E-mail: à quoi servent les enregistrements SPF, DKIM et DMARC?

Suivant la tradition d’Artera, toujours à l’écoute de l’actualité et de la sécurité, nous consacrerons cet article à la sécurité dans le domaine des e-mails.

Lorsqu’un e-mail est envoyé, il peut arriver que le message soit reçu par le destinataire comme spam, ce qui fait que la communication n’est pas lue à plusieurs reprises.

Il existe de nombreuses raisons pour lesquelles une situation de ce type peut se produire; cependant, en particulier dans la dernière période, la plupart des cas sont dus à la configuration manquante ou incorrecte des enregistrements SPF et DKIM sur les zones DNS du domaine utilisé pour l’envoi des e-mails. Un autre enregistrement utile à considérer, bien que non critique, est l’enregistrement DMARC.

Tous ces enregistrements sont spécifiques au service de messagerie électronique et visent à sécuriser l’échange d’e-mails, en luttant contre l’usurpation d’identité (technique par laquelle l’expéditeur est falsifié pour tromper le destinataire du message) et l’hameçonnage (escroquerie qui, par le biais de messages trompeurs essaie de récupérer des informations sensibles) et en réduisant également la possibilité que les messages envoyés régulièrement soient reconnus comme spam et traités comme tel par le destinataire.

À quoi servent les enregistrements SPF, DKIM et DMARC? Voyons ça ensemble!

L’enregistrement SPF (Sender Policy Framework) permet d’indiquer quels serveurs sont autorisés à envoyer des e-mails; cela signifie que le destinataire d’un message peut identifier le serveur qui a envoyé l’e-mail, en récupérant les informations écrites dans l’en-tête du message et en les comparant avec les serveurs indiqués dans l’enregistrement SPF. Si la vérification retourne un résultat positif, le message sera plus facilement considéré comme fiable, sinon il aura plus de chances d’être identifié comme courriel ou spam potentiellement dangereux.

L’enregistrement DKIM (DomainKeys Identified Mail) n’est rien de plus qu’une signature numérique, qui permet au destinataire de certifier si le message reçu a été envoyé depuis un domaine et un serveur autorisés.

Cette configuration permet également de vérifier que le contenu d’un e-mail n’a pas été modifié après son envoi.

Le serveur du destinataire extrait la clé de l’en-tête de l’e-mail et, grâce à sa vérification, détermine si le message est fiable ou non, exactement comme indiqué pour l’enregistrement SPF.

L’enregistrement DMARC (Domain-based Message Authentication, Reporting and Conformance), contrairement aux deux autres vus précédemment, ne définit pas les services autorisés à envoyer et ne permet pas d’effectuer des contrôles spécifiques. Il est pourtant très important car il définit comment le destinataire d’un e-mail, en fonction des paramètres spécifiés avec les enregistrements SPF et DKIM, doit traiter les messages reçus. De plus, il permet l’envoi de rapports à une adresse e-mail spécifiée dans l’enregistrement, de sorte que le propriétaire soit périodiquement mis à jour sur les messages envoyés par les boîtes e-mail actives sur son domaine, facilitant ainsi l’identification de tout problème ou cas « suspects ».

Tous les produits Artera qui incluent le service de messagerie et la gestion des serveurs de noms sont activés en tenant compte de l’importance de la sécurité dans ce secteur; voilà pourquoi les enregistrements SPF, DKIM et DMARC sont automatiquement configurés sur nos zones DNS. Des trois indiqués, le DMARC est le seul qui constitue une véritable exception; en effet, contrairement aux enregistrements SPF et DKIM, qui sont immédiatement déterminants, l’enregistrement DMARC est inséré sous une forme générique, car son mode de fonctionnement, ainsi que l’adresse e-mail permettant de recevoir les rapports, doivent être décidés par vous. Ne vous inquiétez pas: Artera ne vous abandonnera pas! Nous mettons toute notre expertise à votre disposition pour exploiter tout le potentiel de cet enregistrement DNS: ici vous pouvez trouver notre guide, qui explique en détail le fonctionnement de l’enregistrement DMARC.

Le support d’Artera reste disponible pour des précisions supplémentaires: ouvrez un ticket depuis votre espace client ou envoyez un e-mail à support@artera.net pour obtenir de l’aide!

Condividi