Posts

Normes d'authentification du courrier électronique : SPF, DKIM et DMARC sont prometteuses pour réduire les tentatives d'usurpation d'adresses électroniques et améliorer la délivrabilité des messages électroniques. Les normes d'authentification des courriels permettent de distinguer les courriels usurpés (faux) des courriels légitimes, mais elles vont plus loin en vérifiant l'identité de l'expéditeur.

Au fur et à mesure que les organisations adopteront ces normes, le message général de confiance et d'autorité dans la communication par courrier électronique commencera à se réaffirmer. Toute entreprise qui dépend du marketing par courrier électronique, des demandes de projet, des transactions financières et de l'échange général d'informations au sein d'une entreprise ou entre entreprises doit comprendre les bases de ce que ces solutions sont conçues pour accomplir et les avantages qu'elles peuvent en tirer.

Qu'est-ce que l'usurpation d'identité par courriel ?

L'usurpation d'adresse électronique est un problème de cybersécurité communément rencontré par les entreprises aujourd'hui. Dans cet article, nous allons comprendre comment fonctionne l'usurpation d'identité et quelles sont les différentes méthodes pour la combattre. Nous apprendrons à connaître les trois normes d'authentification utilisées par les fournisseurs d'e-mails - SPF, DKIM et DMARC - afin de l'empêcher de se produire.

L'usurpation d'identité par courriel peut être classée comme une attaque d'ingénierie sociale avancée qui utilise une combinaison de techniques sophistiquées pour manipuler l'environnement de messagerie et exploiter les fonctionnalités légitimes du courriel. Ces courriels semblent souvent tout à fait légitimes, mais ils sont conçus dans le but d'accéder à vos informations et/ou ressources. L'usurpation d'identité par courrier électronique est utilisée à des fins diverses, qu'il s'agisse d'une tentative de fraude, d'une atteinte à la sécurité ou même d'un accès à des informations commerciales confidentielles. Forme très populaire de falsification d'e-mails, les attaques par usurpation d'identité visent à faire croire aux destinataires qu'un e-mail a été envoyé par une entreprise qu'ils utilisent et à laquelle ils peuvent faire confiance, au lieu de l'expéditeur réel. Les courriels étant de plus en plus envoyés et reçus en masse, cette forme malveillante d'escroquerie par courriel s'est considérablement développée ces dernières années.

Comment l'authentification des courriels peut-elle empêcher la mystification ?

L'authentification des e-mails vous aide à vérifier les sources d'envoi des e-mails à l'aide de protocoles tels que SPF, DKIM et DMARC afin d'empêcher les attaquants de falsifier les noms de domaine et de lancer des attaques par usurpation d'identité pour tromper les utilisateurs peu méfiants. Elle fournit des informations vérifiables sur les expéditeurs d'e-mails qui peuvent être utilisées pour prouver leur légitimité et indiquer aux MTA de réception ce qu'ils doivent faire avec les e-mails qui échouent à l'authentification.

Ainsi, pour énumérer les différents avantages de l'authentification des e-mails, nous pouvons confirmer que SPF, DKIM et DMARC y contribuent :

  • Protection de votre domaine contre les attaques par hameçonnage, l'usurpation de domaine et les BEC
  • Fournir des informations granulaires et des aperçus sur les sources d'envoi d'e-mails
  • Améliorer la réputation du domaine et les taux de délivrabilité des courriels
  • Empêcher que vos courriels légitimes ne soient marqués comme du spam

Comment SPF, DKIM et DMARC fonctionnent-ils ensemble pour empêcher la mystification ?

Cadre politique de l'expéditeur

SPF est une technique d'authentification des e-mails utilisée pour empêcher les spammeurs d'envoyer des messages au nom de votre domaine. Grâce à elle, vous pouvez publier des serveurs de messagerie autorisés, ce qui vous permet de préciser quels serveurs de messagerie sont autorisés à envoyer des e-mails au nom de votre domaine. Un enregistrement SPF est stocké dans le DNS et répertorie toutes les adresses IP qui sont autorisées à envoyer des messages pour votre organisation.

