SPF, DKIM, DMARC : ces outils de sécurisation de la messagerie électronique mal connus

admin 17 mars 2022 272 Vues

Les rançongiciels et autres cyberattaques spectaculaires font la une des journaux en raison de l’impact aigu sur une entreprise infectée et des demandes de rançon souvent massives. Cependant d’autres formes de cyberattaques moins mises en lumière comme les attaques compromissions d’e-mail professionnel sont des points d’entrée très important dans la réalisation de la plupart des cyberattaques de types ransomware, fraudes, phishing, etc. Les pertes entrainées par les attaques BEC (business e-mail compromise) entrainent pourtant des pertes plus importantes que les ransomware. Selon Gretahorn en 2021, près d’une organisation sur ont affirmé que plus de 50% des liens reçus par e-mail conduisaient à des sites malicieux. Par ailleurs, le rapport 2020 du FBI Internet Crime Complaint Center (IC3) a révélé que le nombre de crimes BEC (19 369) était environ quatre fois supérieur au nombre d’attaques de ransomware signalées (2 474).

Au-delà des habitudes des utilisateurs, les mesures de sécurité implémentées pour la sécurisation des e-mails méritent une attention singulière. Malheureusement très peu implémenté ou configuré correctement, le trio SPF, DKIM, DMARC est pourtant une excellente solution pour réduire les risques de compromission des adresses e-mail.

QU’EST-CE QUE LE SENDER POLICY FRAMEWORK (SPF)

SPF est une forme d’authentification des e-mails qui définit un processus de validation d’un e-mail message envoyé à partir d’un serveur de messagerie autorisé, afin de détecter la falsification et pour prévenir le spam. Le propriétaire d’un domaine peut identifier exactement à partir de quels serveurs de messagerie des messages peuvent être envoyés, à l’aide SPF.

SPF est un outil de prévention du phishing. Sans lui, SMTP exposerait votre adresse à ceux qui pourraient le forger à des fins de spam. Avec SPF, lorsqu’un pirate tente d’envoyer un e-mail à partir de votre adresse, la sécurité SPF du serveur destinataire le détecte et l’identifie comme non valide. L’utilisation de SPF montre que votre organisation est engagée à la protection contre les cybermenaces, ce qui a un impact positif sur votre réputation et votre image de marque.

Lorsqu’un utilisateur en dehors de votre domaine transfère un e-mail provenant de vous, cet e-mail peut ne pas être transmis en raison d’une incompatibilité entre l’enregistrement IP et l’enregistrement SPF. De nombreux agents d’échange et de transfert de courrier utilisent désormais la réécriture du Sender Rewriting Scheme (SRS) ou schéma de réécriture d’expéditeur pour améliorer la capacité de livraison des e-mails.

COMMENT FONCTIONNE SPF ?

Basiquement, SPF établit une méthode sur les serveurs de messagerie pour vérifier que le courrier électronique entrant en provenance d’un domaine a été envoyé par un hôte autorisé par les administrateurs dudit domaine. Son fonctionnement peut être décrit comme suit :

  1. Un administrateur de domaine publie la stratégie en définissant les serveurs de messagerie autorisés à envoyer des e-mails à partir de ce domaine. Cette stratégie est appelée enregistrement SPF, et elle est publiée dans les enregistrements DNS globaux du domaine.
  2. Lorsqu’un serveur de messagerie reçoit un courrier entrant, il recherche les règles pour le domaine de retour (return-path) dans l’enregistrement DNS. Le serveur compare l’adresse IP de l’expéditeur du courrier avec les adresses IP autorisées définies dans l’enregistrement SPF, par le propriétaire du domaine.
  3. Le serveur de messagerie destinataire utilise ensuite les règles spécifiées dans l’ enregistrement SPF du domaine d’envoi pour décider d’accepter, de rejeter ou de marquer l’e-mail comme malicieux par exemple.
Source: dmarcian.com

QU’EST-CE QUE LE DKIM (DomainKeys Identified Mail)

DKIM est une forme d’authentification de messagerie électronique qui permet à une organisation de revendiquer être à l’origine d’un message d’une manière pouvant être validée par le destinataire. DKIM utilise la « cryptographie à clé publique » pour vérifier qu’un e-mail a été envoyé à partir d’un serveur de courrier autorisé, afin de détecter les contrefaçons et d’empêcher la transmettre des Spam.

Le principal avantage du DKIM est sa capacité de protection contre l’usurpation d’identité et attaques par phishing. L’authentification est faite à l’intérieur du message (dans l’entête) pour empêcher la falsification et protéger les utilisateurs contre la réponse à des e-mails illégitimes avec des données personnelles. En effet, DKIM est une signature numérique qui est rajoutée en-tête du message et sécurisé avec un cryptage. En termes simples, DKIM fonctionne en ajoutant une signature numérique aux en-têtes d’un e-mail. Cette signature peut ensuite être validée par rapport à une clé cryptographique publique qui se trouve dans l’enregistrement DNS de l’organisation. Le propriétaire du domaine publie un enregistrement TXT dans l’enregistrement DNS global du domaine. La signature DKIM est générée par le MTA (Mail Transfer Agent). Il crée une chaîne de caractères unique appelée Valeur de Hachage. Cette valeur de hachage est stockée dans le domaine répertorié. Après avoir reçu l’e-mail, le destinataire peut vérifier la signature DKIM à l’aide de la clé publique enregistrée dans le DNS. Il utilise cette clé pour décrypter la Valeur de Hachage dans l’en-tête et recalculer la valeur de hachage à partir de l’e-mail qu’il a reçu. Si ces deux signatures DKIM correspondent, le MTA sait que l’e-mail n’a pas été modifié. Cela permet à l’utilisateur de confirmer que l’e-mail a bien été envoyé depuis le domaine répertorié.

