« Protocoles SPF DKIM DMARC » : différence entre les versions

De wikilivois
Aller à la navigationAller à la recherche
Ligne 6 : Ligne 6 :
=Explication des protocoles=
=Explication des protocoles=
==SPF==
==SPF==
Le protocole SPF - Sender Policy Framework, qui se base sur les DNS de votre nom de domaine, permet de certifier que l'IP émettrice a bien le droit d'envoyer l'email. Ce protocole permet ainsi d'interdire à des tiers d'utiliser frauduleusement votre nom de domaine et de se faire passer par vous. Ce protocole est particulièrement efficace contre des attaques de phishing.
Le protocole [https://fr.wikipedia.org/wiki/Sender_Policy_Framework SPF] - Sender Policy Framework, qui se base sur les DNS de votre nom de domaine, permet de certifier que l'IP émettrice a bien le droit d'envoyer l'email. Ce protocole permet ainsi d'interdire à des tiers d'utiliser frauduleusement votre nom de domaine et de se faire passer par vous. Ce protocole est particulièrement efficace contre des attaques de phishing.


SPF est là pour dire aux serveurs mails de destination si l’expéditeur fait partie des machines autorisées. On peut au choix mettre une ou plusieurs adresses IP, ou inclure des informations disponibles dans d’autres zones DNS.
SPF est là pour dire aux serveurs mails de destination si l’expéditeur fait partie des machines autorisées. On peut au choix mettre une ou plusieurs adresses IP, ou inclure des informations disponibles dans d’autres zones DNS.
Ligne 18 : Ligne 18 :


La configuration suivante autorise les serveurs smtp mailjet et gandi d'envoyer les mails des expéditeurs livois.com.
La configuration suivante autorise les serveurs smtp mailjet et gandi d'envoyer les mails des expéditeurs livois.com.
Chaque mécanisme peut être combiné avec un seul des quatre qualifieurs :
{|class=wikitable
| '''<tt>+</tt>''' (plus) || pour un résultat favorable. Il peut être omis, ex : <tt>+mx</tt> est équivalent à <tt>mx</tt>.
|-
| '''<tt>?</tt>''' (point d'interrogation) || pour un résultat neutre. Interprété comme <tt>NONE</tt> (aucune règle).
|-
| '''<tt>~</tt>''' (tilde) || pour un léger échec. Intermédiaire entre le neutre et l'échec, il est utilisé pour le débogage. Typiquement, ces messages sont acceptés mais estampillés comme tels.
|-
| '''<tt>-</tt>''' (moins) || pour un échec total. Le mail doit être rejeté.
|}
Le ?all indique que les mails qui proviennent d'autres serveurs doivent être considérés comme neutre.





Version du 11 novembre 2018 à 08:46

Ces trois protocoles - SPF, DKIM, DMARC - répondent à des problématiques de sécurité différentes et doivent tous les 3 être implémentés pour s'assurer de la meilleure délivrabilité possible sur IP dédiée

Explication des protocoles

SPF

Le protocole SPF - Sender Policy Framework, qui se base sur les DNS de votre nom de domaine, permet de certifier que l'IP émettrice a bien le droit d'envoyer l'email. Ce protocole permet ainsi d'interdire à des tiers d'utiliser frauduleusement votre nom de domaine et de se faire passer par vous. Ce protocole est particulièrement efficace contre des attaques de phishing.

SPF est là pour dire aux serveurs mails de destination si l’expéditeur fait partie des machines autorisées. On peut au choix mettre une ou plusieurs adresses IP, ou inclure des informations disponibles dans d’autres zones DNS.

La configuration DNS

#dig TXT livois.com 
;; ANSWER SECTION:                                                                                                                                                                                                                                                             
livois.com.             10079   IN      TXT     "v=spf1 include:spf.mailjet.com include:_mailcust.gandi.net ?all"    

La configuration suivante autorise les serveurs smtp mailjet et gandi d'envoyer les mails des expéditeurs livois.com.

Chaque mécanisme peut être combiné avec un seul des quatre qualifieurs :

+ (plus) pour un résultat favorable. Il peut être omis, ex : +mx est équivalent à mx.
? (point d'interrogation) pour un résultat neutre. Interprété comme NONE (aucune règle).
~ (tilde) pour un léger échec. Intermédiaire entre le neutre et l'échec, il est utilisé pour le débogage. Typiquement, ces messages sont acceptés mais estampillés comme tels.
- (moins) pour un échec total. Le mail doit être rejeté.

Le ?all indique que les mails qui proviennent d'autres serveurs doivent être considérés comme neutre.


DKIM

Le protocole DKIM est un protocole cryptographique se basant sur l'utilisation de clés publiques qui sont publiés dans vos DNS. Le protocole permet de signer votre email avec votre nom de domaine, comme vous pourriez signer une lettre avec votre signature. Le destinataire de votre email est sûr que l'email qu'il a reçu a bien été écrit par vous et n'a pas été altéré durant sa transmission. Ce protocole est particulièrement efficace contre des attaques type "man in the middle".

DMARC

Les deux protocoles DKIM et SPF sont complémentaires et répondent à des types d'attaque différentes. Néanmoins ils ont l'inconvénient de ne pas donner de conduite à tenir en cas d'attaque. Le protocole DMARC - Domain-based Mail Authentication, Reporting and Conformance - pallie ce manque et donne des indications en cas d'attaque : il est en particulier possible d'être averti si quelqu'un usurpe votre identité (si l'attaquant utilise une IP non autorisée ou si l'attaquant a modifié le contenu de votre email par exemple).