« Protocoles SPF DKIM DMARC » : différence entre les versions

De wikilivois
Aller à la navigationAller à la recherche
Aucun résumé des modifications
Ligne 6 : Ligne 6 :
=Explication des protocoles=
=Explication des protocoles=
==SPF==
==SPF==
Le protocole SPF, qui se base sur les DNS de votre nom de domaine, permet de certifier que l'IP émettrice a bien le droit d'envoyer l'email. Ce protocole permet ainsi d'interdire à des tiers d'utiliser frauduleusement votre nom de domaine et de se faire passer par vous. Ce protocole est particulièrement efficace contre des attaques de phishing.
Le protocole SPF - Sender Policy Framework, qui se base sur les DNS de votre nom de domaine, permet de certifier que l'IP émettrice a bien le droit d'envoyer l'email. Ce protocole permet ainsi d'interdire à des tiers d'utiliser frauduleusement votre nom de domaine et de se faire passer par vous. Ce protocole est particulièrement efficace contre des attaques de phishing.
 
SPF est là pour dire aux serveurs mails de destination si l’expéditeur fait partie des machines autorisées. On peut au choix mettre une ou plusieurs adresses IP, ou inclure des informations disponibles dans d’autres zones DNS.
 
#dig TXT livois.com
 
;; ANSWER SECTION:                                                                                                                                                                                                                                                           
livois.com.            10079  IN      TXT    "v=spf1 include:spf.mailjet.com include:_mailcust.gandi.net ?all"   
 
La configuration suivante autorise les serveurs smtp mailjet et gandi d'envoyer les mails des expéditeurs livois.com.
 


==DKIM==  
==DKIM==  
Ligne 12 : Ligne 22 :


==DMARC==  
==DMARC==  
Les deux protocoles DKIM et SPF sont complémentaires et répondent à des types d'attaque différentes. Néanmoins ils ont l'inconvénient de ne pas donner de conduite à tenir en cas d'attaque. Le protocole DMARC pallie ce manque et donne des indications en cas d'attaque : il est en particulier possible d'être averti si quelqu'un usurpe votre identité (si l'attaqueur utilise une IP non autorisée ou si l'attaqueur a modifié le contenu de votre email par exemple).
Les deux protocoles DKIM et SPF sont complémentaires et répondent à des types d'attaque différentes. Néanmoins ils ont l'inconvénient de ne pas donner de conduite à tenir en cas d'attaque. Le protocole DMARC - Domain-based Mail Authentication, Reporting and Conformance - pallie ce manque et donne des indications en cas d'attaque : il est en particulier possible d'être averti si quelqu'un usurpe votre identité (si l'attaquant utilise une IP non autorisée ou si l'attaquant a modifié le contenu de votre email par exemple).

Version du 11 novembre 2018 à 08:42

Ces trois protocoles - SPF, DKIM, DMARC - répondent à des problématiques de sécurité différentes et doivent tous les 3 être implémentés pour s'assurer de la meilleure délivrabilité possible sur IP dédiée

Explication des protocoles

SPF

Le protocole SPF - Sender Policy Framework, qui se base sur les DNS de votre nom de domaine, permet de certifier que l'IP émettrice a bien le droit d'envoyer l'email. Ce protocole permet ainsi d'interdire à des tiers d'utiliser frauduleusement votre nom de domaine et de se faire passer par vous. Ce protocole est particulièrement efficace contre des attaques de phishing.

SPF est là pour dire aux serveurs mails de destination si l’expéditeur fait partie des machines autorisées. On peut au choix mettre une ou plusieurs adresses IP, ou inclure des informations disponibles dans d’autres zones DNS.

#dig TXT livois.com 
;; ANSWER SECTION:                                                                                                                                                                                                                                                             
livois.com.             10079   IN      TXT     "v=spf1 include:spf.mailjet.com include:_mailcust.gandi.net ?all"    

La configuration suivante autorise les serveurs smtp mailjet et gandi d'envoyer les mails des expéditeurs livois.com.


DKIM

Le protocole DKIM est un protocole cryptographique se basant sur l'utilisation de clés publiques qui sont publiés dans vos DNS. Le protocole permet de signer votre email avec votre nom de domaine, comme vous pourriez signer une lettre avec votre signature. Le destinataire de votre email est sûr que l'email qu'il a reçu a bien été écrit par vous et n'a pas été altéré durant sa transmission. Ce protocole est particulièrement efficace contre des attaques type "man in the middle".

DMARC

Les deux protocoles DKIM et SPF sont complémentaires et répondent à des types d'attaque différentes. Néanmoins ils ont l'inconvénient de ne pas donner de conduite à tenir en cas d'attaque. Le protocole DMARC - Domain-based Mail Authentication, Reporting and Conformance - pallie ce manque et donne des indications en cas d'attaque : il est en particulier possible d'être averti si quelqu'un usurpe votre identité (si l'attaquant utilise une IP non autorisée ou si l'attaquant a modifié le contenu de votre email par exemple).