Fonctionnement de l'authentification par e-mail

L'authentification des e-mails est un sujet redoutable. Il y a souvent une soupe alphabétique d'acronymes et de sigles. Mais les concepts de base ne sont pas compliqués et presque tout le monde pourra les comprendre rapidement.

L'authentification des e-mails est devenue de plus en plus nécessaire car les spammeurs et les hameçonneurs continuent d'utiliser les e-mails pour diffuser des messages indésirables ou nuisibles. La plupart des serveurs de messagerie utilisent désormais un certain nombre de protocoles pour vérifier les messages électroniques avant qu'ils n'atteignent le destinataire prévu. Les e-mails qui ne sont pas correctement authentifiés sont susceptibles d'avoir des problèmes de délivrabilité des e-mails et de se retrouver soit non livrés, soit dans le dossier spam.

Parlons donc des 3 protocoles d'authentification de messagerie les plus importants en langage clair, en utilisant des analogies du monde réel.

SPF - Cadre de politique de l'expéditeur

Le premier et le plus ancien est appelé Sender Policy Framework (SPF). SPF permet à un expéditeur de vérifier son authenticité. Pensons-y de cette façon : si vous recevez une lettre dans votre boîte aux lettres imprimée sur du papier à en-tête officiel, vous pouvez être raisonnablement sûr qu'elle est authentique. Donc, une autre façon de penser à un e-mail qui passe SPF est une lettre certifiée du bureau de poste. Un numéro de suivi est fourni et vous pouvez vérifier qui est l'expéditeur en appelant le bureau de poste.

SPF est également similaire à la confirmation d'une adresse de retour. Si vous receviez une lettre dans laquelle le nom de l'entreprise ne correspondait à aucune des entreprises répertoriées à l'adresse de retour de la lettre, vous seriez à juste titre sceptique quant à cette lettre. Ce type de vérification est généralement inutile pour le courrier physique, mais il est également nécessaire pour les messages électroniques car il est facile d'envoyer un message prétendant provenir de quelqu'un d'autre.

Pendant SPF, un serveur de messagerie de réception peut demander au domaine dont l'e-mail prétend provenir une liste d'adresses IP autorisées à envoyer des e-mails au nom de ce domaine. Si le domaine ne répertorie pas le serveur d'origine comme expéditeur valide, l'e-mail n'est probablement pas authentique et la vérification SPF échouera.

DKIM - Courrier identifié par DomainKeys

DomainKeys Identified Mail (DKIM) est un moyen plus récent et plus robuste d'authentifier les messages. DKIM est comme un sceau de cire sur une lettre. Avant une infrastructure postale fiable, les lettres étaient authentifiées avec une cire à cacheter en relief avec une chevalière appartenant à l'expéditeur. La cire durcie collait au parchemin et rendait presque impossible de falsifier la lettre sans laisser de traces.

Le symbole pressé dans la cire servait en quelque sorte de signature, car une seule personne aurait eu accès à la chevalière. En inspectant l'enveloppe, le destinataire pouvait vérifier à la fois l'authenticité de l'expéditeur et que le contenu n'avait pas été altéré.

Imaginons un autre moyen de garantir l'authenticité de l'expéditeur et l'intégrité du contenu du message pendant le transit. Pensez à une boîte avec un tiroir verrouillable et un couvercle verrouillable. Le tiroir ne peut être verrouillé qu'avec la clé de l'expéditeur. Nous appellerons cette clé la clé privée de l'expéditeur.

Le couvercle peut être verrouillé et déverrouillé par une clé disponible gratuitement. N'importe qui peut demander une copie de la clé. En effet, l'expéditeur a fourni à tous les bureaux de poste situés le long de l'itinéraire de distribution une copie de cette clé. Nous appellerons cela la clé publique.

Sous le couvercle se trouve une vitre. En déverrouillant le couvercle, n'importe qui peut inspecter l'emballage à travers le verre, mais ne peut pas le manipuler sans briser le verre et laisser des preuves. Lors de l'inspection, une partie intéressée peut confirmer l'en-tête officiel, voir que le verre est intact et vérifier que le tiroir est verrouillé avec la clé que seul l'expéditeur possède. Chaque bureau de poste en cours de route ouvre le couvercle pour s'assurer que le colis est toujours intact.

