Sécurisez votre messagerie avec SPF, DKIM et DMARC
Sécurité
5 min de lecture
Fev 23, 2024

Sécurisez votre messagerie avec SPF, DKIM et DMARC

Mais que représentent ces acronymes en informatique 🤔: SPF, DKIM et DMARC?
Vous en avez sûrement entendu parler ces derniers temps depuis l’annonce de Google et Yahoo.

Derrière ces termes techniques se cachent des méthodes d’authenfication pour votre messagerie.

En version courte, cela permet d’améliorer grandement la sécurité 🔒 et la délivrabilité de vos mails!

DMARC c'est top

La suite c’est par ici 👇

📑 Sommaire:


C’est quoi SPF, DKIM et DMARC?

On va d’abord traduire ces acronymes:

  • SPF: Sender Policy Framework
  • DKIM: DomainKeys Identified Mail
  • DMARC: Domain-basedMessage Authentication Reporting and Conformance

Vous allez me dire, ça ne vous avance pas 😅, je développe:

  • SPF = Liste des adresses IP qui ont le droit d’envoyer un mail avec votre domaine de messagerie
  • DKIM = Chaque mail envoyé depuis votre domaine de messagerie est signé avec une clé
  • DMARC = Liste des actions à faire lorsqu’un mail ne respecte pas SPF et/ou DKIM

(NB : Un domaine de messagerie est ce qui suit après l’@
Dans l’adresse hello@cactusinfo.ch, le domaine de messagerie est cactusinfo.ch)

Et si je simplifie en schéma, ça donne:

SPF DKIM DMARC schéma explication

Maintenant qu’on voit à peu près à quoi ça sert, en quoi est-ce utile 🤔 ?

Pour 2 principales raisons:

  • Lutter contre l’usurpation d’identité: Un spammeur ne pourra pas utiliser votre domaine de messagerie
  • Légitimer votre domaine de messagerie: Vos mails ne seront pas considérés comme des spams

Malheureusement, je vois encore beaucoup de domaines qui n’utilisent pas ces méthodes d’authentification.

Du coup, vos mails peuvent ne pas arriver à vos destinataires et c’est encore plus fréquemment le cas lorsque vous envoyez des newsletters 🥹

Alors, comment on remédie à ça?

Réponse simple: On met ses gants et on passe à la suite de l’article 👇

Comment configurer SPF pour votre domaine de messagerie?

On attaque la partie technique, on parle d’enregistrements DNS, de SPF, de MX Toolbox
Si ce n’est pas votre tasse de thé, passez directement à la conclusion 👈

Le SPF est souvent la première méthode d'authentification qui est mise en place sur votre domaine de messagerie.
Elle consiste à indiquer quelles sont les adresses IP autorisées à envoyer des messages avec votre domaine de messagerie.

SPF Schéma explication

Donc première chose, il faut connaitre ces adresses IP!
Dans le cas d’hébergeur (Microsoft 365, Google, Infomaniak, OVH...), la plupart du temps un SPF est déjà configuré.
Il indique le nom des serveurs via un enregistrement DNS.

Si vous envoyez des mails seulement depuis votre boite aux lettres, pas de soucis.

Par contre, si vous envoyez des mails depuis d’autres sources (Site web, MailChimp, logiciel de comptabilité, ERP, Saas…), vous aurez sûrement besoin de mettre à jour cet enregistrement DNS.

Pour vérifier rien de plus simple: allez faire un tour sur MX Toolbox et entrez votre nom de domaine.

MX Toolbox SPF

Dans cet exemple pour le domaine cactuslab.ch, on voit que seulement « spf.infomaniak.ch » est autorisé pour l’envoi de mail.
Il s’agit des serveurs de messagerie d’Infomaniak.

Par contre, si d’autres sources envoient des mails depuis mon domaine (exemple : MailChimp), j’aurais besoin de mettre à jour l’enregistrement DNS.

Heureusement, la plupart des hébergeurs proposent une page pour vous aider à la configuration de cet enregistrement SPF 👇

Comme dans toutes modifications techniques, je vous recommande de faire appel à votre informaticien préféré!

Qu’est-ce que DKIM?

La méthode d'authentification DKIM peut être déjà mise en place pour vos mails, mais tout dépend de votre hébergeur.

Elle consiste en la signature de l’en-tête du message à l’aide de clés :

  • Une clé privée 🔑 qui est utilisée par votre serveur de messagerie
  • Une clé publique 🔑 qui est disponible via un enregistrement DNS

Lorsque le message quitte votre serveur de messagerie, une en-tête de message DKIM est générée avec la clé privée.

Et lorsque le message arrive sur le serveur de destination, l’en-tête du message est vérifiée ✅ à l’aide de la clé publique.

Si l’en-tête ne correspond pas, le message arrivera soit dans le dossier spam, soit il sera rejeté.

