« Protocoles SPF DKIM DMARC » : différence entre les versions

De wikilivois
Aller à la navigationAller à la recherche
Aucun résumé des modifications
Ligne 4 : Ligne 4 :
Ces trois protocoles - SPF, DKIM, DMARC - répondent à des problématiques de sécurité différentes et doivent tous les 3 être implémentés pour s'assurer de la meilleure délivrabilité possible sur IP dédiée
Ces trois protocoles - SPF, DKIM, DMARC - répondent à des problématiques de sécurité différentes et doivent tous les 3 être implémentés pour s'assurer de la meilleure délivrabilité possible sur IP dédiée


=Explication des protocoles=
=SPF=
==SPF==
==Le principe==
Le protocole [https://fr.wikipedia.org/wiki/Sender_Policy_Framework SPF] - Sender Policy Framework, qui se base sur les DNS de votre nom de domaine, permet de certifier que l'IP émettrice a bien le droit d'envoyer l'email. Ce protocole permet ainsi d'interdire à des tiers d'utiliser frauduleusement votre nom de domaine et de se faire passer par vous. Ce protocole est particulièrement efficace contre des attaques de phishing.
Le protocole [https://fr.wikipedia.org/wiki/Sender_Policy_Framework SPF] - Sender Policy Framework, qui se base sur les DNS de votre nom de domaine, permet de certifier que l'IP émettrice a bien le droit d'envoyer l'email. Ce protocole permet ainsi d'interdire à des tiers d'utiliser frauduleusement votre nom de domaine et de se faire passer par vous. Ce protocole est particulièrement efficace contre des attaques de phishing.


SPF est là pour dire aux serveurs mails de destination si l’expéditeur fait partie des machines autorisées. On peut au choix mettre une ou plusieurs adresses IP, ou inclure des informations disponibles dans d’autres zones DNS.
SPF est là pour dire aux serveurs mails de destination si l’expéditeur fait partie des machines autorisées. On peut au choix mettre une ou plusieurs adresses IP, ou inclure des informations disponibles dans d’autres zones DNS.


'''La configuration DNS'''
==La configuration DNS==


  #dig TXT livois.com  
  #dig TXT livois.com  
Ligne 34 : Ligne 34 :


==DKIM==  
==DKIM==  
Le protocole DKIM - DomainKeys Identified Mail - est un protocole cryptographique se basant sur l'utilisation de clés publiques qui sont publiés dans vos DNS. Le protocole permet de signer votre email avec votre nom de domaine, comme vous pourriez signer une lettre avec votre signature. Le destinataire de votre email est sûr que l'email qu'il a reçu a bien été écrit par vous et n'a pas été altéré durant sa transmission. Ce protocole est particulièrement efficace contre des attaques type "man in the middle".
==Le principe==
Le protocole DKIM - DomainKeys Identified Mail - est un protocole cryptographique se basant sur l'utilisation de clés publiques qui sont publiés dans vos DNS. Le protocole permet de signer votre email avec votre nom de domaine, comme vous pourriez signer une lettre avec votre signature. Le destinataire de votre email est sûr que l'email qu'il a reçu a bien été écrit par vous et n'a pas été altéré durant sa transmission. Ce protocole est particulièrement efficace contre des attaques type "man in the middle".
 
Tous les courriels émanant de Yahoo, GMail, AOL et FastMail contiennent en principe une signature DKIM.  


Le principe est d'ajouter dans tous les emails sortant, une signature DKIM contenant une liste de "clé=valeur". Les clés sont courtes, généralement une ou deux lettres.
Le principe est d'ajouter dans tous les emails sortant, une signature DKIM contenant une liste de "clé=valeur". Les clés sont courtes, généralement une ou deux lettres.

Version du 11 novembre 2018 à 11:55

Ces trois protocoles - SPF, DKIM, DMARC - répondent à des problématiques de sécurité différentes et doivent tous les 3 être implémentés pour s'assurer de la meilleure délivrabilité possible sur IP dédiée

SPF

Le principe

Le protocole SPF - Sender Policy Framework, qui se base sur les DNS de votre nom de domaine, permet de certifier que l'IP émettrice a bien le droit d'envoyer l'email. Ce protocole permet ainsi d'interdire à des tiers d'utiliser frauduleusement votre nom de domaine et de se faire passer par vous. Ce protocole est particulièrement efficace contre des attaques de phishing.

SPF est là pour dire aux serveurs mails de destination si l’expéditeur fait partie des machines autorisées. On peut au choix mettre une ou plusieurs adresses IP, ou inclure des informations disponibles dans d’autres zones DNS.

La configuration DNS

#dig TXT livois.com 
;; ANSWER SECTION:                                                                                                                                                                                                                                                             
livois.com.             10079   IN      TXT     "v=spf1 include:spf.mailjet.com include:_mailcust.gandi.net ?all" 

La configuration suivante autorise les serveurs smtp mailjet et gandi d'envoyer les mails des expéditeurs livois.com.

Chaque mécanisme peut être combiné avec un seul des quatre qualifieurs :

+ (plus) pour un résultat favorable. Il peut être omis, ex : +mx est équivalent à mx.
? (point d'interrogation) pour un résultat neutre. Interprété comme NONE (aucune règle).
~ (tilde) pour un léger échec. Intermédiaire entre le neutre et l'échec, il est utilisé pour le débogage. Typiquement, ces messages sont acceptés mais estampillés comme tels.
- (moins) pour un échec total. Le mail doit être rejeté.

Le ?all indique que les mails qui proviennent d'autres serveurs doivent être considérés comme neutre.


DKIM

Le principe

Le protocole DKIM - DomainKeys Identified Mail - est un protocole cryptographique se basant sur l'utilisation de clés publiques qui sont publiés dans vos DNS. Le protocole permet de signer votre email avec votre nom de domaine, comme vous pourriez signer une lettre avec votre signature. Le destinataire de votre email est sûr que l'email qu'il a reçu a bien été écrit par vous et n'a pas été altéré durant sa transmission. Ce protocole est particulièrement efficace contre des attaques type "man in the middle".

Tous les courriels émanant de Yahoo, GMail, AOL et FastMail contiennent en principe une signature DKIM.

Le principe est d'ajouter dans tous les emails sortant, une signature DKIM contenant une liste de "clé=valeur". Les clés sont courtes, généralement une ou deux lettres.

DMARC

Les deux protocoles DKIM et SPF sont complémentaires et répondent à des types d'attaque différentes. Néanmoins ils ont l'inconvénient de ne pas donner de conduite à tenir en cas d'attaque. Le protocole DMARC - Domain-based Mail Authentication, Reporting and Conformance - pallie ce manque et donne des indications en cas d'attaque : il est en particulier possible d'être averti si quelqu'un usurpe votre identité (si l'attaquant utilise une IP non autorisée ou si l'attaquant a modifié le contenu de votre email par exemple).