SPF, DKIM et DMARC sont des éléments essentiels pour assurer la protection du système de messagerie de votre entreprise. .

Cela permet entre autres de se protéger de l’imitation (ou “spoofing” de domaine), et donc de protéger vos clients et fournisseurs d’attaques de phishing, de spear-phishig, ou de business email compromise (BEC) qui se feraient passer pour votre entreprise. 

Si les 3 sont mis en place, cela permet d’authentifier et d’assurer la légitimité d’un email et de l’expéditeur. 

Mais dans le détail, qu’est ce que le SPF, le DKIM et le DMARC et, surtout, comment les paramétrer ? 

Pour le savoir et vous aider à protéger votre entreprise, les équipes sécurité IT de Mantra ont préparé cet article.

Qu’est ce que le SPF, le DKIM et le DMARC ? 

Difficile de s’y retrouver dans ces acronymes ? Pas de problème : voici une petite synthèse. 

  • SPF: Pour Sender Policy Framework. Il permet de valider que l’expéditeur d’un email est bien autorisé à utiliser ce nom de domaine (en validant que l’IP de l’envoyeur est bien dans une liste d’adresse IP autorisées). Cela permet par exemple d’éviter des usurpations de nom de domaine en laissant une entreprise spécifier qui peut envoyer des emails depuis son nom de domaine : cela valide que si je reçois un email de exemple.io ce mail provient bien de cette société-là.
  • DKIM: pour DomainKeys Identified Mail. C’est une signature cyptographique d’un email qui permet de vérifier qu’il n’a pas été modifié entre le moment où il est envoyé et le moment il est reçu : cela valide que mon email d’exemple.io n’a pas subi de modification depuis son envoi ou que c’est bien exemple.io qui a signé l’email car la clé est associée au nom de domaine
  • DMARC: Pour Domain-based Message Authentication Reporting and Conformance. C’est un protocole qui vient vérifier que le nom de domaine apparaissant dans le from de l’email est le même que celui spécifié dans les politiques SPF et DKIM). Il vient aussi apporter des précisions quant au traitement des emails pour lesquels les vérifications SPF et DKIM n’ont pas fonctionné : cela indique comment je traite (spam, dossier spécifique…) les emails qui n’ont pas validé le SPF et le DKIM.

En synthèse, le trio SPF, DKIM, DMARC permet de protéger votre nom de domaine et son utilisation dans des emails : cela empêche des acteurs mal intentionnés d’utiliser votre domaine (et la réputation de votre entreprise) pour communiquer avec d’autres parties.

Pourquoi faut-il paramétrer le SPF, le DKIM et le DMARC ? 

Pourquoi sont-ils importants ?

2 entreprises sur 3 du Fortune 500 n’avaient pas de DMARC paramétré à fin 2021. Quel risque cela pose-t-il et pourquoi faut il paramétrer son SPF, DKIM et DMARC ? 

  • Évitez le spam: Des emails de votre entreprise auront de plus fortes chances d’atterrir dans les dossiers de spam si le SPF, DKIM et DMARC ne sont pas paramétrés.
  • Usurpation d'identité : Le SPF permet de déclarer quels serveurs sont autorisés à envoyer des emails avec le nom de domaine de votre entreprise. Et le DKIM que le message n’a pas été altéré (notamment que l’expéditeur possède le domaine DKIM et que les en-têtes du mail n’ont pas changé). Pris ensemble avec le DMARC, cela permet d’empêcher que des hackers utilisent votre nom de domaine pour envoyer des emails qui sembleraient provenir de votre entreprise
  • Compromission d'e-mails professionnels : Il s'agit d'un type d'attaque plus spécifique dans lequel un hacker va le plus souvent chercher à obtenir le paiement d’une fausse facture en se faisant passer pour un fournisseur. Dans ce cas, le SPF, le DKIM et le DMARC rendent plus difficiles l’usurpation d’identité. 

Protéger son nom de domaine via le SPF, DKIM et DMARC c’est donc contribuer à protéger ses clients, fournisseurs et toutes les autres entreprises de cyberattaques qui chercheraient à capitaliser sur la crédibilité et la réputation de l’entreprise. 

Pourquoi est-il important de ne pas oublier DMARC ?

Le SPF est propre à l’expéditeur de l’enveloppe du mail et le DKIM a un domaine déclaré dans la signature, qui ne sont pas nécessairement le même que l’expéditeur affiché dans l’email. 

Le DMARC vient vérifier que l’expéditeur affiché (celui visible par le lecteur) a le même domaine que celui des politiques SPF ou DKIM. 

Ainsi, je pourrais créer un domaine malveillant.com qui aurait un SPF et DKIM et envoyer un email en spécifiant un expéditeur d’email (et non d’enveloppe) exemple.io

Sans DMARC, ce courrier serait valide car il passerait les tests SPF et DKIM (sur l’enveloppe, il y a bien malveillant.com donc si ce domaine a le SPF et le DKIM, le mail est valide).

Seul le DMARC permet de signaler que l’expéditeur affiché exemple.io diffère du domaine des politiques SPF et DKIM et qu’il y a donc une erreur.

