Améliorer la sécurité de vos courriels grâce au SPF, DKIM et DMARC

Le courrier électronique constitue le mode de communication privilégié des entreprises et des particuliers dans le monde entier. Éviter l'hameçonnage et le spam devient une priorité pour assurer la protection des communications électroniques. Un utilisateur qui clique sur un lien ou sur une pièce jointe malveillante peut compromettre l'entreprise en ouvrant le réseau aux rançongiciels (ou « ransomwares »), à l'usurpation d'adresse électronique et à bien d'autres dangers. 

Cet article explique ce que sont les protocoles d’authentification SPF, DKIM et DMARC et présente la façon dont ils contribuent à améliorer la sécurité des courriels de votre organisation.

Le rôle du SPF dans la sécurité de vos courriels

SPF: qu'est-ce que c’est?

Vous le savez sûrement, les spammeurs sont en mesure de falsifier la provenance des messages électroniques. Ils modifient l'adresse de manière à donner l’impression qu'ils envoient les courriels à partir d'une adresse électronique de votre domaine. C'est ce qu'on appelle l'usurpation d'identité. Le propriétaire du compte peut alors recevoir des réponses pour des courriels qu'il n'a jamais envoyés. 

Le protocole SPF (Sender Policy Framework) optimise la sécurité des courriels en palliant ce désagrément. Il identifie les serveurs de messagerie autorisés à envoyer des courriels au nom de votre domaine. SPF est un enregistrement TXT mis en place dans votre fichier de zone DNS dans le but d'empêcher les spammeurs d'envoyer des messages électroniques avec de fausses adresses de votre domaine. C’est particulièrement pertinent à l’ère du service client numérique.

Comment cela fonctionne-t-il?

L’expéditeur, par exemple votre agence web, publie des enregistrements SPF dans les DNS. Ces enregistrements TXT répertorient les adresses IP autorisées à envoyer du courrier électronique au nom de leur domaine. Lorsque les serveurs de messagerie entrants reçoivent des messages provenant de votre nom de domaine, ils comparent l'enregistrement SPF aux informations du serveur de messagerie sortant. 

Si les informations ne correspondent pas et si l'adresse IP qui envoie le courrier électronique ne figure pas dans l'enregistrement SPF, le message sera par conséquent filtré comme spam ou sera rejeté pour plus de sécurité. 

À quoi ressemble une entrée SPF?

Voici un exemple d’enregistrement SPF récupéré en entrant la commande « dig TXT globalia.ca » dans un terminal Linux:

Nous voyons l’adresse IP et les domaines autorisés à envoyer des courriels au nom de globalia.ca. Un enregistrement finit toujours par « all ». Ce paramètre détermine la règle à appliquer aux autres courriels reçus qui ne respectent pas les exigences mentionnées dans l’enregistrement. Dans le cas de globalia.ca, il s’agit d’un « soft fail ». C'est-à-dire que les courriels qui proviennent des adresses IP non listées sont acceptés, mais doivent être marqués comme spam.

Un outil à connaître

Le site web dmarcian.com permet également d’afficher le contenu d’un enregistrement SPF. On peut y voir en détail la liste des adresses IP autorisées qui sont notamment répertoriées dans « include ». Pour ce faire, il suffit d’aller sur dmarcian.com/spf-survey/ et de taper votre nom de domaine par exemple « globalia.ca » dans la fenêtre de recherche.

Comment créer un enregistrement SPF? 

1. Collectez des informations sur vos adresses IP, votre serveur DNS et la liste des services ou serveurs (Outlook 365, Google Workspace, MailChimp, etc.) que vous souhaitez autoriser à envoyer vos courriels.
2. Connectez-vous à votre plateforme de gestion des DNS.
3. Créez un nouvel enregistrement TXT avec les valeurs souhaitées du SPF.
4. Informez votre agence web.

Ci-dessous un schéma qui présente le principe avec SPF:

L'ajout d'un enregistrement SPF peut réduire les tentatives d'usurpation d'identité vers votre domaine, mais il ne s'agit pas d'une garantie absolue contre tous les spams. Un autre élément va apporter davantage de sécurité dans les courriels, il s’agit du protocole DKIM.

