Posts

Le courrier électronique est un outil essentiel pour les entreprises et la plupart d'entre nous l'utilisent quotidiennement pour communiquer. Cependant, l'augmentation du nombre d'utilisateurs de la messagerie électronique a entraîné celle des problèmes de spam, de phishing et de fraude par courrier électronique. Ces types d'attaques peuvent causer des dommages importants, notamment une perte de réputation, des pertes financières et des violations de données. Pour prévenir ces attaques, les entreprises doivent prendre des mesures proactives pour sécuriser leur système de messagerie, notamment en créant un enregistrement SPF.

Qu'est-ce que le SPF ?

SPF est l'abréviation de Sender Policy Framework (cadre de politique d'expéditeur). Il s'agit d'un protocole d'authentification des courriels qui vous permet de spécifier quels serveurs sont autorisés à envoyer des courriels au nom de votre domaine. SPF fonctionne en ajoutant un enregistrement DNS à la configuration DNS de votre domaine, qui répertorie les adresses IP de vos serveurs de messagerie. Cet enregistrement indique aux autres serveurs de messagerie que tout courriel envoyé à partir de votre domaine qui ne provient pas d'une adresse IP autorisée doit être rejeté.

La mise en place d'un enregistrement SPF est une étape essentielle pour empêcher les utilisateurs non autorisés d'envoyer des courriels en utilisant votre nom de domaine. Par exemple, des spammeurs ou des attaquants peuvent utiliser votre nom de domaine pour envoyer des courriels de spam ou de phishing, ce qui peut nuire à votre réputation, conduire à une mise sur liste noire et compromettre la sécurité de vos clients et de vos employés.

Comment configurer un enregistrement SPF ?

La mise en place d'un enregistrement SPF est un processus simple, qui comporte les étapes suivantes :

Étape 1 : Déterminer vos serveurs de messagerie

La première étape consiste à déterminer quels serveurs sont autorisés à envoyer des courriels au nom de votre domaine. Il peut s'agir de votre serveur de messagerie, d'un fournisseur de services de messagerie tiers que vous utilisez ou de tout autre serveur qui envoie des courriels en utilisant votre nom de domaine.

Étape 2 : Créer un enregistrement SPF

Une fois que vous avez identifié vos serveurs de messagerie autorisés, vous pouvez créer un enregistrement SPF. Un enregistrement SPF est un enregistrement TXT dans la configuration DNS de votre domaine. Vous pouvez utiliser une syntaxe simple pour créer votre enregistrement SPF, comme par exemple :

v=spf1 ip4:<IP address> -all

In this example, the “v=spf1” indicates that this is an SPF record, and “ip4:<IP address>” indicates the IP address of the authorized email server. The “-all” at the end indicates that any emails that do not come from authorized IP addresses should be rejected.

Étape 3 : Publier votre enregistrement SPF

Après avoir créé votre enregistrement SPF, vous devez le publier dans la configuration DNS de votre domaine. Vous pouvez le faire en vous connectant au site web de votre fournisseur DNS et en ajoutant un nouvel enregistrement TXT avec votre enregistrement SPF. Vous pouvez également demander à votre équipe informatique ou à votre hébergeur de le faire pour vous.

Étape 4 : Testez votre enregistrement SPF

Une fois que vous avez publié votre enregistrement SPF, il est essentiel de le tester pour s'assurer qu'il fonctionne correctement. Vous pouvez utiliser des vérificateurs d'enregistrements vérificateurs d'enregistrements SPFen ligne, comme celui fourni par MXToolbox, pour tester votre enregistrement SPF. Ces outils vous indiqueront si votre enregistrement SPF est valide et s'il est configuré correctement.