Ce mécanisme permet de s’assurer que le message est légitime et ne provient pas d’un serveur non autorisé:

DKIM Schéma epxlication

Vu que tout dépend de votre hébergeur de messagerie, cette configuration doit être vérifiée.

Encore une fois, cette configuration doit être faite pour toutes les sources d’envoi de mail avec votre nom de domaine. (Site web, logiciel Saas, service de newsletter…)

Vous trouverez ci-dessous les procédures pour Microsoft 365, Google, Infomaniak et Mailchimp 👇

Qu’est-ce que DMARC et comment le configurer?

Maintenant que vous avez mis en place SPF et DKIM, il vous reste la dernière pierre de l’édifice: DMARC 🥳

Et il faut bien respecter l’ordre!
Une fois que SPF et DKIM sont mis en place, vous pouvez planifier DMARC. (Mais pas avant)

Le DMARC permet de publier une politique au niveau de votre domaine de messagerie.
En résumé, que faire avec un mail de votre domaine s’il ne respecte pas SPF et DKIM.

Et ce qui est bien, c’est qu’en plus de rejeter un mail, DMARC permet d’envoyer un rapport sur l’adresse de votre choix!

C’est une méthode primordiale pour lutter contre l’usurpation de votre domaine et améliorer la sécurité de votre messagerie🔒

Afin de mettre en place DKIM, la première chose à faire est de vérifier que toutes vos sources d'envois de mail sont bien configurées avec SPF et DKIM.
Ces sources peuvent êtres multiples: Un site web, un logiciel de comptabilité, un outil pour les newsletters… donc inventoriez ces sources! 📑

Malheureusement, la plupart des hébergeurs ne le configurent pas pour vous, car il y a le risque que vos mails n’arrivent plus.

Maintenant, on passe à du concret: une police DMARC est créée via un enregistrement TXT dans votre DNS

Voici la forme de l’enregistrement DNS (nom _dmarc.domaine.ch):

v=DMARC1; p=none; rua=mailto:xxx@domaine.ch; ruf=mailto:xxx@domaine.ch; sp=none; fo=1;


Un peu plus d’explications sur les parties à modifier:

  • p=none signifie qu’aucune action ne sera effectuée.
    La valeur peut être également quarantine (en spam) ou reject (mail bloqué et non remis)
  • rua indique l’adresse mail à laquelle sera envoyée un rapport agrégé.
    (Données combinées envoyées chaque jour au format XML)
  • ruf indique l’adresse mail à laquelle sera envoyée un rapport détaillé.
    (Concerne un seul message qui a été rejeté, contient des informations détaillées au format XML)
  • sp=none signifie qu’aucune action ne sera effectuée.
    La valeur peut être également quarantine (en spam) ou reject (mail bloqué et non remis)
    Ceci applique la police à tous les sous-domaines de messagerie. (exemple : xxx@abc.domaine.ch)
  • fo=1 indique quand envoyer un rapport détaillé.
    Les valeurs peuvent être: 0 (Quand SPF et DKIM ne sont pas valides), 1 (Quand SPF ou DKIM ne sont pas valides), d (Seulement si DKIM n’est pas valide), s (Seulement si SPF n’est pas valide) et utilisées en combinaison.

Et pour vérifier votre enregistrement, un petit tour sur MX Toolbox

👉 L’important quand vous planifiez de déployer DMARC est dans un premier temps de surveiller ce qu’il se passe 👀 sans configurer de police restrictive (p=none et sp=none)

Après 45 à 90 jours, si vous n’avez pas détecté de message légitime échouant à SPF et/ou DKIM, on pourra passer à une police plus restrictive (p=reject et sp = reject)

Si vous détectez des messages légitimes, il faudra vérifier la configuration SPF et DKIM des sources d'envois.

👉 Pour la surveillance de DMARC, vous avez plusieurs choix:

  • Analyser les rapports reçus "à la main" (C'est déchiffrable mais vraiment pas top)
  • Utiliser un service payant sur internet comme Valimail ou Dmarcian.
    Pensez à regarder la politique de confidentialité ainsi que la localisation de ces services.
    Car vous leur enverrez des données concernant les destinataires de vos mails.
  • Utiliser un serveur local qui fera le job. (Mon choix préféré! Comme par exemple l'outil open-souce parsedmarc)

Et enfin, voici des procédures pour vous aider :

Conclusion

Ces 3 méthodes d’authentifications sont primordiales pour améliorer la sécurité 🔒 et la délivrabilité de vos mails.
Si vous utilisez déjà SPF et DKIM, je vous recommande vivement de mettre en place DMARC.

Les modifications sont techniques 🔧, donc contactez votre informaticien 💻 préféré!

Vous êtes une petite entreprise?

Profitez de 30 minutes de consultation gratuite par Teams!

Je réserve un rendez-vous
Continuez la lecture