Comment DKIM améliore la sécurité de vos courriels

DKIM: qu'est-ce que c’est?

DomainKeys Identified Mail (DKIM) est un protocole qui permet à une organisation d'assumer la responsabilité de la transmission d'un message. Cette vérification devient possible par l'authentification cryptographique.

Comment cela fonctionne-t-il? 

DKIM a pour objectif de fournir des signatures aux courriers électroniques afin de vérifier les expéditeurs. 

Une signature numérique est ajoutée au message à l’aide d’une clé privée. Une fois le courriel envoyé, le serveur de messagerie du destinataire prend connaissance de l’existence d’une combinaison « domaine/sélecteur » signataire du processus de cryptage. Ce dernier va alors effectuer une requête DNS afin de trouver la clé publique reliée à cette combinaison.

Il va utiliser la clé publique pour décrypter la signature DKIM reçue et, par conséquent, vérifier l'authenticité de l'expéditeur ainsi que le contenu du courriel pour la sécurité de votre organisation.

À quoi ressemble une entrée DKIM?

Si vous retournez sur le site dmarcian.com/dkim-inspector/, vous pouvez voir la clé publique telle qu’elle apparaît dans un enregistrement TXT.

Comment créer un enregistrement DKIM?

1. Créez une liste de services et de domaines autorisés à envoyer des courriels en votre nom.
2. Générez une paire de clés à l'aide d'outils de génération DKIM ou par le biais du fournisseur de service (ex. MailChimp).
3. Utilisez un fichier TXT pour publier votre clé publique sur le DNS.
4. Enregistrez la clé privée sur le serveur de messagerie qui envoie.

Ci-dessous un schéma qui présente le principe avec DKIM:

Les protocoles SPF et DKIM suffisent généralement pour assurer la sécurité des courriels. Cependant, si vous souhaitez aller plus loin, vous pouvez envisager d’ajouter le protocole DMARC.

Des courriels encore plus sécurisés avec DMARC

DMARC: qu'est-ce que c’est?

DMARC (Domain-based Message Authentication, Reporting & Conformance) a pour objectif d'indiquer aux serveurs de messageries de courrier électronique la marche à suivre face à des courriels qui semblent provenir de vos domaines mais qui n’ont pas été validés par SPF ou DKIM. De plus, DMARC permet de fournir des rapports sur les flux de courriels selon les politiques SPF et DKIM précédemment établies.

Comment cela fonctionne-t-il? 

Tout comme les deux autres protocoles, il s’agit de créer un enregistrement TXT dans les DNS. Des paramètres spécifiques y sont renseignés afin de statuer sur le destin des courriels invalidés. Afin de mieux comprendre, voici un exemple.

À quoi ressemble une entrée DMARC?

Sur le site dmarcian.com/dmarc-inspector/, vous pouvez voir la valeur que prend l’enregistrement TXT _dmarc.

Dans cet exemple, nous voyons les paramètres qui définissent la règle.

Comment implémenter DMARC?

1. Vérifiez que les enregistrements DKIM et/ou SPF sont correctement configurés.
2. Choisissez un compte de messagerie pour la réception des enregistrements DKIM.
3. Générez l'enregistrement DMARC à l'aide d'un outil (ex. OpenDKIM).
4. Ajoutez l'enregistrement DMARC au DNS de votre domaine.

Ci-dessous un schéma qui présente le principe avec DMARC:

Bref, pensez à la sécurité des courriels

SPF, DMARC et DKIM sont des protocoles d’authentification qui fonctionnent ensemble de manière transparente pour offrir la meilleure sécurité possible aux courriels.

• SPF présente les domaines d'envoi de courriels autorisés.
• DKIM ajoute des signatures numériques aux courriels à des fins de vérification.
• DMARC indique la façon de traiter les courriels qui échouent au SPF ou à DKIM. 
  
  

Ces trois normes de courrier électronique constituent un mécanisme solide pour la protection de votre entreprise contre les spams, l'usurpation d'identité, le phishing et les menaces malveillantes.

Vous vous souciez de la sécurité de votre site web et de vos employés, mais il ne faut pas oublier la sécurité des courriels. Pour de plus amples informations, n’hésitez-pas à nous contacter, nous serons en mesure de vous accompagner dans la réalisation de vos projets.