SPF, DKIM, DMARC, pourquoi c’est important ?

Savez-vous que 91 % des cyberattaques commencent par un email frauduleux ? Dans un paysage où près de 320 milliards d’emails sont échangés chaque jour, la protection des communications numériques est plus qu’une nécessité : c’est une priorité. (Source : Vade Secure)

De nombreuses entreprises s’appuient sur les emails pour mener leurs campagnes marketing, leurs échanges clients ou encore leurs processus internes. Cependant, un email non sécurisé peut très vite devenir une source de risques pour leur activité (cyberattaque, marquage comme spam, blacklistage, etc.) 

Dans cet article, nous allons démystifier les protocoles SPF, DKIM et DMARC, piliers de la légitimité des emails. Vous découvrirez comment ils fonctionnent, pourquoi ils sont indispensables et comment les mettre en place pour optimiser à la fois la sécurité et la performance de vos communications électroniques.

Le protocole SPF, ou Sender Policy Framework, est une norme de sécurité qui permet de vérifier que les serveurs d’envoi d’emails sont bien autorisés à expédier des messages pour un domaine spécifique. 

Concrètement, il repose sur un enregistrement DNS (Domain Name System) contenant une liste d’adresses IP ou de serveurs autorisés. Quand un email est envoyé, le serveur de réception interroge cet enregistrement SPF pour confirmer la légitimité de l’expéditeur.

L’une des principales menaces pour la sécurité des emails est le vol d’identité électronique, aussi connue sous le nom de spoofing. Avec le protocole SPF, les serveurs de messagerie vérifient si un signal provient d’un appareil autorisé. Si ce n’est pas le cas, l’email est marqué comme suspect, voire rejeté. Vous limitez ainsi les tentatives d’hameçonnage ou d’usurpation de votre domaine

Pour mettre en place SPF, il suffit d’ajouter un enregistrement DNS de type TXT à votre domaine. Ce dernier contient les informations nécessaires pour lister les serveurs autorisés.

Par exemple, une configuration classique pourrait ressembler à : 

`v=spf1[plage d’adresses IP ou IP seule] include:mail.example.com -all`.

Ce format précise que seuls les emails envoyés via mail.example.com sont valides. Une fois configuré, pensez à tester régulièrement votre enregistrement pour éviter les erreurs.

Complémentaire à SPF et DMARC, le protocole DKIM (DomainKeys Identified Mail) renforce la confiance des serveurs de messagerie et améliore la délivrabilité de vos campagnes. Ce protocole garantit l’authenticité de vos emails et empêche toute altération en cours de route. Il agit, en quelque sorte, comme une signature numérique.

Voyons comment DKIM fonctionne et comment le configurer : 

Le DomainKeys Identified Mail est un protocole de validation qui associe une clé cryptographique à chaque email envoyé. Lorsqu’un email quitte votre serveur, DKIM génère une signature unique inscrite dans les en-têtes du message. À l’arrivée, le serveur destinataire vérifie cette signature à l’aide d’une clé publique stockée dans les enregistrements DNS de votre domaine. Si la signature correspond, l’email est jugé fiable. Le protocole DKIM joue un rôle crucial pour protéger votre domaine contre les cyberattaques

La force du DKIM repose donc dans sa signature cryptographique. Elle garantit que le contenu de l’email n’est pas modifié pendant le transit. Si un cybercriminel tente de manipuler le message, la signature ne correspondra plus à la clé publique. L’email sera en échec DKIM et pourra être rejeté.

Cette approche permet de rassurer votre fournisseur de messagerie et vos destinataires sur la légitimité de vos envois.

Pour implémenter DKIM, vous devez générer une paire de clés (publique et privée). La clé publique est ajoutée à un enregistrement DNS de type TXT. La clé privée est utilisée par votre serveur d’envoi pour signer les emails. Une configuration modèle pourrait ressembler à : 

default._domainkey.example.com IN TXT "v=DKIM1 ; k=rsa ; p=VotreCléPublique".

Comme pour SPF, testez votre configuration pour garantir son bon fonctionnement. Une fois en place, DKIM devient votre meilleur allié pour protéger les échanges avec vos différents interlocuteurs.

Dans le cadre de DKIM (DomainKeys Identified Mail), les enregistrements DNS jouent donc un rôle central. C’est eux qui permettent la vérification des signatures cryptographiques attachées aux emails. 

En plus des enregistrements TXT, ceux de type CNAME (Canonical Name) sont souvent utilisés lorsqu’un service tiers gère l’infrastructure d’envoi d’emails d’une entreprise, comme les outils d’email marketing ou les plateformes de messagerie cloud.

Les enregistrements CNAME simplifient la configuration DKIM en permettant de déléguer la gestion des clés cryptographiques à un tiers tout en conservant la configuration dans le DNS de l’entreprise. 

Au lieu de configurer manuellement les clés publiques DKIM (via des enregistrements TXT), un enregistrement CNAME pointe vers un serveur DNS externe où le prestataire gère les clés de manière automatisée et sécurisée.