Si vous souhaitez exploiter le SPF de manière à garantir son bon fonctionnement, vous devez vous assurer que le SPF ne s'interrompt pas pour vos e-mails. Cela peut se produire si vous dépassez la limite de 10 consultations de DNS, ce qui entraîne une percée de SPF. L'aplatissement du SPF peut vous aider à rester sous la limite et à authentifier vos courriels de manière transparente.

Courrier identifié DomainKeys

L'usurpation de l'identité d'un expéditeur de confiance peut être utilisée pour inciter votre destinataire à baisser sa garde. DKIM est une solution de sécurité du courrier électronique qui ajoute une signature numérique à chaque message provenant de la boîte de réception de votre client, ce qui permet au destinataire de vérifier qu'il a bien été autorisé par votre domaine et d'entrer dans la liste des expéditeurs de confiance de votre site.

DKIM appose une valeur de hachage unique, liée à un nom de domaine, à chaque message électronique sortant, ce qui permet au destinataire de vérifier si un courriel prétendant provenir d'un domaine spécifique a bien été autorisé par le propriétaire de ce domaine ou non. Cela permet de repérer les tentatives d'usurpation.

Authentification, rapport et conformité des messages basés sur le domaine

La simple mise en œuvre de SPF et DKIM peut aider à vérifier les sources d'envoi, mais n'est pas assez efficace pour empêcher l'usurpation d'identité à elle seule. Pour empêcher les cybercriminels d'envoyer de faux e-mails à vos destinataires, vous devez mettre en œuvre DMARC dès aujourd'hui. DMARC vous permet d'aligner les en-têtes des courriels pour vérifier les adresses d'origine, exposant ainsi les tentatives d'usurpation et l'utilisation frauduleuse des noms de domaine. En outre, il donne aux propriétaires de domaines le pouvoir de spécifier aux serveurs de réception d'e-mails comment répondre aux e-mails qui ne sont pas authentifiés par SPF et DKIM. Les propriétaires de domaines peuvent choisir de livrer, de mettre en quarantaine ou de rejeter les faux e-mails en fonction du degré d'application de DMARC dont ils ont besoin.

Remarque : Seule une politique DMARC de rejet permet d'empêcher l'usurpation d'identité.

En outre, DMARC offre également un mécanisme de rapport pour fournir aux propriétaires de domaines une visibilité sur leurs canaux d'envoi d'e-mails et leurs résultats d'authentification. En configurant votre analyseur de rapports DMARC, vous pouvez surveiller régulièrement vos domaines de messagerie avec des informations détaillées sur les sources d'envoi des e-mails, les résultats d'authentification des e-mails, les géolocalisations des adresses IP frauduleuses et les performances globales de vos e-mails. Il vous aide à analyser vos données DMARC dans un format organisé et lisible, et à prendre des mesures contre les attaquants plus rapidement.

En fin de compte, SPF, DKIM et DMARC peuvent travailler ensemble pour vous aider à catapulter la sécurité du courrier électronique de votre organisation vers de nouveaux sommets, et empêcher les attaquants d'usurper votre nom de domaine afin de préserver la réputation et la crédibilité de votre organisation.

Avant de vous expliquer comment configurer DKIM pour votre domaine, parlons un peu de ce qu'est DKIM. DKIM, ou DomainKeys Identified Mail, est un protocole d'authentification des e-mails utilisé pour vérifier l'authenticité des e-mails sortants. Le processus consiste à utiliser une clé cryptographique privée générée par votre serveur de messagerie pour signer chaque message électronique sortant. Ainsi, vos destinataires peuvent vérifier que les courriels qu'ils reçoivent ont été envoyés par votre serveur de messagerie et ne sont pas des faux. Cela peut améliorer la délivrabilité et aider à éliminer le spam. Pour faire simple, un courriel provenant d'un serveur de messagerie compatible DKIM contient une signature numérique ou, plus précisément, une signature cryptographique, qui peut être validée par le serveur de messagerie du destinataire.

