Protocoles SPF DKIM DMARC

De wikilivois
Aller à la navigationAller à la recherche

Ces trois protocoles - SPF, DKIM, DMARC - répondent à des problématiques de sécurité différentes et doivent tous les 3 être implémentés pour s'assurer de la meilleure délivrabilité possible sur IP dédiée

SPF

Le principe

Le protocole SPF - Sender Policy Framework, qui se base sur les DNS de votre nom de domaine, permet de certifier que l'IP émettrice a bien le droit d'envoyer l'email. Ce protocole permet ainsi d'interdire à des tiers d'utiliser frauduleusement votre nom de domaine et de se faire passer par vous. Ce protocole est particulièrement efficace contre des attaques de phishing.

SPF est là pour dire aux serveurs mails de destination si l’expéditeur fait partie des machines autorisées. On peut au choix mettre une ou plusieurs adresses IP, ou inclure des informations disponibles dans d’autres zones DNS.

La configuration DNS

#dig TXT livois.com 
;; ANSWER SECTION:                                                                                                                                                                                                                                                             
livois.com.             10079   IN      TXT     "v=spf1 include:spf.mailjet.com include:_mailcust.gandi.net ?all" 

La configuration suivante autorise les serveurs smtp mailjet et gandi d'envoyer les mails des expéditeurs livois.com.

Chaque mécanisme peut être combiné avec un seul des quatre qualifieurs :

+ (plus) pour un résultat favorable. Il peut être omis, ex : +mx est équivalent à mx.
? (point d'interrogation) pour un résultat neutre. Interprété comme NONE (aucune règle).
~ (tilde) pour un léger échec. Intermédiaire entre le neutre et l'échec, il est utilisé pour le débogage. Typiquement, ces messages sont acceptés mais estampillés comme tels.
- (moins) pour un échec total. Le mail doit être rejeté.

Le ?all indique que les mails qui proviennent d'autres serveurs doivent être considérés comme neutre.


DKIM

Le principe

Le protocole DKIM - DomainKeys Identified Mail - est un protocole cryptographique se basant sur l'utilisation de clés publiques qui sont publiés dans vos DNS. Le protocole permet de signer votre email avec votre nom de domaine, comme vous pourriez signer une lettre avec votre signature. Le destinataire de votre email est sûr que l'email qu'il a reçu a bien été écrit par vous et n'a pas été altéré durant sa transmission. Ce protocole est particulièrement efficace contre des attaques type "man in the middle".

Tous les courriels émanant de Yahoo, GMail, AOL et FastMail contiennent en principe une signature DKIM.

Le principe est d'ajouter dans tous les emails sortant, une signature DKIM contenant une liste de "clé=valeur". Les clés sont courtes, généralement une ou deux lettres. Un serveur SMTP réceptionnant un email signé utilise ensuite l'identifiant de domaine responsable de la signature (SDID) et le sélecteur associé annoncés dans les en-têtes afin de récupérer la clé publique publiée dans le serveur DNS du SDID. Cette clé est utilisée pour vérifier la validité des signatures.

DMARC

Les deux protocoles DKIM et SPF sont complémentaires et répondent à des types d'attaque différentes. Néanmoins ils ont l'inconvénient de ne pas donner de conduite à tenir en cas d'attaque. Le protocole DMARC - Domain-based Mail Authentication, Reporting and Conformance - pallie ce manque et donne des indications en cas d'attaque : il est en particulier possible d'être averti si quelqu'un usurpe votre identité (si l'attaquant utilise une IP non autorisée ou si l'attaquant a modifié le contenu de votre email par exemple).