Conseils pour créer un enregistrement SPF précis

Voici quelques conseils pour créer un enregistrement SPF solide :

  • Inclure tous les serveurs de messagerie autorisés : Veillez à inclure dans votre enregistrement SPF tous les serveurs de messagerie autorisés à envoyer des courriels au nom de votre domaine. Il peut s'agir de votre serveur de messagerie, de fournisseurs de services de messagerie tiers ou de tout autre serveur qui envoie des courriels en utilisant votre nom de domaine.
  • Utilisez le mécanisme "-all" : Le mécanisme "-all" à la fin de votre enregistrement SPF indique aux autres serveurs de messagerie de rejeter tous les courriels qui ne proviennent pas d'adresses IP autorisées. Il s'agit d'une étape essentielle pour empêcher les utilisateurs non autorisés d'envoyer des courriels en utilisant votre nom de domaine.
  • Utiliser le mécanisme "include" : Le mécanisme "include" vous permet d'inclure des enregistrements SPF d'autres domaines. Cela peut être utile si vous utilisez un fournisseur de services de messagerie tiers pour envoyer des courriels au nom de votre domaine. Vous pouvez inclure leur enregistrement SPF dans votre enregistrement SPF pour vous assurer que les courriels envoyés depuis leurs serveurs sont également authentifiés.
  • Utilisez le mécanisme "~all" pour les tests : Le mécanisme "~all" indique aux autres serveurs de messagerie de marquer tous les courriels qui ne proviennent pas des adresses IP autorisées comme des "échecs légers". Cela signifie que ces courriels seront tout de même délivrés, mais qu'ils seront marqués comme potentiellement suspects. Vous pouvez utiliser ce mécanisme pendant les tests pour vous assurer que votre enregistrement SPF fonctionne correctement sans rejeter immédiatement les courriels.
  • Maintenez votre enregistrement SPF à jour : lorsque votre infrastructure de messagerie évolue, veillez à mettre à jour votre enregistrement SPF pour refléter ces changements. Il peut s'agir de l'ajout de nouveaux serveurs de messagerie ou de la suppression d'anciens serveurs.

L'aplatissement du FPS et ses avantages 

La limite de consultation DNS est une restriction imposée par les serveurs de messagerie qui limitent le nombre de consultations DNS pouvant être effectuées lors de la vérification de l'enregistrement SPF d'un courrier électronique. Cette limite est généralement fixée à 10 recherches DNS et si le serveur de messagerie dépasse cette limite, il peut rejeter l'e-mail comme étant potentiellement frauduleux.

L'aplatissement SPF est une technique utilisée pour réduire le nombre de recherches DNS nécessaires pour vérifier l'enregistrement SPF d'un courrier électronique. Elle consiste à combiner plusieurs enregistrements SPF en un seul, ce qui permet de réduire le nombre de recherches DNS nécessaires à l'authentification d'un courrier électronique.

Voici un exemple de la façon dont l'aplatissement du FPS peut être utile :

Supposons que votre entreprise utilise plusieurs services tiers pour envoyer des courriels, tels qu'un logiciel d'automatisation du marketing, un système d'assistance et un outil de gestion de la relation client (CRM). Chacun de ces services viendra s'ajouter à la liste d'adresses IP de votre enregistrement DNS SPF ou à des enregistrements SPF individuels pour chacun de ces services, et si vous deviez tous les inclure dans l'enregistrement SPF de votre domaine, cela dépasserait la limite de 10 recherches DNS.

En utilisant l'aplatissement SPF, vous pouvez combiner toutes ces IP redondantes en une seule inclusion. Cela signifie que lorsqu'un serveur de messagerie effectue une recherche DNS pour vérifier votre enregistrement SPF, il n'a besoin d'effectuer qu'une seule ou quelques recherches, plutôt que plusieurs recherches pour chacun des enregistrements SPF et chacune des adresses IP.

Conclusion

La mise en place d'un enregistrement SPF est une étape cruciale dans la sécurisation de votre système de messagerie et la prévention de la fraude par courriel. En créant un enregistrement SPF et en le publiant dans la configuration DNS de votre domaine, vous pouvez vous assurer que les courriels envoyés depuis votre domaine sont authentifiés et empêcher les utilisateurs non autorisés d'envoyer des courriels en utilisant votre nom de domaine. En suivant les conseils ci-dessus, vous pouvez créer un enregistrement SPF solide et sécuriser votre système de messagerie.

