Julie Paci

// Responsable Marketing France

Les attaques basées sur l’envoi d’emails sont de plus en plus nombreuses et de plus en plus ciblées. Le phishing ou hameçonnage, désigne une technique utilisée par des escrocs pour obtenir des informations personnelles. Les phishers envoient un email en se faisant passer pour un organisme de confiance (organisme bancaire, Paypal, eBay, Amazon…), dans le but de récupérer des données confidentielles. Selon les données récoltées (informations bancaires, identifiants de connexion…), les escrocs peuvent par exemple réaliser des virements bancaires sur leurs comptes ou se connecter à un site pour envoyer du spam.

Afin d’éviter que des personnes malveillantes usurpent votre identité en utilisant le même nom de domaine, il existe des solutions. C’est là que les protocoles d’authentification SPF, DKIM et DMARC entrent en jeu. 🕺 De la définition de ces termes jusqu’aux étapes à suivre pour définir Mailjet comme expéditeur légitime, on vous explique tout dans cet article !

Définition de SPF, DKIM et DMARC

La Sender Policy Framework, ou SPF, est une norme d’authentification permettant de faire le lien entre un nom de domaine et une adresse email. Elle consiste à définir le ou les expéditeur(s) autorisé(s) à envoyer des emails avec un domaine donné. Elle permet ainsi aux clients de messagerie (Gmail, Outlook…) de vérifier que l’email entrant d’un domaine vient d’un hôte autorisé par l’administrateur de ce domaine.

Le DomainKeys Identified Mail, ou DKIM, est un protocole d’authentification permettant de faire le lien entre un nom de domaine et un message. Le protocole permet de signer votre email avec votre nom de domaine. L’objectif du protocole DKIM n’est pas uniquement de prouver que le nom de domaine n’a pas été usurpé, mais aussi que le message n’a pas été altéré durant sa transmission.

Le Domain-based Message Authentication, Reporting and Conformance, ou DMARC, est une norme d’authentification complémentaire à SPF et DKIM destinée à lutter plus efficacement contre le phishing et autres pratiques de spamming. Elle permet aux détenteurs de domaines d’indiquer aux FAI (Fournisseurs d’Accès à Internet) et clients de messagerie quelle conduite tenir lorsqu’un message signé de leur domaine n’est pas formellement identifié par une norme SPF ou DKIM.

Pourquoi utiliser les protocoles SPF, DKIM et DMARC ?

Il s’agit des principaux protocoles permettant de vérifier l’identité des expéditeurs. C’est un des moyens les plus efficaces pour empêcher les phishers et autres fraudeurs de se faire passer pour un expéditeur légitime dont ils usurperaient l’identité en utilisant le même nom de domaine.

Il existe un autre avantage, et non des moindres. En effet, la mise en place de ces protocoles permet d’améliorer la délivrabilité des emails envoyés, puisque vous serez mieux identifié(e) par les FAI (Fournisseurs d’Accès à Internet) et clients de messagerie de vos destinataires. Vous optimisez alors vos chances que vos emails arrivent bien dans la boîte de réception de vos destinataires et non dans le dossier “spams” ou “courriers indésirables”.

Ces protocoles sont devenus des normes de l’envoi d’email. Un message expédié sans signature SPF et/ou DKIM est vu avec suspicion par les différents outils d’analyse de l’email.

Limites des protocoles SPF et DKIM

SPF a ses limites. Par exemple, si l’email est transféré, la vérification peut ne pas avoir lieu, puisque l’adresse émettant le message transféré ne sera pas forcément comprise dans la liste des adresses validées par SPF. Il faut donc être le plus exhaustif possible lors de l’ajout de nouvelles adresses à votre enregistrement SPF.

En tant qu’expéditeur, la signature DKIM ne vous empêchera pas d’être considéré comme spammeur si vous n’appliquez pas les bonnes pratiques emailing. Il faudra donc veiller à respecter ces bonnes pratiques lors de la conception du contenu de vos emails : faire attention au ratio texte/image, éviter d’utiliser les mots repérés par les filtres anti-spam comme étant à risque, etc.

Autre point, SPF et DKIM ne spécifient pas l’action à appliquer en cas d’échec de la vérification. C’est là qu’intervient le protocole DMARC en indiquant au serveur du destinataire comment il doit agir si les processus d’authentification de l’expéditeur échouent.