DKIM a été créé en combinant des technologies existantes comme DomainKeys (de Yahoo) et Identified Internet Mail (de Cisco). Elle s'est développée pour devenir une méthode d'authentification largement adoptée, connue sous le nom de DKIM, et elle est également enregistrée en tant que RFC (Request for Comments) par l'IETF (Internet Engineering Task Force). Tous les principaux fournisseurs d'accès Internet (FAI), tels que Google, Microsoft et Yahoo, créent une signature numérique qui est intégrée dans l'en-tête des courriers électroniques sortants et valident les courriers entrants selon leurs propres règles.

Dans ce blog, nous allons nous plonger dans le mécanisme utilisé dans DKIM pour valider vos e-mails et ses différents avantages, et apprendre comment configurer DKIM pour votre propre domaine.

Comment configurer DKIM pour protéger votre domaine contre les usurpations d'identité ?

La signature DKIM est générée par le MTA et est stockée dans le domaine de la liste. Après avoir reçu le courriel, vous pouvez vérifier la signature DKIM en utilisant la clé publique. DKIM est un mécanisme d'authentification qui permet de prouver l'identité d'un message. Cette signature prouve que le message est généré par un serveur légitime.

Cela est d'autant plus nécessaire que les attaques par usurpation de domaine sont en augmentation ces derniers temps.

Qu'est-ce qu'une signature DKIM ?

Pour utiliser DKIM, vous devez décider de ce qui doit être inclus dans la signature. En général, il s'agit du corps de l'e-mail et de certains en-têtes par défaut. Vous ne pouvez pas modifier ces éléments une fois qu'ils sont définis, alors choisissez-les avec soin. Une fois que vous avez décidé des parties de l'e-mail qui seront incluses dans la signature DKIM, ces éléments doivent rester inchangés pour maintenir une signature DKIM valide.

À ne pas confondre avec le sélecteur DKIM, la signature DKIM n'est rien d'autre qu'un consortium de valeurs de chaînes arbitraires également appelées "valeurs de hachage". Lorsque votre domaine est configuré avec DKIM, votre serveur de messagerie d'envoi crypte cette valeur avec une clé privée à laquelle vous seul avez accès. Cette signature garantit que le courriel que vous envoyez n'a pas été modifié ou altéré après son envoi. Pour valider la signature DKIM, le destinataire du courrier électronique lance une requête DNS pour rechercher la clé publique. La clé publique aura été fournie par l'organisation propriétaire du domaine. Si elles correspondent, votre courriel est considéré comme authentique.

Comment configurer DKIM en 3 étapes simples ?

Afin d'implémenter DKIM facilement avec PowerDMARC, tout ce que vous devez faire est de générer votre enregistrement DKIM en utilisant notre générateur d'enregistrement DKIM gratuit. Votre enregistrement DKIM est un enregistrement DNS TXT qui est publié dans le DNS de votre domaine. Ensuite, vous pouvez effectuer une recherche DKIM gratuite à l'aide de notre outil de recherche d'enregistrements DKIM. Cet outil gratuit permet de vérifier en un seul clic que votre enregistrement DKIM ne contient aucune erreur et qu'il est valide. Toutefois, pour générer l'enregistrement, vous devez d'abord identifier votre sélecteur DKIM.

Comment identifier mon sélecteur DKIM ?

Une question fréquemment posée par les propriétaires de domaines est la suivante : comment trouver mon DKIM ? Pour trouver votre sélecteur DKIM, il vous suffit de :

1) Envoyer un mail de test à votre compte gmail 

2) Cliquez sur les 3 points à côté de l'e-mail dans votre boîte de réception Gmail.

3) Sélectionnez "montrer l'original". 

4) Sur la page "Original Message", naviguez vers le bas de la page jusqu'à la section de la signature DKIM et essayez de localiser la balise "s=", la valeur de cette balise est votre sélecteur DKIM. 

DMARC et DKIM

Une question courante que vous vous posez peut-être souvent est de savoir si la mise en œuvre de DKIM est suffisante ? La réponse est non. Si DKIM vous aide à chiffrer vos messages électroniques à l'aide d'une signature cryptographique afin de valider la légitimité de vos expéditeurs, il ne fournit pas de moyen pour les destinataires de répondre aux messages qui ne sont pas conformes à DKIM. C'est là que DMARC intervient !