Les pirates ont adopté des méthodes sophistiquées pour usurper des courriels et tenter de commettre des actes de cybercriminalité en utilisant les noms de vos entreprises. SPF DKIM DMARC permet d'éviter que leurs efforts ne soient couronnés de succès en évaluant l'authenticité des expéditeurs d'e-mails. Les secteurs de la finance, du SaaS et du commerce électronique figurent parmi les trois premiers secteurs ciblés par les hameçonneurs, avec des pourcentages de compromission de 23,6 %, 20,5 % et 14,6 % respectivement. respectivement.

Nous nous concentrons ici sur l'explication de SPF DKIM DMARC - les éléments fondamentaux de l'authentification du courrier électronique.

Que sont SPF, DKIM et DMARC ?

Ensemble, SPF DMARC DKIM empêche les entités non autorisées d'utiliser votre domaine pour envoyer des courriels frauduleux à vos prospects, clients, employés, fournisseurs tiers, parties prenantes, etc. SPF et DKIM aident à démontrer la légitimité, tandis que DMARC indique au serveur de messagerie du destinataire ce qu'il doit faire des courriels qui échouent aux contrôles d'authenticité. Voyons en détail ce que sont SPF, DKIM et DMARC.

SPF

Sender Policy Framework ou SPF est un moyen pour les propriétaires de domaines de répertorier tous les serveurs autorisés à envoyer des courriels en utilisant leur domaine. Pour ce faire, ils créent un enregistrement TXT SPF qui est publié dans le DNS. Si une adresse IP d'envoi ne figure pas sur la liste, l'authentification échoue et l'e-mail est soit complètement rejeté par la boîte aux lettres du destinataire, soit marqué comme spam. Si vous avez déjà un enregistrement SPF, utilisez notre vérificateur d'enregistrement SPF pour vous assurer qu'il ne contient pas d'erreurs.

Cependant, SPF a quelques limites : il s'interrompt lorsqu'un message est transféré, ce qui signifie que les acteurs de la menace peuvent usurper le nom d'affichage ou l'adresse "From". 

DKIM

DomainKeys Identified Mail ou DKIM permet aux propriétaires de domaines de signer automatiquement les courriers électroniques envoyés à partir de leur domaine. Cela fonctionne de la même manière que l'on signe un chèque bancaire pour en valider l'authenticité. La signature DKIM est une signature numérique fonctionnant sur le modèle de la cryptographie.

Il procède en stockant une clé publique dans un enregistrement DKIM. Le serveur de messagerie destinataire peut accéder à cet enregistrement pour obtenir la clé publique. D'autre part, une clé privée est stockée secrètement par l'expéditeur qui signe l'en-tête du courrier électronique avec cette clé. Les serveurs de messagerie destinataires vérifient la clé privée de l'expéditeur en la comparant à la clé publique facilement accessible.

DMARC

Rapport et conformité de l'authentification des messages de domaine Indiquer au serveur du destinataire ce qu'il doit faire des courriels qui ne répondent pas aux critères SPF, DKIM ou aux deux. Pour ce faire, il doit sélectionner l'une des politiques suivantes : aucune, quarantaine et rejet. Avec la politique "none", aucune mesure n'est prise à l'encontre des messages qui échouent aux contrôles de validation. La mise en quarantaine signifie que les messages non authentiques atterriront dans le dossier spam et la politique de rejet interdit complètement l'entrée de ces messages dans la boîte aux lettres du destinataire.

Les politiques DMARC sont définies dans un enregistrement DMARC qui contient également des instructions pour envoyer des rapports aux administrateurs de domaine sur tous les courriels qui passent ou échouent les contrôles de validation. Si vous avez déjà mis en place une politique DMARC, utilisez notre outil gratuit de recherche d'enregistrements DMARC. outil gratuit de recherche d'enregistrements DMARC pour rechercher d'éventuelles erreurs.

Où sont stockés les enregistrements SPF, DKIM et DMARC ?

