Comment SPF, DKIM, DMARC pilotent la livraison des e-mails et la sécurité

Trois normes d'authentification des e-mails fonctionnent ensemble pour améliorer la délivrabilité des e-mails pour l'expéditeur et la sécurité des e-mails pour le destinataire.

Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) et Domain-based Message Authentication, Reporting, and Conformance (DMARC) aident à garantir que les e-mails envoyés par votre entreprise sont réels et que les acteurs malveillants ne les usurpent pas ou ne les altèrent pas. leur.

FPS, DKIM, DMARC

SPF, DKIM et DMARC indiquent au serveur de messagerie destinataire qu'un message donné a été envoyé à partir d'une adresse IP autorisée, que l'expéditeur est authentique et que l'expéditeur est transparent quant à son identité.

Prenons chacun à son tour.

La configuration des enregistrements SPF pour votre domaine implique l'ajout d'un type d'enregistrement TXT contenant une liste autorisée de serveurs de messagerie sortants au système de noms de domaine (DNS). SPF vérifie que les e-mails du domaine de votre entreprise proviennent d'une source authentifiée, et non d'un imposteur.

Les clés DKIM se composent de deux parties : une clé publique stockée dans le DNS et une clé privée stockée sur le serveur de messagerie expéditeur. La signature DKIM attachée à chaque e-mail sortant est utilisée par les serveurs de messagerie des destinataires pour vérifier son authenticité. DKIM peut également indiquer si un message électronique donné a été modifié.

DMARC est un mécanisme de politique qui permet à une entreprise de contrôler la manière dont les e-mails entrants de son domaine doivent être traités s'ils échouent à l'authentification SPF ou DKIM. Les options sont "rejeter", "mettre en quarantaine" ou "aucune". Cela peut être comme une sonnette d'alarme si un malfaiteur essaie d'utiliser votre domaine.

Enregistrements SPF

La configuration d'un enregistrement SPF nécessite l'accès aux enregistrements DNS de votre domaine chez le bureau d'enregistrement, tel que GoDaddy ou similaire. Si vous avez déjà dû vérifier votre domaine ou le déplacer vers un nouveau serveur, vous avez probablement mis à jour son enregistrement DNS.

Un enregistrement SPF est simplement un enregistrement TXT dans le DNS de votre domaine.

L'enregistrement SPF sera du type "TXT". Et cela commencera avec la version de SPF que vous utilisez.

 v=spf1

La version est suivie d'une liste d'adresses IP4 ou IP6 autorisées, comme dans :

 v=spf1 ip4:192.168.0.1

Cet enregistrement SPF autoriserait les e-mails provenant de l'adresse IP 192.168.0.1. Pour autoriser une plage d'adresses IP, vous pouvez utiliser la notation CIDR (Classless Inter-Domain Routing) (parfois appelée notation "slash").

 v=spf1 ip4:192.168.0.0 /16

L'enregistrement SPF ci-dessus autoriserait une plage d'adresses IP de 192.168.0.0 à 192.168.255.255 - c'est ce que le "/16" indique.

En utilisant le préfixe "a", un enregistrement SPF peut autoriser un domaine par son nom. L'enregistrement ci-dessous autorise un serveur associé au domaine example.com.

 v=spf1 a:exemple.com

De même, le préfixe « mx » (« mail exchange ») autorise des serveurs de messagerie spécifiques.

 v=spf1 mx:mail.exemple.com

Pour autoriser un expéditeur tiers, utilisez le préfixe "include". L'exemple ci-dessous autorise à la fois une plage d'adresses IP et des serveurs Google.

 v=spf1 ip4:192.168.0.0/16 include:_spf.google.com

Il existe également deux qualificatifs SPF. Le premier est ~all avec un tilde (~). Le second est -tout avec un trait d'union (-).

La version tilde (~all) est un qualificatif d'échec logiciel. Dans la plupart des cas, le serveur de messagerie destinataire accepte les messages d'expéditeurs qui ne figurent pas dans l'enregistrement SPF associé, mais les considère comme suspects.

La version avec trait d'union (-all) est un qualificatif d'échec définitif. Le serveur de messagerie destinataire étiquettera probablement les messages envoyés depuis un serveur non autorisé dans l'enregistrement SPF comme spam et les rejettera.

