Phishing ? Spam ? Vérifiez la "délivrabilité" de vos e-mails.

le

 

Expéditeur d'en-tête... Expéditeur d'enveloppe... SMTP From... SPF... DKIM... DMarc...

La distribution des mails ? Pas un long fleuve tranquille, mais une machine complexe qui repose sur plusieurs standards... 

C'est ainsi que sans une configuration sécurisée, une personne malveillante peut ainsi facilement usurper votre identité pour envoyer des e-mails en votre nom. Il suffit d'un simple serveur de messagerie pour se faire passer pour vous, en utilisant une adresse comme vous@votre-entreprise.com. Cette technique est appelée le spoofing.

Pour savoir si votre domaine est protégé, le moyen le plus simple est de le vérifier sur un outil en ligne comme MX Toolbox. Si les résultats ne commencent pas par v=DMARC1; p=reject ou v=DMARC1; p=quarantine, votre domaine n'est pas protégé contre l'usurpation d'identité.



Cette protection nécessite l'activation de l'authentification de vos e-mails.

Ce dispositif est non seulement utile à la lutte contre les faux mails malintentionnés, mais ils sont également un prérequis croissant pour que vos mails ne tombent pas eux-même dans la boite à spam de vos destinataires

Dans cet article, nous allons explorer pourquoi cette configuration est vitale et comment vérifier sa conformité pour votre domaine.

Comprendre les trois principales complémentaires de délivrabilité

Pour que vos destinataires (internes ou externes) puissent avoir la garantie qu'un mail reçu proviens bien de vous, il faut s'assurer que trois dispositifs complémentaires soient en place sur votre nom de domaine : le SPF, le DKIM, et le DMARC. 


SPF et DKIM : les fondations de l'authentification des e-mails

Les messageries modernes s'appuient sur des technologies spécifiques pour vérifier l'authenticité d'un e-mail. Malheureusement, ces technologies sont souvent absentes ou mal configurées chez l'expéditeur. Une mauvaise configuration peut avoir des conséquences désastreuses : vos messages risquent de finir en spam ou d'être purement et simplement rejetés. De plus, vous facilitez la tâche aux pirates informatiques souhaitant vous usurper.

Les deux principales technologies d'authentification sont le SPF et le DKIM.

  • Le SPF (Sender Policy Framework) est un enregistrement dans votre DNS (le système de noms de domaine). Il s'agit d'une liste publique qui déclare les adresses IP autorisées à envoyer des e-mails au nom de votre domaine. Les messages envoyés depuis des adresses non listées sont alors plus susceptibles d'être rejetés.

  • Le DKIM (DomainKeys Identified Mail) est un système plus avancé qui offre une garantie similaire. Il assure également que le contenu du message n'a pas été modifié pendant son transfert. Le DKIM repose sur une signature numérique dont la clé publique est aussi publiée dans votre DNS.

Si vous utilisez plusieurs services pour envoyer des e-mails (comme votre client de messagerie d'entreprise, une plateforme de marketing, etc.), il est impératif de configurer le SPF et/ou le DKIM pour chacun d'eux.

Vous trouverez à la fin de cet article les instructions pour configurer le SPF et le DKIM sur votre domaine. 

La politique DMARC : la protection ultime et l'analyse de délivrabilité

Le DMARC (Domain-based Message Authentication, Reporting, and Conformance) est une technologie complémentaire qui s'appuie sur le SPF et le DKIM. Elle permet de donner des instructions aux serveurs de messagerie qui reçoivent des e-mails en votre nom. En clair, vous pouvez demander publiquement à tous les systèmes de messagerie de rejeter les e-mails non conformes, réduisant ainsi considérablement le risque de spoofing.

L'absence de DMARC sera mal perçue par le système de messagerie de vos destinataires.

Quand à la politique "=none", qui indique de tout laisser passer même en cas de non confirmité cette option est évidemment dangereuse.  

Le DMARC est également une mine d'informations grâce à ses rapports de délivrabilité. Ces rapports peuvent vous aider à :

  • Identifier les systèmes légitimes, mais mal configurés, qui envoient des e-mails en votre nom. Vous pourrez ainsi corriger leur configuration SPF/DKIM.

  • Être alerté rapidement en cas de campagnes malveillantes menées avec votre nom de domaine, et avertir vos clients ou partenaires.

Des outils comme GlockApps peuvent rendre ces rapports plus lisibles.
Ce type de monitoring nécessite néanmoins une configuration plus avancée, que nous n'allons pas détailler ici. 


Comment vérifier facilement la bonne configuration de vos e-mails

Même sans être un expert, il est facile de vérifier la configuration de vos systèmes de messagerie.

  1. Envoyez un e-mail de test depuis le service que vous souhaitez vérifier (Gmail d'entreprise, Outlook, Mailchimp, etc.) vers un compte Gmail personnel ou professionnel.