Les enregistrements SPF DKIM DMARC sont stockés dans un système de noms de domaine (DNS) accessible au public. Il s'agit d'une sorte d'annuaire téléphonique répertoriant les adresses IP et les noms de domaine correspondants. Ainsi, lorsque vous saisissez un nom de domaine dans le champ de recherche de votre navigateur, le DNS vous renvoie à l'adresse IP correspondante. Il n'est pratiquement pas possible pour les humains de mémoriser les adresses IP alphanumériques de tous les sites web, et c'est là que le DNS s'avère utile.

Les contrôles SPF DKIM DMARC dépendent de ce concept car leurs enregistrements sont stockés sous forme d'enregistrements DNS TXT. Cet enregistrement est consulté pour diverses raisons, car il peut contenir n'importe quel texte arbitraire.

L'importance de SPF, DKIM et DMARC

L'authentification des courriels est importante pour protéger votre marque contre les cyberattaques menées à l'aide de techniques d'hameçonnage et d'usurpation d'identité. L'authentification des courriels repose sur les normes SPF DKIM DMARC. Voici pourquoi vous devez les mettre en œuvre :

  • Ils veillent à ce que votre nom de domaine ne puisse pas être falsifié ou utilisé à mauvais escient.
  • Ils vous aident à prévenir les attaques de phishing, de spamming, de ransomware, etc. planifiées et tentées au nom de votre entreprise.
  • Ils améliorent le taux de délivrabilité des courriels de votre domaine. Un mauvais taux de délivrabilité des e-mails a un impact sur la communication interne, les campagnes de marketing et de relations publiques, le taux de fidélisation des clients, etc.

Comment configurer SPF, DKIM et DMARC ?

Suivez ces instructions pour configurer SPF DKIM DMARC pour protéger votre domaine et vos conversations électroniques.

  1. Configurez SPF pour votre domaine.
  2. Configurez DKIM pour votre domaine.
  3. Mettre en place une boîte aux lettres électronique pour recevoir les rapports de suivi et d'évaluation.
  4. Utilisez les détails de connexion de l'hébergement principal et vérifiez s'il existe un enregistrement DMARC.
  5. Remise à zéro Politique DMARC.

Configuration générale du FPS

  1. Connectez-vous à la console de l'expéditeur.
  2. Sélectionner Paramètres.
  3. Sélectionner Domaines.
  4. L'écran suivant s'affiche.
    Configuration générale du FPS
  5. Cliquez sur Vérifier les enregistrements SPF/DKIM.

Attendez 72 heures, les paramètres modifiés seront appliqués. Une fois cela fait, vous pouvez utiliser notre outil de recherche d'enregistrements outil de recherche d'enregistrements SPF pour vous assurer que l'enregistrement est exempt d'erreurs.

Configuration générale de DKIM

Vous pouvez facilement mettre en place la norme DKIM en générant un enregistrement DKIM à l'aide du logiciel gratuit PowerDMARC générateur d'enregistrements DKIM. Il vous suffit d'entrer votre nom de domaine dans la case et de cliquer sur le bouton Générer l'enregistrement DKIM et de cliquer sur le bouton Générer un enregistrement DKIM. Vous obtiendrez une paire de clés DKIM privée et publique. Publiez la clé publique sur le DNS de votre domaine et vous avez terminé.

Configuration générale de DMARC

Utilisez notre générateur DMARC gratuit et créez un nouvel enregistrement DMARC.

  1. Choisissez votre politique DMARC.
  2. Cliquez sur Générer
  3. Copiez l'enregistrement TXT dans le presse-papiers et collez-le sur votre DNS pour activer le protocole.

Générateur d'enregistrements DMARC

Conclusion

Une fois que vous avez mis en place le protocole DKIM SPF DMARC, commencez à surveiller les rapports pour repérer les activités suspectes. N'oubliez pas qu'ensemble, ces protocoles d'authentification réduisent le risque de spamming et de phishing, mais qu'ils ne protègent pas contre toutes les cybercriminalités basées sur le courrier électronique. Il est donc important d'investir également dans l'éducation et la sensibilisation des employés.