DKIM fonctionne de manière similaire à cette boîte. L'expéditeur dispose d'une clé privée cryptographique qui est utilisée pour coder les en-têtes de message. La clé publique est mise à disposition sur un registre Internet public décentralisé appelé DNS ou Domain Name System. N'importe lequel des serveurs impliqués dans la transmission du message à la destination finale peut récupérer la clé publique et décrypter les en-têtes pour vérifier que le message est valide. Et tout comme la boîte verrouillée, la clé publique ne peut pas être utilisée pour chiffrer les en-têtes (et verrouiller le contenu du tiroir) ; seule la clé privée peut le faire.

Nous pouvons également considérer cela comme une autre classe de courrier postal disponible au bureau de poste. Si les e-mails authentifiés par SPF sont des e-mails certifiés, les messages authentifiés par DKIM sont des e-mails recommandés, conservés sous clé à tout moment tout au long de l'itinéraire de livraison pour éviter toute falsification.

DMARC - Rapports et conformité d'authentification de message de domaine

Imaginez que quelqu'un vous envoie l'un de ces coffrets doubles sophistiqués. Le coursier apportant le colis effectue une dernière vérification avant de le livrer. Elle consulte la politique de conformité de livraison de l'expéditeur du colis. Leur politique stipule que le paquet doit provenir d'une adresse de confiance (SPF).

Le colis doit également avoir été dans une boîte verrouillée provenant d'une source fiable détenant une clé privée et doit être vérifiable en transit (DKIM). La politique stipule en outre que si les conditions SPF et DKIM ne sont pas remplies, le coursier doit mettre le colis en quarantaine et informer l'expéditeur de la violation.

Cette stratégie est analogue à une stratégie DMARC (Domain Message Authentication Reporting and Conformance). DMARC est le dernier outil d'authentification, construit à la fois sur SPF et DKIM. C'est un moyen pour les expéditeurs d'informer les destinataires des méthodes d'authentification à vérifier et de ce qu'il faut faire si un message prétendant provenir d'eux ne passe pas les vérifications requises. Les instructions peuvent inclure le marquage du message comme mis en quarantaine et donc susceptible d'être suspect ou le rejet complet du message.

Vous vous demandez peut-être pourquoi les expéditeurs voudraient autoriser la livraison des messages qui ne passent pas DMARC. DMARC fournit également une boucle de rétroaction afin que les expéditeurs puissent vérifier si les e-mails qui semblent provenir de leurs domaines sont conformes ou non à la politique.

La revue

Pour résumer, il existe trois protocoles d'authentification largement utilisés :

1. Sender Policy Framework (SPF) effectue une vérification similaire à la vérification d'une adresse de retour pour authentifier l'identité d'un expéditeur.
2. DomainKeys Identified Mail (DKIM) authentifie également l'identité d'un expéditeur, mais va plus loin en s'assurant que le contenu du message n'est pas modifié en utilisant une boîte verrouillée ou un sceau de cire.
3. Domain Message Authentication Reporting & Conformance (DMARC) est le service de messagerie qui s'assure que les messages répondent aux exigences SPF et DKIM avant leur livraison.

Que signifie l'authentification par e-mail pour les expéditeurs

Avec DMARC, les propriétaires de domaine ont enfin un contrôle total sur l'adresse "de" qui apparaît dans le client de messagerie d'un destinataire. Les grands fournisseurs de messagerie comme Yahoo! et AOL ont déjà mis en place des politiques strictes. Les e-mails qui semblent provenir de ces domaines mais qui échouent aux vérifications d'authentification seront supprimés. Vous pouvez consulter les mises à jour sur Gmail ici et sur Microsoft ici.

Cela signifie que vous ne devez jamais envoyer depuis des domaines qui ne sont pas configurés pour autoriser votre serveur via DKIM et SPF. Si vous envoyez des e-mails au nom de clients, vous devez vous assurer que vos clients disposent des entrées DNS correctes pour activer cela.

Pour les destinataires, la popularité croissante de ces technologies signifie une réduction des e-mails de phishing et de spam qui sont livrés. Et c'est toujours une bonne chose.

Et si vous avez besoin d'aide pour l'authentification de votre e-mail ou si vous rencontrez des difficultés avec la délivrabilité de votre e-mail, SendGrid propose des plans de messagerie et des services d'experts pour vous aider.

Ressources supplémentaires

• https://sendgrid.com/blog/a-dkim-faq/
• https://sendgrid.com/blog/sender-policy-framework-spf-a-layer-of-protection-in-email-infrastructure/
• https://sendgrid.com/blog/what-is-dmarc/