Une bonne politique de sécurisation de son système de messagerie consiste à utiliser plusieurs niveaux de protection. Nous regarderons les trois technologies qui sont les plus utilisées aujourd’hui, SPF, DKIM et DMARC.
Utilisées conjointement, elles permettent d’authentifier et légitimer un email et son expéditeur.
- Le SPF, Sender Policy Framework, est un processus d’authentification qui assure la conformité de l’expéditeur d’un email. Il permet d’indiquer qui est autorisé à utiliser votre nom de domaine en déclarant les IP autorisées à envoyer des emails.
- Le DKIM, DomainKeys Identified Mail, permet de signer un message par cryptographie. Ce qui permet de s’assurer que le message envoyé n’a pas subi d’altération durant sa livraison.
- Le DMARC, Domain-based Message Authentication, Reporting, and Conformance vient s’appuyer sur le principe de « l’alignement ». Ce qui permet d’agir sur les messages où les protocoles SPF et DKIM ont échoué, en venant appliquer des instructions supplémentaires.
Pourquoi utiliser DMARC, DKIM et SPF ?
Dans le monde actuel, tous les types de transactions nécessitent une authentification. Que vous soyez un patient nécessitant un traitement, un conducteur nécessitant un permis, un client payant avec une carte de crédit ou encore un passager embarquant dans un avion, vous devez toujours prouver que vous êtes bien ce que vous prétendez être. Vous devez fournir un passeport, une preuve d’assurance maladie, une carte de sécurité sociale ou une autre forme d’identification matérielle tangible pour prouver que le nom figurant sur le rendez-vous, la carte de crédit ou le billet d’avion vous appartient réellement.
Le monde de la délivrabilité fonctionne de la même manière. Afin de franchir les barrières des filtres ISP, vous devez prouver que vous êtes un expéditeur légitime. Vous devez prouver que vous n’envoyez pas au nom de quelqu’un d’autre et que votre identité n’a pas été compromise. Comment le prouver ?
En utilisant SPF, DKIM et DMARC.
Ce sont des acronymes pour les protocoles standards qui permettent de prouver l’authentification d’un expéditeur et de protéger le contenu dans le cadre d’un échange d’email.
Nous allons les décomposer.
Qu’est-ce que le SPF?
SPF, ou Sender Policy Framework, est un protocole de validation de courrier électronique conçu pour détecter et bloquer l’usurpation de courrier électronique qui permet aux échangeurs de courrier de vérifier que le courrier entrant d’un domaine provient d’une adresse IP autorisée par les administrateurs de ce domaine. Un enregistrement SPF est un enregistrement texte trouvé dans l’enregistrement DNS (Domain Name System) qui spécifie quelles adresses IP et/ou quels serveurs sont autorisés à envoyer des messages depuis ce domaine. Cela ressemble à une adresse de retour sur une carte postale : la plupart des gens sont beaucoup plus susceptibles d’ouvrir une lettre si celle-ci a une adresse de retour fiable et reconnaissable à partir de laquelle elle a été envoyée.
Après l’envoi d’un message, les fournisseurs de services Internet vérifieront le domaine du chemin de retour. Ils compareront ensuite l’adresse IP qui a envoyé l’email à l’adresse IP répertoriée dans l’enregistrement SPF du domaine Return-Path pour voir s’il est aligné. Si tel est le cas, l’authentification SPF a été confirmée et le message sera remis.
Pourquoi le SPF est-il important?
SPF est un standard qui vous protège des spammeurs potentiels. Le spam par courrier électronique et le phishing utilisent souvent des adresses et domaines falsifiés. La publication et la vérification d’enregistrements SPF sont l’une des techniques antispam les plus fiables et les plus simples à utiliser . Si vous avez une bonne réputation en matière d’envoi, un spammeur peut tenter d’envoyer des courriers électroniques de votre domaine afin de s’affranchir de votre réputation auprès des FAI. Cependant, une authentification SPF révélera au FAI destinataire que le domaine peut vous appartenir, mais que le serveur n’autorise pas l’envoi de courrier pour votre domaine. Un enregistrement SPF dans un domaine de premier ordre (par exemple, mondomaine.com) authentifiera automatiquement tous les sous-domaines (exemple : mail.mondomaine.com) situés sous celui-ci qui ne contiendrait pas leur propre enregistrement SPF.
Qu’est-ce que DKIM ?
DKIM, ou DomainKeys Identified Mail, permet à une organisation (ou à un gestionnaire du message) d’assumer la responsabilité d’un message en transit. Selon DKIM.org , DKIM associe un nouvel identifiant de nom de domaine à un message et utilise la cryptographie pour valider l’autorisation de présence. L’identifiant est indépendant de tout autre identifiant dans le message, tel que dans le champ De: de l’auteur. DKIM est également une signature d’enregistrement TXT qui crée une relation de confiance entre l’expéditeur et le destinataire.
Pourquoi DKIM est-il important?
DKIM prouve trois choses:
- Le contenu d’un email n’a pas subi d’altération.
- Les en-têtes de l’email n’ont pas changé depuis l’envoi de l’expéditeur d’origine, qu’il n’y a pas de nouveau domaine « de ».
- L’expéditeur de l’email possède le domaine DKIM ou que le propriétaire de ce domaine l’autorise.
