer de l'argent, voler ou intercepter des stratégies commerciales, vaincre des rivalités professionnelles, etc. 

Les serveurs des destinataires font confiance aux courriels authentifiés, car le processus confirme que les expéditeurs sont authentiques et n'ont pas d'intentions malveillantes. En revanche, si les courriels proviennent d'une source inconnue ou inattendue, ils sont plus susceptibles d'être marqués comme spam. 

Cela ne ternit pas seulement la réputation de votre marque, mais diminue également le taux de délivrabilité des cour riels. Le taux auquel les courriels parviennent dans les boîtes de réception des destinataires est appelé taux de délivrabilité des courriels. Imaginez l'impact d'un mauvais taux de délivrabilité sur vos campagnes de marketing et de relations publiques ! L'authentification des courriels permet également d'améliorer le taux de délivrabilité de vos courriels. 

Comment authentifier un courriel ?

Le processus d'authentification des courriels exige que les serveurs d'envoi et de réception se coordonnent et coopèrent. Comprenons-le en connaissant les 5 principales méthodes d'authentification des courriels.

1. Utiliser des adresses d'expéditeur cohérentes

Restez cohérent avec les adresses "From" et les noms "friendly from". Cela permet de renforcer la confiance des fournisseurs de services de messagerie et des destinataires dans l'ouverture des messages. Votre domaine est susceptible de faire l'objet d'un hameçonnage si vous n'êtes pas cohérent, car les pirates savent comment traiter cette vulnérabilité et en tirer parti. 

Il est également conseillé de ne pas utiliser de domaines cousins ou de domaines légèrement différents de votre domaine principal. Les boîtes aux lettres électroniques y voient un signal d'alarme. 

2. Mise en œuvre de la politique d'expéditeur (Sender Policy Framework ou SPF)

SPF authentifie les courriels en exigeant que vous (le propriétaire du domaine) créiez une liste d'adresses IP autorisées à envoyer des courriels en utilisant votre domaine. Cette liste est ajoutée au DNS. Ainsi, tout expéditeur ne figurant pas sur la liste est considéré comme illégitime.

Ce protocole fonctionne à l'aide d'un enregistrement SPF qui définit les serveurs de messagerie et les domaines autorisés à envoyer des courriers électroniques en votre nom. Il empêche également le courrier d'être transféré et les clients de messagerie s'y réfèrent pour décider si les messages dont l'expéditeur est inconnu doivent être affichés ou non.

3. Mettre en œuvre le DKIM ou DomainKeys Identified Mail

DKIM est basé sur le concept de la cryptographie où une paire de clés publiques et privées est utilisée pour vérifier l'authenticité des expéditeurs de courrier électronique. Il fonctionne en ajoutant automatiquement une signature numérique aux en-têtes des courriers électroniques, qui sont validés par rapport à ces clés. La clé privée est stockée secrètement par l'expéditeur qui signe l'en-tête du courrier électronique, tandis que la clé publique est accessible à tous. Les serveurs de messagerie qui reçoivent les messages vérifient la clé privée de l'expéditeur en la comparant à la clé publique facilement accessible.

4. Mise en œuvre de DMARC ou Domain-based Message Authentication, Reporting, and Conformance (authentification, notification et conformité des messages basés sur un domaine)

DMARC indique au serveur de réception comment traiter les courriels qui ne répondent pas aux critères SPF, DKIM ou aux deux. Pour ce faire, il doit sélectionner l'une des politiques suivantes : aucune, quarantaine et rejet. Avec la politique "none", aucune mesure n'est prise à l'encontre des messages qui échouent aux contrôles de validation. La mise en quarantaine signifie que les courriels non authentiques seront placés dans le dossier spam et la politique de rejet interdit complètement l'entrée de ces courriels dans la boîte aux lettres du destinataire.

Un enregistrement DMARC est nécessaire pour mettre en œuvre ces politiques. Il contient également des instructions pour envoyer des rapports aux administrateurs de domaine sur tous les courriels qui passent ou échouent les contrôles de validation. Si vous avez déjà mis en place une politique DMARC, utilisez notre vérificateur DMARC pour rechercher d'éventuelles erreurs.