Enfin, tous ces éléments peuvent être utilisés ensemble pour des autorisations relativement complexes.

 v=spf1 ip4:192.168.0.0/16 a:example.com include:_spf.google.com

N'oubliez pas que les enregistrements SPF aident les serveurs de messagerie destinataires à identifier les e-mails authentiques provenant du domaine de votre entreprise.

Clés DKIM

DKIM protège votre domaine et aide à empêcher quiconque d'usurper l'identité de votre entreprise. Les deux clés DKiM permettent au serveur de messagerie du destinataire de vérifier que votre entreprise a envoyé le message et qu'il n'a pas été modifié après que vous l'ayez envoyé.

La première étape de la configuration de DKIM consiste à générer les clés - une publique et une privée. La clé privée est sécurisée sur le serveur utilisé pour envoyer des e-mails depuis votre domaine. La clé publique est ajoutée au DNS en tant qu'enregistrement TXT.

La partie délicate consiste à générer les clés car la procédure exacte pour les créer varie d'un fournisseur de services de messagerie à l'autre. Et c'est complètement différent si votre entreprise héberge son propre serveur de messagerie.

Les fournisseurs de services de messagerie offrent des instructions. Voici plusieurs exemples sans ordre particulier.

• Mailchimp : configurer l'authentification du domaine de messagerie,
• Klaviyo : Comment configurer un domaine d'envoi dédié,
• Zoho Campaigns : comment authentifier mon domaine,
• MailerLite : Authentification du domaine de messagerie,
• Chargé de campagne : DKIM, SPF et DMARC,
• ConvertKit : Utiliser un domaine vérifié pour l'envoi d'e-mails,
• MailUp : Maximiser la délivrabilité de vos e-mails,
• ActiveCampaign : authentification SPF, DKIM et DMARC,
• Gardez: DKIM.

Dans chaque cas, le DKIM est terminé lorsque vous ajoutez (copiez et collez) l'enregistrement CNAME du fournisseur de messagerie au DNS de votre domaine. Ce ou ces enregistrements représentent la clé publique permettant d'authentifier les messages marketing par e-mail sortants de votre entreprise.

DMARC

DMARC fournit une autre couche de protection et indique également aux serveurs de messagerie quoi faire avec les messages qui échouent à l'authentification SPF ou DKIM.

La base de DMARC est un enregistrement TXT placé dans le DNS de votre domaine. Celui-ci contiendra la politique DMARC avec au moins deux éléments :

• Une adresse e-mail pour recevoir des rapports agrégés sur l'authentification par e-mail, et
• L'action à entreprendre sur les e-mails qui échouent à l'authentification (c'est-à-dire rejeter ou mettre en quarantaine).

Voici un exemple d'enregistrement DMARC TXT dans un DNS :

 v = DMARC1 ; p=quarantaine ; rua=mailto:[email protected] ; ruf=mailto:[email protected].

L'enregistrement commence par la version DMARC.

 v = DMARC1 ;

L'élément "p" attribue l'action aux e-mails qui échouent à l'authentification. Dans ce cas, il est défini sur "quarantaine", ce qui demande au serveur de réception de déplacer ces messages vers une zone d'attente. Les autres options incluent "aucun" - qui n'arrête pas l'e-mail mais surveille les échecs SPF ou DKIM - ou "rejeter".

 p=quarantaine ;

Les préfixes « rua » et « ruf » indiquent au serveur de réception où envoyer les rapports agrégés (rua — Reporting URI for Aggregate data) et les rapports médico-légaux (ruf — Reporting URI for Failure data). Ces signalements peuvent révéler qu'un criminel tente de se faire passer pour votre entreprise.

Les modificateurs supplémentaires incluent :

• pct — le pourcentage d'e-mails soumis à la politique DMARC.
• sp — la politique DMARC pour les sous-domaines.
• adkim — attribue le mode strict (adkim:s) ou détendu (adkim:r) pour DKIM.
• aspf — attribue un mode strict (adkim:s) ou détendu (adkim:r) pour SPF.

Des services tiers peuvent aider à générer un enregistrement DMARC basé sur la norme officielle. Ces prestations comprennent :

• MXToolBox,
• PowerDMARC,
• Dmarcien,
• EasyDMARC.

Protéger l'expéditeur et les destinataires

La configuration des enregistrements SPF, DKIM et DMARC pour votre domaine garantit que les serveurs de messagerie reconnaissent les messages de votre entreprise comme authentiques et rejettent les imposteurs. Le résultat protège la réputation de votre entreprise et protège les clients des attaques de phishing et d'autres types de fraude par e-mail.