  2. Dans votre boîte de réception Gmail, ouvrez le message, puis cliquez sur les trois points verticaux en haut à droite.

  3. Sélectionnez l'option "Afficher l'original".

  4. Copiez le code qui s'affiche et collez-le dans un outil d'analyse en ligne


Si tous les résultats sont en vert, votre configuration est parfaite. Si certaines sont en rouge, en particulier celle concernant le DMARC, il existe un potentiel risque pour la sécurité contre le Phishing ou la mise en spam accidentelle de vos mails sortants. Pensez à répéter cette opération pour chaque outil d'envoi d'e-mail que vous utilisez.


Ce test peut également être réalisé sur des e-mails légitimes qui sont tombés dans votre dossier de spams. Si l'expéditeur n'a pas correctement configuré son système d'authentification, vous pouvez lui signaler pour l'aider à résoudre ce problème.


Configurer SPF, DKIM, et DMARC pour Google Workspace ou d'autres systèmes. 

Vous êtes prêt.e à vous lancer par vous même ? 

Voici comment procéder. 

SPF (Sender Policy Framework)

Le SPF est un enregistrement DNS de type TXT qui liste les serveurs autorisés à envoyer des e-mails pour votre domaine. Il est très important d'avoir un seul enregistrement SPF pour tout votre domaine, sous peine de conflit. L'enregistrement va contenir les adresses de tous vos systèmes d'envois. 

  1. Récupérez les valeurs SPF :

    • Google Workspace : Le SPF de Google est v=spf1 include:_spf.google.com ~all.
      Si c'est votre seul système d'expédition, il suffira d'avoir cet enregistrement. 

    • Système tiers (par exemple, Mailchimp) : Le SPF de Mailchimp est v=spf1 include:servers.mcsv.net ?all. Consultez la documentation de votre service tiers pour trouver leur enregistrement SPF.

  2. Fusionnez les enregistrements SPF : Vous ne pouvez avoir qu'un seul enregistrement SPF par domaine. Pour combiner Google Workspace et un service tiers, ajoutez l'include de chaque service dans un seul enregistrement.

    • Exemple : v=spf1 include:_spf.google.com include:servers.mcsv.net ~all

    • Le ~all à la fin indique que les e-mails provenant de serveurs non listés devraient être marqués comme softfail. Pour une politique plus stricte, utilisez -all (hardfail), qui rejette les e-mails non autorisés.

  3. Ajoutez l'enregistrement au DNS : Connectez-vous à votre fournisseur de domaine et créez un nouvel enregistrement TXT. Le nom de l'hôte sera généralement @ ou le nom de votre domaine, et la valeur sera l'enregistrement combiné.


DKIM (DomainKeys Identified Mail)

Le DKIM est une signature numérique qui vérifie que les e-mails n'ont pas été modifiés en transit.
Il doit être configuré indépendamment pour chacun de vos systèmes émetteurs de mails pour votre nom de domaine (Google Workspace, Mailchimp, Sendinblue etc). 

Activer le DKIM pour Google Workspace

  1. Générez une clé DKIM :

    • Dans la console d'administration Google, allez dans Applications -> Google Workspace -> Gmail -> Authentification des e-mails.

    • Sélectionnez votre domaine et cliquez sur Générer un nouvel enregistrement. Google va générer un nom d'hôte (google._domainkey) et une valeur de clé (une longue chaîne de caractères).

  2. Ajoutez la clé au DNS :

    • Créez un nouvel enregistrement DNS de type TXT chez votre fournisseur de domaine.

    • Le nom de l'hôte sera celui fourni par Google (par exemple, google._domainkey.votredomaine.com).

    • La valeur sera la clé DKIM générée par Google.

  3. Démarrez l'authentification :

    • Retournez à la console d'administration Google.

    • Cliquez sur Démarrer l'authentification. La propagation DNS peut prendre jusqu'à 48 heures avant que Google ne puisse vérifier l'enregistrement et que le DKIM soit actif.


DMARC (Domain-based Message Authentication, Reporting, and Conformance)

Le DMARC indique aux serveurs de réception comment traiter les e-mails qui échouent à la vérification SPF ou DKIM et permet d'obtenir des rapports sur ces échecs.

Créer une règle DMARC simple en Reject (instruction de rejet des mails non conformes)

  1. Préparez l'enregistrement DMARC :

    • Pour une politique Reject (rejet immédiat des e-mails non authentifiés), utilisez cet enregistrement : v=DMARC1; p=reject

    • v=DMARC1 : Version du protocole.

    • p=reject : Politique pour les e-mails qui échouent. D'autres politiques sont none (surveillance uniquement) et quarantine (marquer comme spam).

  2. Ajoutez l'enregistrement au DNS :

    • Créez un nouvel enregistrement DNS de type TXT.

    • Le nom d'hôte doit être _dmarc (inscrire en sous domaine de votre nom de domaine)

    • La valeur sera l'enregistrement DMARC que vous avez créé.

    • Il est recommandé de commencer avec une politique p=none pour quelques semaines afin de surveiller les rapports et de vous assurer que tous vos services d'envoi sont correctement configurés, avant de passer à quarantine puis à reject

Conclusion

La configuration du SPF, du DKIM et du DMARC est un sujet technique, mais essentiel pour la sécurité et la délivrabilité de vos e-mails. N'hésitez pas à me contacter pour un audit complet et une configuration sur mesure de vos systèmes.



Thématiques :