Exemple d’usurpation d’adresse

Sans le SPF, DKIM et DMARC, il est donc facile de s’envoyer un email semblant provenir d’une entreprise connue.

Par exemple :

  • Nous avons pu trouver une entreprise qui n’avait pas de DMARC (Dassault-Aviation, à titre d’exemple)
  • Trouver le nom du CEO, le format d’adresse mail standard
  • Imiter une adresse du COMEX et s’envoyer un email, bien reçu dans notre boîte mail:

Comment configurer SPF, DMARC et DKIM ?

Vous souhaitez vérifier si le SPF, DKIM et DMARC sont paramétrés sur votre domaine ? L’outil gratuit en ligne MxToolbox permet de rechercher, pour un nom de domaine, si le SPF, le DKIM et le DMARC ont été paramétrés : (https://mxtoolbox.com/).

Et si ce n'est pas le cas ? Voici un guide.

Configuration du SPF

  1. Accéder à votre hébergeur de domaine (GoDaddy, Squarespace, OVHcloud…)
  2. Accéder à la page pour gérer les dossiers DNS
  3. Créer un dossier TXT avec les éléments suivants : 

Nom : mettre @ ou laisser vierge

TTL : mettre 3600 ou laisser la valeur par défaut

Valeur/réponse/destination : mettre v=spf1 include: _spf.google.com ~all (Attention, ceci ne fonctionne que si Google est votre fournisseur de messagerie. Sinon, vérifier la valeur a saisir avec votre fournisseur de messagerie)

Sauvegarder, cela peut prendre plusieurs jours à prendre effet

Configuration de DKIM

  1. Accéder à votre fournisseur de messagerie (Gmail par exemple : Apps > Gsuite > Gmail puis authentifier un email)
  2. Générer une clé DKIM 
  3. Accéder à votre hébergeur de domaine
  4. Créer un dossier TXT avec la clé DKIM que vous venez de générer dans les dossiers DNS de votre hébergeur de domaine. Mettre dans nom le nom de domaine proposé et dans valeur le dossier TXT généré
  5. Sauvegarder et lancer “commencer l’authentification” (pour Gmail)

Configuration de DMARC

Le DMARC est une règle qui indique ce qu’il faut faire si le SPF et le DKIM n’ont pas été validés. Il y a trois options : aucune, quarantaine ou rejeter

  1. Accéder à votre hébergeur de domaine
  2. Ajouter ce dossier TXT à votre DNS 

Nom: _dmarc

Valeur (ceci est un exemple que vous pouvez réutiliser en remplaçant exemple@ex.com par une adresse qui existe et vous appartient) : v=DMARC1; p=quarantine; rua=mailto:exemple@ex.com; ruf=mailto:exemple@ex.com; fo=s où

  • v : valeur obligatoire, ne pas changer
  • p : politique en cas d’échec (quarantine, none ou reject)
  • rua : l’adresse email pour recevoir les rapports statistiques
  • ruf : l’adresse email pour recevoir les rapports (chaque échec génère un rapport)
  • fo : détermine dans quel cas un rapport est envoyé (0 si envoi de rapport en cas d’échec de SPF et DKIM ; 1 en cas d’échec de SPF ou DKIM ; d pour un rapport par test DKIM réalisé et s pour un rapport par test SPF réalisé )

Gérer des services tiers

Une fois que votre DMARC est en place, il va fournir des instructions aux serveurs mails sur la façon dont les emails qui passent (ou échouent) aux tests SPF et DKIM doivent être traités. 

Pour ne pas être bloqués, vos emails doivent donc passer les tests SPF et DKIM. 

Cela fonctionne bien pour vos boîtes mails d’entreprise comme Gmail ou Outlook. 

Mais certains services que vous utilisez (comme par exemple Mailchim, des outils de ticketing, des outils de service client…) peuvent envoyer des emails en utilisant votre domaine. Vous n’avez pas envie que ces emails soient bloqués, ils doivent donc passer les tests SPF et DKIM. 

  • La première étape consiste à analyser les rapports DMARC  pour voir quels emails passent ou échouent aux tests. Vous pouvez utiliser pour cela des outils comme easyDMARC ou DMARCian. 
  • Ensuite, vous devez configurer vos SPF et DKIM pour chacun de ces services. Ils auront très probablement des instructions sur comment vous pouvez le faire dans votre interface admin pour ces outils. 

Conclusion

Le SPF, le DKIM et le DMARC empêcheront-ils tout phishing ? Non, bien sûr. 

Il sera toujours possible de piéger des utilisateurs en utilisant des adresses similaires. Mais ce trio empêche les hackers d’usurper l’identité, et la réputation, de véritables entreprises.

Le SPF, le DKIMet le DMARC sont donc une pièce important d’un monde plus sûr en matière de cybersécurité.

Evidemment, les utilisateurs pourront toujours se faire piéger par des near domaines (customer-amazon.com, Linkedln.com - deuxième i est un L minuscule- or service-dashlane.com par exemple) qui représentent une réelle menace car ils sont difficile à détecter.

En effet, il est facile de mettre en place un near domaine crédible et les utilisateurs non préparés reçoivent tellement d’emails qu’ils ne font pas assez attention à ce genre de détails.