Authentifiez vos domaines avec SPF, DKIM et DMARC

Pour configurer les paramètres d’authentification SPF, DKIM et DMARC de votre domaine, il vous faut accéder aux enregistrements DNS de votre compte d’hébergement (OVH, 1&1, HostGator, etc.). Si vous ne les trouvez pas ou n’y avez pas accès, votre fournisseur d’hébergement peut vous aider.

Configuration d’un enregistrement DNS pour l’authentification SPF

Deux choses sont à retenir à propos des enregistrements SPF :

  • Un enregistrement SPF est un enregistrement de type TXT – à ne pas confondre avec le type SPF (utilisable, mais déconseillé).
  • Il ne doit y avoir qu’un seul enregistrement SPF par domaine. Si vous avez plusieurs enregistrements DNS SPF, les opérateurs de messagerie ne sauront pas lequel utiliser, ce qui pourrait causer des problèmes d’authentification.

 
Consultez vos enregistrements DNS depuis votre compte d’hébergement : vous ne voyez aucun enregistrement SPF ? Alors créez-en un. Sinon, vous modifierez l’enregistrement SPF existant.

Configuration d’un enregistrement DNS pour l’authentification DKIM

Pour bénéficier de l’authentification DKIM, vous allez devoir créer un nouvel enregistrement DKIM. Contrairement à l’authentification SPF, votre domaine peut comprendre plusieurs enregistrements DNS DKIM sans que cela ne pose problème. Depuis votre compte d’hébergement, créez un nouvel enregistrement DNS de type TXT.

Selon votre hébergeur, vous devrez peut-être insérer des guillemets autour de la valeur TXT. Si vous ne savez pas s’il faut ajouter des guillemets, vous pouvez contacter votre fournisseur d’hébergement.

Configuration d’un enregistrement DNS pour l’authentification DMARC

Avant de vous lancer dans l’implémentation de DMARC, soyez bien sûr(e) que SPF et DKIM soient correctement implémentés. Comme indiqué précédemment, DMARC définit la politique à appliquer en cas d’échec de SPF et DKIM, et ce via un enregistrement DNS dédié. Cela requiert une correspondance entre les noms de domaine SPF et DKIM et l’en-tête « From ». DMARC permet ensuite de choisir parmi 3 politiques à appliquer en cas de non-correspondance :

  • None : aucune action, appliquer la politique locale.
  • Quarantine : marquage comme spam.
  • Reject : rejet du message.

 

Avec Mailjet

Pour définir Mailjet comme expéditeur légitime, vous devez configurer les paramètres d’authentification SPF et DKIM pour chacun de vos domaines d’envoi.

Le paramétrage de SPF est très simple, dès lors que vous êtes bien le propriétaire du nom de domaine que vous souhaitez ajouter (ce qui exclut les adresses de clients de messagerie tels que gmail.com ou hotmail.fr). Dans votre compte Mailjet, nous mettons à votre disposition des clés spécifiques que vous devrez intégrer à vos enregistrements DNS, chez votre hébergeur. Voici un exemple d’enregistrement SPF configuré :

spf-dkim-guide-1-1

 
Le paramétrage de DKIM avec Mailjet est tout aussi simple. Mailjet vous met à disposition la clé publique à enregistrer via l’interface de l’hébergeur de votre site. Là, vous pourrez intégrer la clé publique à votre zone d’enregistrement. Voici un exemple d’enregistrement DKIM configuré :

spf-dkim-guide-1-2

 
Vous trouverez toutes les informations nécessaires et la démarche à suivre étape par étape dans notre documentation. Pour plus de facilité, nous vous proposons même des guides d’aide pour chacun des grands acteurs de l’hébergement (OVH, Gandi, Cloudfare, Hostgator…).

Vous pouvez bien évidemment paramétrer DMARC sur les serveurs SMTP de Mailjet. Afin de bénéficier de ce niveau supplémentaire de sécurité et de protection de votre nom de domaine, nous vous invitons à contacter notre équipe support. Elle sera la plus à même de vous accompagner dans la configuration et la mise en place du protocole.

Partagez vos retours d’expérience et vos idées avec nous sur Twitter, et suivez-nous pour être les premiers à recevoir nos actualités !