L’époque où vous pouviez envoyer un courrier électronique à une liste de diffusion via le bouton magique "envoyer" et supposer que votre message ait été instantanément reçu dans la boîte de réception de tous les destinataires est définitivement révolue.

Il est désormais acquis que le courrier électronique est un puissant outil de communication qui, s’il est correctement utilisé, peut devenir une source majeure de revenus pour une société. Mais cela signifie aussi que tout le monde peut faire de l'email marketing, ... y compris des personnes mal intentionnées.

L'augmentation du trafic mondial d’emails, la mondialisation, la cybercriminalité ont rendu nécessaire la mise en place de réglementations et d'outils pour élever le niveau de sécurité informatique. Le monde de la messagerie électronique peut être un environnement risqué et vos communications business méritent d'être protégées.

Vous ne le savez peut-être pas encore, mais SPF, DKIM et DMARC sont vos nouveaux meilleurs amis. Les spécialistes d’email marketing doivent se familiariser davantage avec ces trois acronymes. En effet, ils peuvent empêcher des hackers d'utiliser votre marque comme spam ou d’usurper vos domaines, et grâce à eux peuvent être informés des tentatives de phishing via des notifications d'alerte.

Comment fonctionnent SPF, DKIM et DMARC ?

Au lieu de vous noyer dans le jargon (mais rassurez-vous, nous le ferons plus tard ;-), passons à une analogie pour expliquer les concepts de SPF, DKIM et DMARC. L'enregistrement SPF est un "document" qui contient le nom du seul "facteur virtuel" autorisé, appelons-le Patrick, qui est chargé de livrer votre courrier électronique au destinataire. Si cela est fait de cette manière, le destinataire acceptera le message sans sourciller.

Parfois, Patrick est malade, cloué à la maison et doit déléguer la livraison du message à son collègue, Jean. La plupart des destinataires se méfieront de Jean, car ils ne le connaissent pas. Dans ce cas, un courrier électronique transféré perdra les fonctionnalités SPF de l'expéditeur initial. Toutefois, avec l’aide du DKIM, Jean pourra également transmettre le message, car il sera correctement signé par l’expéditeur original.

Grâce à son odorat, le chien DMARC sait si le facteur et son courrier sont frauduleux. Il commencera à aboyer afin d’alerter le destinataire du danger imminent d’escroquerie. Cependant, ce chien DMARC intelligent peut également être formé pour laisser passer le facteur en toute sécurité ou, à contrario, le chasser et empêcher la livraison des emails.

SPF, DKIM et DMARC est désormais devenu un trio à succès et .... une norme mondiale, ce qui signifie que votre message peut être correctement envoyé dans une boîte de réception très convoitée. Presque tous les fournisseurs acceptent ce type de mesure de sécurité.

Dans la suite de ce billet de blog, Nous allons nous plonger dans les détails techniques, y compris l'utilitaire, l'application et le fonctionnement de ces outils indispensables d’authentification de messagerie.

1. SPF = Sender Policy Framework

SPF est un protocole qui autorise une adresse IP à livrer à un destinataire, mise en place pour contrer les tentatives de phishing. Ces informations sont ajoutées à la zone DNS du domaine de la centrale d'envoi.

Lorsque le serveur du destinataire reçoit le courrier électronique, il compare l'adresse IP de l'expéditeur et celle du DNS et, si les deux sont identiques, il accepte le message et le transmet à la boîte de réception. Sinon, il renvoie un message en indiquant "Erreur 550 - Message rejeté en raison de l'échec de la vérification du SPF" ou envoie le message dans le dossier Courrier indésirable.

Étant donné que l'enregistrement SPF est une donnée publique, il est possible de vérifier son processus de propagation via une requête DNS sur le Web ou via certains outils disponibles en ligne, tels que: http://www.kitterman.com/spf/validate.html.

2. DKIM = Domain Keys Identified Mail

DKIM est généralement une clé cryptée sur 1024 ou 2048 bits qui doit être couplée au domaine de l'expéditeur, utilisée pour lutter contre l'usurpation de courrier électronique. À la réception de l'email par le serveur du destinataire, il vérifie si la clé, publiée dans l'en-tête de l'email, appartient à celle associée au domaine de l'expéditeur. Dans le cas contraire, ils supposent que le courrier électronique a été intercepté par des tiers et modifié.

Comme pour le SPF, l’implémentation DKIM nécessite une publication dans la zone DNS avec la clé publique et la signature visibles dans l’en-tête du message.

Pour réitérer, les résultats possibles d’une vérification d’un enregistrement peuvent être:

Pass: la signature reçue correspond à la clé publique

Echec: la signature reçue n'est pas liée à la clé publique du domaine d'envoi, ce qui signifie que le message a été modifié d'une manière ou d'une autre.

Softfail, Neutral, None, Permerror and Temperror sont d’autres erreurs possibles. De toute évidence, seul le statut Pass doit être considéré comme un enregistrement correctement saisi. Pour vérifier l'ajout et la propagation corrects de la clé DKIM, utilisez cet outil: https://dkimcore.org/tools/keycheck.html.

3. DMARC = authentification, rapport et conformité des messages basés sur le domaine

En publiant un enregistrement DNS, vous recevez une alerte chaque fois qu'un domaine mal configuré (et donc qui ne passe pas la validation SPF et DKIM) est utilisé comme expéditeur. De cette façon, vous savez quand, qui et comment votre identité est utilisée sur le Web.

La notice DMARC publiée sur votre domaine aura la même syntaxe:

v = DMARC1; p = none; rua = mailto: alias@mondomaine.com; ruf = mailto: dk @ bounce.apple.com, mailto: alias@mondomaine.com

Pour vérifier si l'enregistrement DMARC a été correctement appliqué à votre domaine, utilisez cet outil: https://dmarcian.com/dmarc-inspector/.

Actuellement, DMARC est la solution la plus efficace pour lutter contre l'usurpation de domaine, même si la guerre pour garder les méchants hackers loin de vos courriels n'est pas complètement gagnée. La question qui reste difficile à résoudre est de savoir comment être sûr qu'un domaine avec une signature DMARC valide appartient réellement à la marque à laquelle il prétend. La solution réside dans BIMI (indicateur de marque pour l’identification du message).

Nous allons prochainement publier un billet de blog dédié à ce sujet !

En termes de sécurité informatique, utiliser SPF, DKIM et DMARC constitue la meilleure réponse à l’usurpation d’e-mail. Mapp Digital utilise SPF et DKIM par défaut. Si vous souhaitez être pris en charge par le protocole DMARC, contactez-nous, nous serons heureux de vous accompagner dans cette démarche.

PS :  A noter qu’aucun postier réel ou virtuel ou chien de garde n’a été blessé lors de la rédaction de ce blog ! ;-)