Quelle mesure de sécurité du courrier électronique devriez-vous utiliser ? DKIM ou SPF ? Dans cet article, nous verrons ce que ces termes signifient, quand vous devez les utiliser et comment ils peuvent contribuer à protéger vos domaines de messagerie.

Le courrier électronique n'a jamais été aussi important, ni aussi rentable pour les réseaux criminels de messagerie. Aujourd'hui, des fraudeurs de tous bords usurpent des domaines de messagerie d'entreprise dans le cadre d'attaques de phishing et d'escroqueries par compromission de la messagerie d'entreprise (BEC) qui génèrent chaque année près de 9 milliards de dollars de pertes pour les entreprises. Une usurpation d'identité dans le cadre de ces attaques peut nuire considérablement à la réputation de votre entreprise sur le marché.

Qu'est-ce que SPF (Sender Policy Framework) ? Et qu'est-ce que DKIM (DomainKeys Identified Email) ? Il s'agit de deux normes de sécurité importantes pour les courriels, conçues pour empêcher les pirates d'usurper vos domaines et de les utiliser dans des attaques par courriel visant vos clients, vos partenaires et le grand public.

Comment fonctionne l'usurpation de nom de domaine

Un fraudeur n'a qu'à mettre en place ou compromettre un serveur SMTP pour falsifier un courriel. À partir de là, il peut modifier les adresses électroniques des personnes suivantes "De". "Répondre à," et "Return-Path" (Chemin de retour) pour faire passer leurs courriels de phishing pour des communications officielles de la personne ou de l'entreprise dont ils usurpent l'identité.

Le protocole de transfert de messages simples (SMTP), que les systèmes de messagerie utilisent pour envoyer, recevoir ou relayer les courriers électroniques sortants, ne dispose pas d'un mécanisme de validation des adresses électroniques, ce qui rend cette usurpation d'identité concevable. Les premières méthodes d'authentification du courrier électronique, telles que S/MIME, n'ont pas réussi à contrer efficacement ce problème. Mais à partir du milieu des années 2000, deux nouvelles normes de sécurité du courrier électronique, SPF et DKIM, ont commencé à réussir là où les stratégies précédentes avaient échoué.

Comment fonctionne le FPS ?

SPF permet aux expéditeurs de courrier électronique de désigner les adresses IP autorisées à envoyer des courriers électroniques à partir d'un domaine spécifique, ce qui est sa fonction la plus élémentaire. En publiant cette politique sous la forme d'un enregistrement TXT dans le DNS pour le domaine spécifié, par exemple, un propriétaire de domaine peut spécifier que seule l'adresse IP 5.6.7.8.9 est autorisée à envoyer des courriers électroniques à partir de @VotreentrepriseURLHere.com.

En utilisant notre outil de vérification SP F pour rechercher les enregistrements SPF, vous pouvez déterminer quels serveurs sont autorisés à envoyer des courriels pour vos domaines.

Les serveurs de messagerie électronique qui reçoivent les messages effectuent une recherche dans l'enregistrement DNS de votre domaine d'envoi pour vérifier si l'adresse IP indiquée dans l'enregistrement SPF correspond à l'adresse IP utilisée pour envoyer le message. Si ce n'est pas le cas, le courriel ne passera pas l'authentification, ce qui permet de supprimer les courriels malveillants qui tentent de tirer profit de la connexion au réseau.

Fonctionnement de DKIM

La ou les clés publiques nécessaires à l'authentification de ces signatures numériques sont mises à disposition par DKIM. Les fournisseurs de services de messagerie électronique qui reçoivent le message peuvent alors vérifier que celui-ci n'a pas été modifié pendant qu'il était en transit. L'enregistrement TXT de la clé publique est demandé au DNS du domaine émetteur lorsqu'un serveur SMTP reçoit un courrier électronique comportant une telle signature dans l'en-tête. Le fournisseur de services de messagerie du destinataire peut signaler le message comme étant du spam ou interdire complètement l'adresse IP de l'expéditeur si la vérification est infructueuse ou si la signature est manquante.

Laquelle est la meilleure ?

En fin de compte, il s'agit d'une "Mieux ensemble plutôt que de choisir l'un ou l'autre. En effet, SPF et DKIM traitent tous deux d'un aspect différent, mais tout aussi important, de la sécurité du courrier électronique. SPF permet de vérifier si un courriel prétendant provenir de votre entreprise a effectivement été envoyé par l'une de vos adresses IP reconnues. En outre, DKIM vérifie que le courrier électronique n'a pas été falsifié ou modifié avant d'être envoyé au destinataire prévu. Toutefois, il est également essentiel de se rappeler que DKIM et SPF n'offrent pas une solution complète pour l'authentification des courriels, qu'ils soient utilisés seuls ou conjointement.

Pour cela, nous devons ajouter un acronyme à la conversation :

Pourquoi DMARC fait-il toute la différence ?

Le DMARC(Domain-based Message Authentication, Reporting & Conformance), un système commun d'authentification des messages électroniques qui complète SPF et DKIM par une couche de règles, a été proposé pour la première fois en 2012. Grâce à DMARC, les entreprises peuvent publier des lignes directrices qui précisent quand les fournisseurs de courrier électronique doivent s'appuyer sur DKIM et SPF pour un domaine spécifique et ce qu'il faut faire si les messages ne passent pas l'une ou l'autre de ces vérifications.

La politique la plus stricte de DMARC enforcement est rejetée (p=rejeter), qui demande au serveur de messagerie de rejeter les messages électroniques qui ne satisfont pas à l'authentification DMARC et de les empêcher d'atteindre le destinataire prévu. Un enregistrement DMARC peut être créé et attribué à un DNS assez facilement. Toutefois, l'établissement de DMARC dans un grand nombre de domaines peut rapidement devenir très difficile pour les grandes entreprises.

Créez un compte Skysnag ici pour générer votre enregistrement DMARC.

Conclusion

Skysnag automatise DMARC, SPF et DKIM pour vous afin d'augmenter la délivrabilité des emails. Ceci étant dit, évitez les attaques par usurpation d'adresse grâce au logiciel automatisé de Skysnag qui vous permet de confirmer la validité des courriels. Inscrivez-vous en utilisant ce lien pour un essai gratuit dès aujourd'hui et maintenez un nom de domaine sain pour votre entreprise.