Comprendre SPF, DKIM et DMARC

Comprendre SPF, DKIM et DMARC

21/12/2018 Astuces Sécurité 0

L’usurpation d’identité dans la messagerie électronique est un problème répandu. Tout serveur connecté à Internet peut envoyer un email en utilisant n’importe quelle adresse email et peut donc usurper votre identité. Heureusement il est possible de s’en protéger assez facilement.

Qu’est-ce que le protocole SPF ?

Le protocole SPF permet de certifier que l’IP à l’origine de l’envoi d’un email a bien le droit d’envoyer cet email depuis votre nom de domaine. Ce protocole permet ainsi de détecter lorsque des tiers utilisent votre nom de domaine pour se faire passer par vous. C’est particulièrement efficace contre les attaques de phishing.

Pour mettre en oeuvre SPF sur votre domaine, il suffit d’ajouter un enregistrement TXT qui inclue les adresses IP susceptibles d’envoyer les messages de votre domaine, c’est à dire l’adresse de votre serveur de messagerie et celles de vos différents serveurs qui pourraient également envoyer des emails. Si vous utilisez G Suite pour votre messagerie, voici un exemple de syntaxe :

v=spf1 include:_spf.google.com ip4:172.16.254.1 ip4:172.16.254.2 ~all

avec include: qui renvoie vers la liste des adresses IP d’envoi maintenue par Google et ip4: un exemple d’autres adresses IP susceptibles d’envoyer des emails depuis votre domaine

En mettant en place SPF, vous protégez non seulement votre nom de domaine contre le spoofing, mais vous risquerez également beaucoup moins que vos emails passent pour du spam.

Qu’est-ce que le protocole DKIM ?

Le protocole Domain Keys Identified Mail (DKIM) est une norme d’authentification de courrier électronique qui vérifie cryptographiquement si un email est envoyé par les serveurs autorisés et n’a pas été modifié pendant son envoi. Le destinataire de l’email est sûr que l’email qu’il a reçu a bien été transmis par votre serveur de messagerie et qu’il n’a pas été altéré durant sa transmission. Ce protocole est particulièrement efficace contre des attaques type « man in the middle« .

La mise en oeuvre de DKIM nécessite de générer un couple de clés au niveau de son serveur de messagerie. La clé privée est utilisée par le serveur et ne doit pas être diffusée. La clé publique quant à elle est publiée sur le DNS en tant qu’enregistrement pour permettre la vérification lors de la réception des emails.

Qu’est ce que le protocole DMARC ?

DKIM et SPF sont relativement faciles à être mis en place et répondent de manière complémentaire à des types d’attaque différentes. Néanmoins ils ont l’inconvénient de ne pas donner de conduite à tenir en cas de tentative d’attaque. Le protocole DMARC (Domain-based Message Authentication, Reporting and Conformance) quant à lui donne des indications pour par exemple être averti si quelqu’un usurpe votre identité (un attaquant utilise une IP non autorisée ou a modifié le contenu de votre email par exemple).

DMARC permet ainsi à l’admin d’un domaine de préciser ce qui doit advenir aux emails ayant échoué aux contrôles SPF et DKIM. Il s’agit là encore d’enregistrement publié sur le DNS :

v=DMARC1; p=none; rua=reports@yourdomain.com;

Le « p = » spécifie l’action à prendre pour les emails ayant échoué. « none » signifie en pratique ne rien faire, et suivre la politique de réception. D’autres options sont la mise en quarantaine et le rejet. La mention ci-dessus correspond à un mode « rapport seulement » ce qui est recommandé. L’adresse « reports@yourdomain.com » est l’adresse à laquelle vous recevrez les rapports DMARC d’autres fournisseurs de services.

Si votre messagerie est hébergée sur G Suite , Google met à votre disposition un outil en ligne pour vérifier que tout est bien configuré. Notre équipe pourra également vous assister à ce sujet.