5. Préparer le BIMI ou les indicateurs de marque pour l'identification des messages

Après avoir appris à authentifier un courrier électronique avec SPF, DKIM et DMARC, découvrez les éléments suivants BIMI.

BIMI utilise d'autres méthodes d'authentification du courrier électronique pour une protection accrue. Il n'est pas encore très répandu dans le monde de la cybersécurité, mais il permet aux domaines conformes à DMARC d'ajouter le logo de leur marque dans la boîte de réception. Cela permet aux destinataires d'identifier facilement la source comme étant fiable et légitime.

L'apposition de logos BIMI permet aux propriétaires de domaines d'être présents dans tous les courriels entrants, ce qui favorise la fidélité à la marque et la réputation. Comme les enregistrements d'autres protocoles, un enregistrement BIMI réside également dans votre domaine sous la forme d'un enregistrement TXT.

Comment configurer SPF, DKIM et DMARC ?

Maintenant que vous savez comment authentifier les courriels, voyons rapidement comment configurer ces protocoles.

Configuration générale du FPS

Les paramètres seront mis à jour dans 72 heures. 

Utilisez notre générateur d'enregistrement SPF gratuit pour créer un nouvel enregistrement SPF TXT pour votre domaine.

1. Rassemblez la liste des adresses IP autorisées à envoyer des courriels en utilisant votre domaine. Cette liste inclut également toutes les sources tierces.
2. Inscrivez tous les domaines d'envoi, qu'ils soient actifs ou non, afin que les pirates n'utilisent pas les domaines de non-envoi pour cibler votre entreprise. Vous pouvez utiliser notre vérificateur SPF pour vous assurer que votre enregistrement fonctionne correctement.

Publiez-le sur DNS dès que vous avez fini de le créer. Voici comment procéder :

1. Connectez-vous à votre console de gestion DNS.
2. Naviguez jusqu'au domaine de votre choix.
3. Spécifiez que votre type de ressource est TXT.
4. Spécifiez votre nom d'hôte : _spf
5. Collez la valeur de l'enregistrement SPF que vous avez généré.
6. Enregistrez les modifications pour configurer SPF pour votre domaine.

Configuration générale de DKIM

Créez un enregistrement DKIM à l'aide du générateur gratuit de PowerDMARC générateur d'enregistrements DKIM. Il vous suffit d'entrer votre nom de domaine dans la case et de cliquer sur le bouton Générer l'enregistrement DKIM. Une paire de clés DKIM privée et publique vous sera délivrée. Publiez la clé publique sur le DNS de votre domaine pour être conforme à la norme DKIM.

Voici comment ajouter l'enregistrement DKIM au DNS :

• Accédez à votre console de gestion DNS.
• Ajouter un nouvel enregistrement TXT avec les valeurs suivantes :

Type d'enregistrement : TXT 

Nom/Nom d'hôte : selector._domainkey.yourdomain.com

TTL : 3600 

Valeur : [coller la valeur de la clé publique générée par l'outil de génération DKIM].

Configuration générale de DMARC

Utilisez notre générateur DMARC gratuit et créez un nouvel enregistrement DMARC.

1. Choisissez votre politique DMARC.
2. Cliquez sur Générer
3. Copiez l'enregistrement TXT dans le presse-papiers et collez-le sur votre DNS pour activer le protocole.

• À propos de
• Derniers messages

Ahona Rudra

Ahona est la responsable du marketing chez PowerDMARC, avec plus de 5 ans d'expérience dans l'écriture sur des sujets de cybersécurité, spécialisée dans la sécurité des domaines et des courriels. Ahona est titulaire d'un diplôme de troisième cycle en journalisme et communication, solidifiant sa carrière dans le secteur de la sécurité depuis 2019.

Derniers messages de Ahona Rudra (voir tous)

• La blockchain peut-elle contribuer à améliorer la sécurité des courriels ? - 9 mai 2024
• Proxy pour centres de données : Dévoiler le cheval de bataille du monde des proxys - 7 mai 2024
• Kimsuky exploite les politiques DMARC "None" dans de récentes attaques de phishing - 6 mai 2024