 

 

source: dmarcian.com

QU’EST-CE QUE DMARC (Domain-Based Message Authentication, Reporting and Conformance)

DMARC fait référence à l’authentification de message basée sur le domaine, la création de rapports et Conformité. C’est un protocole de messagerie qui une fois publié pour un domaine, contrôle ce qui se passe quand un message échoue au test d’authentification définis en amont (le serveur destinataire ne peut pas vérifier que l’expéditeur du message est bien celui qu’il prétend être).

Via les mesures de vérification d’authentification (SPF et DKIM) les messages prétendant provenir du domaine de l’expéditeur sont analysés par les organisations destinataires, afin de determiner si le message a bien été envoyé par le domaine inscrit dans le message. DMARC s’occupe essentiellement de ce qu’il faut faire des messages qui échouent aux tests d’authentification (SPF & DKIM). Doivent-ils être mis en quarantaine, rejetés ou autorisés même ils ont échoués aux tests authentification ? Ces le rôle de DMARC d’y réponde et prendre les décisions adéquates en fonction du paramétrage définit âr les administrateurs. DMARC agit comme le rempart ultime qui décide si oui ou nn un message doit être admins dans la boite de réception de l’utilisateur en fonction des paramétrages qui’il aura reçu. Une bonne configuration de DMARC peut empêcher les attaques de phishing et de logiciels malveillants d’atterrir dans la boîte de réception.

Avantages et inconvénients potentiels du DMARC
  • Sécurité: Interdire l’utilisation non autorisée de votre domaine de messagerie pour protéger les personnes contre le spam, fraude et hameçonnage.
  • Visibilité: Gagner en visibilité sur qui et quoi sur Internet envoie des e-mails en utilisant votre domaine de messagerie.
  • Livraison: Utiliser les mêmes mécanismes modernes et standards que les méga-entreprises utilisent pour envoyer des e-mails.
  • Identité:
Comment fonctionne DMARC ?

DMARC est utilisé conjointement avec SPF et DKIM et ce trio est capable est capable d’authentifier efficacement un message et déterminer quoi en faire. Essentiellement, l’enregistrement DMARC d’un expéditeur indique au destinataire quoi faire (par exemple, ne rien faire, mettre le message en quarantaine ou le rejeter) si un e-mail suspect prétendant provenir d’un expéditeur spécifique de son domaine.

Voici comment cela fonctionne :

  1. Le propriétaire du domaine publie un enregistrement DNS DMARC sur son hébergement DNS.
  2. Lorsqu’un e-mail est envoyé par le domaine (ou quelqu’un usurpant le domaine), le serveur de messagerie du destinataire vérifie si le domaine possède un enregistrement DMARC.
  3. Le serveur de messagerie effectue ensuite des tests d’authentification et d’alignement DKIM et SPF pour vérifier si l’expéditeur est vraiment le domaine qu’il prétend être. En somme il tente de répondre aux questions suivantes:
  • Le message dispose-il d’une signature DKIM valide ?
  • L’adresse IP de l’expéditeur fait -elle partie expéditeurs autorisés dans l’enregistrement SPF ?
  • L’entête du message est-il conforme aux test d’alignement du domaine ?
  1. Basés sur les résultats et des conclusions des analyses de DKIM & SPF, le serveur de messagerie est alors prêt à appliquer la politique DMARC du domaine d’envoi. Cette politique dit essentiellement : dois-je supprimer, mettre en quarantaine ou ne rien faire, si ce message ne réussis les tests DKIM/SPF. Enfin, après avoir déterminé quoi faire avec le message, le serveur de messagerie (gmail, yahoo, Outlook, etc.) enverra un rapport sur le résultat de ce message et tous les messages provenant du même domaine. Ces rapports appelés Rapports DMARC agrégés, sont envoyés à l’adresse ou aux adresses e-mail spécifiées dans l’enregistrement DMARC du domaine, et peuvent servir à monitorer son domaine ou prendre des mesures de sécurité supplémentaires.

 

Etiquettes

A propos de admin

Voir aussi

dVPN, la nouvelle génération de VPN encore plus sécurisés

Avec l’essor du web3.0 les technologies basées l’architecture décentralisées connaissent un développement spectaculaire. Les dVPN seront incontestablement la nouvelle norme en matière de réseau privé vurtuel (VPN) dans les cinq années à venir.

Développé et mis en ligne par Remetou Design
© Copyright 2025, Tous droits réservés