Domain-Based Message Authentication, Reporting and Conformance (DMARC) est un protocole d'authentification des e-mails qui aide les propriétaires de domaines à prendre des mesures contre les messages qui échouent à l'authentification SPF/DKIM. Cela permet de minimiser les risques d'attaques par usurpation de domaine et de BEC. DMARC, ainsi que SPF et DKIM, peuvent améliorer de 10 % la délivrabilité des e-mails et renforcer la réputation de votre domaine.

Inscrivez-vous à PowerDMARC dès aujourd'hui pour bénéficier d'un essai gratuit de l'analyseur DMARC!

Pourquoi ai-je besoin de DKIM ? Le SPF ne suffit-il pas ?

Le travail à distance a permis aux gens de se familiariser avec un nombre croissant d'hameçonnage et de cyberattaques. La plupart du temps, les pires attaques de phishing sont celles que l'on ne peut pas ignorer. Quelle que soit la quantité d'e-mails reçus et envoyés, et malgré l'augmentation des applications de chat et de messagerie instantanée sur le lieu de travail, pour la plupart des personnes travaillant dans des bureaux, le courrier électronique continue de dominer la communication professionnelle, tant en interne qu'en externe.

Toutefois, ce n'est pas un secret que les courriels sont généralement le point d'entrée le plus courant des cyberattaques, qui consistent à introduire en douce des logiciels malveillants et des exploits dans le réseau et les identifiants, et à révéler les données sensibles. Selon les données des SophosLabs de septembre 2020, environ 97 % des spams malveillants capturés par les pièges à spam étaient des e-mails de phishing, de recherche d'identifiants ou de toute autre information .

Les 3 % restants contenaient un mélange de messages comportant des liens vers des sites web malveillants ou des pièces jointes piégées. Ces derniers espéraient surtout installer des portes dérobées, des chevaux de Troie d'accès à distance (RAT), des voleurs d'informations, des exploits, ou peut-être télécharger d'autres fichiers malveillants.

Quelle que soit la source, l'hameçonnage reste une tactique d'une efficacité redoutable pour les attaquants, quel que soit leur objectif final. Il existe des mesures robustes que toutes les organisations pourraient utiliser pour vérifier si un courriel provient ou non de la personne et de la source qu'il prétend provenir.

Comment DKIM vient-il à la rescousse ?

Il faut veiller à ce que la sécurité du courrier électronique d'une organisation puisse contrôler chaque courrier électronique entrant, ce qui serait contraire aux règles d'authentification fixées par le domaine d'où semble provenir le courrier électronique. DomainKeys Identified Mail (DKIM) est un système qui permet d'examiner un courrier électronique entrant afin de vérifier si rien n'a été altéré. Dans le cas de courriels légitimes, DKIM permet de trouver une signature numérique qui est liée à un nom de domaine spécifique.

Ce nom de domaine serait joint à l'en-tête du courriel, et il y aurait une clé de cryptage correspondante au domaine source. Le plus grand avantage de DKIM est qu'il fournit une signature numérique sur les en-têtes de votre courrier électronique, de sorte que les serveurs qui le reçoivent peuvent cryptographiquement authentifier ces en-têtes, le jugeant valide et original.

Ces en-têtes sont généralement signés "Du", "Au", "Sujet" et "Date".

Pourquoi avez-vous besoin de DKIM ?

Les experts dans le domaine de la cybersécurité déclarent que DKIM est pratiquement nécessaire dans le scénario quotidien pour sécuriser les courriels officiels. Dans DKIM, la signature est générée par le MTA (Mail Transfer Agent), qui crée une chaîne de caractères unique appelée Hash Value.

De plus, la valeur de hachage est stockée dans le domaine listé, qui après avoir reçu le courriel, le destinataire pourrait vérifier la signature DKIM en utilisant la clé publique qui est enregistrée dans le système de noms de domaine (DNS). Ensuite, cette clé est utilisée pour décrypter la valeur de hachage dans l'en-tête, et aussi recalculer la valeur de hachage à partir du courriel qu'il a reçu.