DKIM utilise un algorithme de cryptage qui crée une paire de clés électroniques, une clé publique et une clé privée.
La signature se situe dans l’en-tête de chaque email envoyé. Elle est propre à votre domaine de messagerie, vous en possédez la clé privée. Cette clé privée correspond a une clé publique, qui est enregistrée dans votre DNS. Lorsque vous envoyez un message, le serveur qui le reçoit va aller regarder votre clé publique. Ainsi, il détermine si la clé privée a bien été utilisée lors de l’envoi du message afin d’y inscrire la signature cryptographique. Si la clé privée n’a pas été utilisée, alors le message est considéré comme non légitime.
Le chiffrement de la première clé ne peut être déchiffré que par l’autre clé. Un expéditeur publiera la clé «publique» dans l’enregistrement DNS et répertoriera son emplacement dans la signature DKIM avec le domaine «d =» et le sélecteur «s =». Le propriétaire du DNS garde la clé privée secrète. Si les informations contenues dans la signature décryptée correspondent aux informations reçues dans l’en-tête non crypté, le serveur considère que l’en-tête n’est pas falsifié pendant la transmission et la réception.
En d’autres termes, DKIM permet de signer un email par chiffrement numérique. Cette signature est un en-tête du message électronique. Voici un exemple de signature DKIM :
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; t=1476054397;
s=m1; d=e.rentpath.com; i=@e.rentpath.com;
h=Date:From:To:Subject:MIME-Version:Content-Type;
bh=Rm+zVdTj9mQiUHxMpu+O9d9OuV3cOTuaNWHONtEXYo0=;
b=oGVqGJKcS8KZ+YR8+AKzGKg2t1qpwKFXpg6jO3eU/MvQnl9hRpn9NYSR1vV20MSYvJP9ZBiG7hftTHxYUwrP/Ur4Gt4a6bzt6Q6KETOiUrksD1Jnvwt7YG/cwGqGfjfmuYU +/fk3oboohCsnvOI79hHrR8q/a0eCLnkL5BC7L1g=
Pour comprendre le fonctionnement interne de DKIM, il faudrait une connaissance approfondie de la cryptographie moderne. Retenons que DKIM est une pratique technique qui instaure une relation de confiance entre un serveur de messagerie expéditeur et un serveur de messagerie destinataire.
Qu’est-ce que DMARC ?
DMARC, ou Domain-based Message Authentication, Reporting and Conformance est une méthode d’authentification supplémentaire utilisant SPF et DKIM. Elle permet de vérifier si un courrier électronique a effectivement été envoyé par le propriétaire du domaine « Friendly-From ». Pour que les règles DMARC s’appliquent, SPF et DKIM doivent fonctionner et au moins l’un d’entre eux doit être aligné.
Les deux authentifications transmises indiquent que le courrier électronique provient d’un serveur autorisé et que les informations d’en-tête n’ont pas été altérées pour falsifier l’alignement. L’identité est validée si au moins un alignement d’authentification prouve que l’expéditeur possède l’espace DNS du «Friendly-From».
Pour que SPF s’aligne, le domaine From du message et son domaine de retour doivent correspondre. Pour que DKIM s’aligne, le domaine From du message et son domaine DKIM doivent correspondre.
Pourquoi le DMARC est-il important ?
Le serveur considère tout message non conforme comme un phishing. Il ne le distribuera pas. Le phishing est la pratique frauduleuse consistant à envoyer des courriels malveillants en prétendant être quelqu’un d’autre. Le but est de voler les données personnelles de l’utilisateur (carte de crédit, numéro de sécurité sociale…). En mars 2017, la Federal Trade Commission a publié une étude sur l’utilisation de DMARC par les entreprises. L’étude a révélé qu’environ 10% des 569 entreprises ayant une présence en ligne significative publient des politiques DMARC strictes.
Dans la mise en place d’un enregistrement DMARC, vous avez le choix entre 3 stratégies. Ces stratégies indiquent au serveur destinataire comment traiter le courrier envoyé, non conforme à DMARC.
- Aucun : les messages envoyés depuis votre domaine sont tous traités comme ils le seraient sans aucune validation DMARC.
- Quarantaine : le serveur destinataire peut accepter le courrier, mais doit le placer ailleurs que dans la boîte de réception du destinataire (généralement le dossier courrier indésirable).
- Rejeter: Le serveur rejette le message.
Une implémentation efficace de DMARC passerait lentement de différents pourcentages de quarantaine à un rejet total. Un bon usage nécessite également que l’expéditeur surveille régulièrement les rapports DMARC. Ces rapports informent, entre autres, de toute tentative de phishing sur le domaine dans le cas d’un échec de DKIM ou de SPF.
Est-ce que DMARC est nécessaire?
Disons simplement que Google recommande l’utilisation de DMARC pour les expéditeurs de courrier, ce que nous suggérons fortement. De plus, Google et Microsoft sont compatibles DMARC. Cela prouve aux FAI (fournisseurs d’accès internet) que vous êtes un expéditeur sérieux et que vous êtes prêt à prendre des mesures de précaution pour protéger votre identité et votre réputation.
Conclusion
Ces méthodes permettent de protéger votre identité et le contenu de vos messages en amont. En mailing comme dans la vie courante, mieux vaut prévenir que guérir !
Devensys Cybersecurity - The Blog 