Dans ce cas, l’entreprise utilise un service tiers pour envoyer ses emails. Le service fournit une entrée CNAME à ajouter dans le DNS. 

Voici un exemple :

Hôte (Nom DNS) : default._domainkey.votre-domaine.com

Cible (Valeur) : default._domainkey.votre-prestataire.com

En configurant cet enregistrement, les serveurs de messagerie destinataires consultent le DNS du prestataire pour récupérer la clé publique et valider les signatures DKIM.

Depuis février 2024, Google et Yahoo! imposent des exigences strictes en matière de DMARC pour garantir un écosystème email sécurisé. Pourquoi ? En s’appuyant sur SPF, DKIM, le protocole DMARC (Domain-based Message Authentication, Reporting & Conformance) va plus loin. 

Il permet aux propriétaires de domaines de définir des règles claires pour gérer les emails suspects. Il crée pour cela un cadre cohérent qui vérifie non seulement l’authenticité des messages, mais aussi leur alignement avec votre domaine.

Découvrons ensemble le rôle du protocole DMARC et comment l’implémenter efficacement.

Le rôle principal de DMARC est de vérifier que les emails envoyés en votre nom respectent les politiques définies par SPF et DKIM. Il agit comme un filtre supplémentaire, en s’assurant que ces deux protocoles sont alignés avec le domaine de l’expéditeur. Si un email échoue aux contrôles SPF et DKIM, DMARC applique la politique déterminée : autoriser, mettre en quarantaine ou rejeter le message.

En d’autres termes, l’adresse visible par le destinataire (le « From ») doit correspondre au domaine utilisé pour les signatures DKIM et les vérifications SPF. Cet alignement garantit que les emails légitimes passent les contrôles, tandis que les tentatives de fraude sont bloquées. 

C’est la synergie entre SPF, DKIM, DMARC qui permet de maximiser la sécurité et la délivrabilité de vos emails. 

Pour configurer DMARC, il est nécessaire d’ajouter un enregistrement DNS TXT à votre domaine, tel que :  

`v=DMARC1 ; p=none ; rua=mailto:rapport@example.com ; ruf=mailto:fraude@example.com`.  

Cet enregistrement précise la politique (p=none, quarantine, ou reject), ainsi que les adresses auxquelles les rapports d’analyse sont envoyés. Commencez par exemple avec le filtre « none » pour observer l’activité sans bloquer vos emails, puis ajustez progressivement.

À l’heure actuelle, les protocoles SPF, DKIM, DMARC forment une alliance redoutable pour protéger vos communications. Mais, ce trio gagnant ne fonctionne efficacement qu’avec une configuration rigoureuse et un suivi régulier.

La combinaison de SPF, DKIM, DMARC agit comme une barrière contre les emails frauduleux. Et ils ont chacun leur rôle : 

• SPF vérifie que seuls les serveurs autorisés peuvent envoyer des messages pour votre domaine
• DKIM garantit l’intégrité des emails grâce à des signatures cryptographiques
• DMARC contrôle l’alignement des deux pour bloquer les messages non conformes

Résultat ? Vous protégez vos clients et collaborateurs des tentatives de phishing, et évitez d'associer votre domaine à des campagnes de spam. 

Un domaine sécurisé est aussi un domaine crédible. Les fournisseurs de messagerie valorisent les emails qui passent les contrôles SPF, DKIM, DMARC, car ils prouvent leur authenticité. 

D’un côté, vous renforcez ainsi votre réputation d’expéditeur. De l’autre, vous augmentez les chances que vos campagnes emailing arrivent directement dans la boîte de réception de vos correspondants. Et non dans leur dossier spam !

Les rapports DMARC sont une mine d’or pour surveiller l’activité sur votre domaine mais aussi l’efficacité de votre configuration. Ils fournissent une vue d’ensemble des emails envoyés et permettent de vérifier leur conformité avec les protocoles SPF, DKIM, DMARC.

Ils indiquent notamment si les messages passent les contrôles d’authentification ou s’ils détectent des tentatives de phishing ou d’usurpation. Ces rapports sont envoyés quotidiennement à l’adresse stipulée dans votre enregistrement DMARC via le tag `rua`. Pour recevoir des rapports sur un autre domaine, une attestation DNS spécifique est requise.

Petit bémol ! Les rapports, souvent au format XML brut, peuvent être complexes à lire. Il peut être recommandé d’utiliser un service tiers pour les stocker, analyser et interpréter les données.

Dans un contexte où les cyberattaques ciblant les emails ne cessent d’augmenter, adopter les protocoles SPF, DKIM, DMARC devient une nécessité. En protégeant vos communications, vous évitez non seulement les pertes financières et les atteintes à votre image, mais vous améliorez aussi la délivrabilité de vos campagnes emailing. 

Pour garantir une efficacité durable, ne vous limitez pas à une configuration initiale. Veillez également à garder vos enregistrements DNS à jour et sensibilisez vos équipes aux meilleures pratiques en matière de cybersécurité. 

Nos experts sont là pour vous accompagner !

contactez-nous !