Après cela, les experts découvriraient que si ces deux signatures DKIM correspondent, alors le MTA saurait que le courriel n'a pas été altéré. De plus, l'utilisateur reçoit une confirmation supplémentaire que le courriel a bien été envoyé depuis le domaine indiqué.

DKIM, qui est né à l'origine de la fusion de deux clés de station, les clés de domaine (celle créée par Yahoo) et le courrier Internet identifié (par Cisco) en 2004, s'est développé en une nouvelle technique d'authentification largement adoptée qui rend la procédure de courrier électronique d'une organisation assez fiable, et c'est précisément pour cette raison que les grandes entreprises technologiques comme Google, Microsoft et Yahoo vérifient toujours le courrier entrant pour les signatures DKIM.

DKIM contre SPF

Le Sender Policy Framework (SPF) est une forme d'authentification du courrier électronique qui définit un processus permettant de valider un message électronique, c'est-à-dire un message qui a été envoyé par un serveur de messagerie autorisé afin de détecter les contrefaçons et de prévenir l'escroquerie.

La plupart des gens pensent que le SPF et le DKIM doivent être utilisés dans les organisations, mais le DKIM a certainement un avantage supplémentaire sur les autres. Les raisons en sont les suivantes :

  • Dans DKIM, le propriétaire du domaine publie une clé cryptographique, qui est spécifiquement formatée comme un enregistrement TXT dans l'enregistrement DNS global
  • La signature DKIM unique qui est jointe à l'en-tête du message le rend plus authentique
  • L'utilisation de DKIM s'avère plus fructueuse car la clé DKIM utilisée par les serveurs de courrier entrant pour détecter et décrypter la signature du message prouve que le message est plus authentique et n'a pas été altéré.

En conclusion

Pour la plupart des organisations commerciales, non seulement DKIM protégerait leurs entreprises contre les attaques de phishing et d'usurpation d'identité, mais il contribuerait également à protéger les relations avec les clients et la réputation de la marque.

Ceci est particulièrement important car DKIM fournit une clé de cryptage et une signature numérique qui prouvent doublement qu'un courriel n'a pas été falsifié ou altéré. Ces pratiques aideraient les organisations et les entreprises à franchir une étape supplémentaire en améliorant la délivrabilité de leur courrier électronique et en envoyant un courrier électronique sécurisé, ce qui contribuerait à générer des revenus. Tout dépend surtout de la manière dont les organisations l'utiliseront et la mettront en œuvre. Cela est d'autant plus important et pertinent que la plupart des organisations voudraient se libérer des cyberattaques et des menaces.

En tant que prestataire de services de la DMARC, on nous pose souvent cette question : "Si le DMARC utilise uniquement les authentifications SPF et DKIM, pourquoi devrions-nous nous préoccuper du DMARC ? N'est-ce pas tout simplement inutile ?

En apparence, cela peut sembler ne pas faire de grande différence, mais la réalité est très différente. Le DMARC n'est pas seulement une combinaison des technologies SPF et DKIM, c'est un protocole entièrement nouveau en soi. Il possède plusieurs caractéristiques qui en font l'une des normes d'authentification du courrier électronique les plus avancées au monde, et une nécessité absolue pour les entreprises.

Mais attendez une minute. Nous ne savons pas exactement pourquoi vous avez besoin du DMARC. Qu'est-ce qu'elle offre que le SPF et le DKIM n'offrent pas ? Eh bien, c'est une réponse assez longue ; trop longue pour un seul article de blog. Alors, séparons-nous et parlons d'abord du SPF. Au cas où vous ne le sauriez pas, voici une petite introduction.

Qu'est-ce que le SPF ?

Le SPF, ou Sender Policy Framework, est un protocole d'authentification des courriers électroniques qui protège le destinataire des courriers électroniques usurpés. Il s'agit essentiellement d'une liste de toutes les adresses IP autorisées à envoyer des courriers électroniques par vos canaux (le propriétaire du domaine). Lorsque le serveur récepteur voit un message de votre domaine, il vérifie votre enregistrement SPF publié sur votre DNS. Si l'adresse IP de l'expéditeur figure dans cette "liste", le courrier électronique est livré. Sinon, le serveur rejette le courriel.

Comme vous pouvez le voir, le SPF fait un assez bon travail en empêchant l'envoi de nombreux courriels indésirables qui pourraient endommager votre appareil ou compromettre les systèmes de sécurité de votre organisation. Mais le SPF n'est pas aussi efficace que certains pourraient le penser. C'est parce qu'il présente des inconvénients majeurs. Parlons de certains de ces problèmes.

Limites du SPF

Les enregistrements SPF ne s'appliquent pas à l'adresse de départ

Les courriers électroniques ont plusieurs adresses pour identifier leur expéditeur : l'adresse "From" que vous voyez normalement et l'adresse "Return Path" qui est cachée et qui nécessite un ou deux clics pour être affichée. Lorsque le SPF est activé, le serveur de courrier électronique récepteur examine le chemin de retour et vérifie les enregistrements SPF du domaine de cette adresse.

Le problème ici est que les attaquants peuvent exploiter cela en utilisant un faux domaine dans leur adresse de retour et une adresse électronique légitime (ou d'apparence légitime) dans la section "De". Même si le destinataire vérifiait l'identifiant de l'expéditeur, il verrait d'abord l'adresse de départ et ne prendrait généralement pas la peine de vérifier la voie de retour. En fait, la plupart des gens ne savent même pas qu'il existe une adresse de retour.

Le SPF peut être assez facilement contourné en utilisant cette simple astuce, et cela laisse même les domaines sécurisés avec SPF largement vulnérables.

Les enregistrements SPF ont une limite de consultation DNS

Les enregistrements SPF contiennent une liste de toutes les adresses IP autorisées par le propriétaire du domaine à envoyer des courriels. Cependant, ils présentent un inconvénient majeur. Le serveur récepteur doit vérifier l'enregistrement pour voir si l'expéditeur est autorisé, et pour réduire la charge du serveur, les enregistrements SPF ont une limite de 10 consultations DNS.

Cela signifie que si votre organisation fait appel à plusieurs fournisseurs tiers qui envoient des courriers électroniques via votre domaine, l'enregistrement SPF peut finir par dépasser cette limite. À moins d'être correctement optimisés (ce qui n'est pas facile à faire vous-même), les enregistrements SPF auront une limite très restrictive. Lorsque vous dépassez cette limite, l'implémentation du SPF est considérée comme invalide et votre courriel échoue le SPF. Cela pourrait potentiellement nuire à vos taux de livraison de courrier électronique.

 

Le SPF ne fonctionne pas toujours lorsque le courrier électronique est transféré

Le SPF présente un autre point de défaillance critique qui peut nuire à la délivrabilité de votre courrier électronique. Lorsque vous avez mis en place un SPF sur votre domaine et que quelqu'un transfère votre courrier électronique, le courrier électronique transféré peut être rejeté en raison de votre politique de SPF.

En effet, le message transféré a changé de destinataire, mais l'adresse de l'expéditeur reste la même. Cela devient un problème car le message contient l'adresse "From" de l'expéditeur d'origine, mais le serveur de réception voit une IP différente. L'adresse IP du serveur de transfert de courrier électronique n'est pas incluse dans l'enregistrement SPF du domaine de l'expéditeur d'origine. Cela pourrait entraîner le rejet du courrier électronique par le serveur de réception.

Comment le DMARC résout ces problèmes ?

Le DMARC utilise une combinaison de SPF et de DKIM pour authentifier le courrier électronique. Un courrier électronique doit passer soit par SPF soit par DKIM pour passer par DMARC et être livré avec succès. Il ajoute également une fonction clé qui le rend beaucoup plus efficace que le SPF ou le DKIM seuls : Rapports.

Avec les rapports de la DMARC, vous obtenez un retour d'information quotidien sur l'état de vos canaux de courrier électronique. Cela comprend des informations sur votre alignement DMARC, des données sur les courriels qui ont échoué à l'authentification et des détails sur les tentatives potentielles d'usurpation d'identité.

Si vous vous demandez ce que vous pouvez faire pour éviter l'usurpation d'identité, consultez notre guide pratique sur les 5 meilleures façons d'éviter l'usurpation d'identité par courriel.