Sécuriser votre messagerie avec SPF, DMARC et DKIM

  Sécurité
Sécuriser inbox votre mail avec SPF, DMARC et DKIM mail

Le courriel est un outil de communication essentiel, mais aussi vulnérable aux menaces comme le hameçonnage et l’usurpation d’identité. La mise en place de protocoles d’authentification de courriels peut protéger votre webmail. Ce guide détaille comment configurer SPF, DMARC et DKIM pour améliorer la sécurité.

Introduction

Les services de webmail comme Gmail, Outlook et Yahoo offrent un accès pratique aux courriels depuis n’importe quel appareil. Cependant, cela introduit également des risques si des précautions de sécurité ne sont pas prises.

La sécurisation des courriels repose sur l’authentification des expéditeurs pour prévenir :

  • L’usurpation de courriel – Faire passer un courriel pour provenir de quelqu’un d’autre
  • Le hameçonnage – Courriels frauduleux tentant de voler des informations
  • Le piratage de comptes courriel – Acteurs malveillants accédant aux comptes

Heureusement, des protocoles d’authentification de courriel établis peuvent sécuriser votre webmail s’ils sont correctement mis en œuvre :

  • SPF (Sender Policy Framework) vérifie les serveurs de messagerie autorisés
  • DMARC (Domain-based Message Authentication, Reporting and Conformance) s’appuie sur SPF et DKIM pour prévenir l’usurpation d’identité
  • DKIM (DomainKeys Identified Mail) signe cryptographiquement les courriels pour confirmer qu’ils n’ont pas été modifiés

Ce guide fournit des instructions détaillées pour configurer ces protocoles afin de protéger votre webmail. Suivre ces bonnes pratiques permet d’authentifier les expéditeurs légitimes et de bloquer les courriels malveillants.

SPF – Arrêter la falsification d’adresse d’expéditeur

SPF empêche la falsification d’adresse d’expéditeur en permettant aux domaines de spécifier les serveurs de messagerie autorisés. Voici comment le configurer :

1. Identifier vos serveurs de messagerie

Tout d’abord, déterminez les serveurs et adresses IP autorisés à envoyer des courriels pour votre domaine.

  • Les services de webmail comme Gmail fournissent ces informations dans leur documentation d’aide.
  • Pour les serveurs locaux, connectez-vous à la console d’administration de votre serveur de messagerie.
  • Vous pouvez avoir des IP distinctes pour la réception et l’envoi de courriels.

2. Créez un enregistrement TXT SPF

Ajoutez un enregistrement TXT dans les paramètres DNS de votre domaine avec vos serveurs autorisés.

Formats d’enregistrement courants :

v=spf1 ip4:192.0.2.1 ip4:198.51.100.206 -all
v=spf1 include:spf.webmail.com -all

Cela spécifie :

  • v=spf1 – Indique la version 1 de SPF
  • ip4 – Liste les adresses IPv4 autorisées
  • include – Importe les règles d’un autre enregistrement SPF
  • -all – Rejette tous les expéditeurs non autorisés

3. Validez votre enregistrement SPF

Utilisez un outil de vérification d’enregistrement SPF pour confirmer que la syntaxe est correcte avant de l’activer. Cela évite des perturbations de courrier non intentionnelles.

Outils recommandés pour valider le SPF :

Corrigez les erreurs rapportées par ces outils avant de continuer.

4. Mettez à jour les serveurs de noms et attendez la propagation

Enfin, mettez à jour vos serveurs de noms pour publier le nouvel enregistrement SPF dans le DNS. Cela peut prendre jusqu’à 48 heures pour une propagation complète.

Une fois en place, d’autres serveurs de messagerie peuvent vérifier les adresses IP d’envoi par rapport à votre enregistrement SPF et rejeter les expéditeurs non valides.

DMARC – Arrêter l’usurpation de courriel

DMARC fonctionne avec SPF et DKIM pour authentifier les courriels entrants et prévenir l’usurpation d’identité. Suivez ces étapes :

1. Créez un enregistrement DMARC

Ajoutez un enregistrement TXT pour _dmarc dans vos paramètres DNS. Commencez par une stratégie p=none :

v=DMARC1; p=none; rua=mailto:[email protected]

Cela spécifie :

  • v=DMARC1 – Version 1 de DMARC
  • p=none – Stratégie qui ne prend aucune mesure mais rapporte les échecs
  • rua= – Adresse e-mail pour envoyer les rapports agrégés

2. Changez la stratégie DMARC pour mettre en quarantaine

Lorsque vous êtes prêt à agir sur les courriels usurpés, mettez à jour votre enregistrement DMARC :

v=DMARC1; p=quarantine; rua=mailto:[email protected]

Cela indique aux serveurs de réception de mettre en quarantaine les courriels qui échouent aux vérifications SPF ou DKIM.

3. Changez la stratégie DMARC pour rejeter

Pour bloquer complètement les messages usurpés, utilisez une stratégie p=reject :

v=DMARC1; p=reject; rua=mailto:[email protected]

Les courriels rejetés n’atteindront pas les boîtes de réception. Cela empêche vos utilisateurs d’être hameçonnés.

Les stratégies DMARC vous autorisent à agir contre les menaces d’usurpation d’identité identifiées dans les rapports.

DKIM – Signer cryptographiquement les courriels

DKIM ajoute une signature cryptographique pour confirmer que les courriels proviennent vraiment de votre domaine. Voici comment le configurer :

1. Générez une paire de clés publique/privée

Créez une paire de clés à utiliser pour signer les messages :

  • Les fournisseurs de webmail proposent souvent des outils pour générer des clés
  • Pour les serveurs de messagerie locaux, utilisez openssl ou des outils en ligne

2. Publiez la clé publique dans le DNS

Ajoutez un enregistrement TXT avec votre clé publique dans le DNS. Il devrait ressembler à :

k=rsa; t=s; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDkQ...

Cela permet aux destinataires de vérifier les signatures.

3. Configurez la signature avec la clé privée sur votre serveur de messagerie

Mettez à jour les paramètres de votre serveur de messagerie pour signer tous les courriels sortants avec votre clé privée.

Pour des services comme Gmail ou Office 365, cela est géré automatiquement.

Avec des serveurs locaux, installez un logiciel de signature DKIM comme OpenDKIM.

4. Définissez une stratégie d’alignement DKIM DMARC

Mettez à jour votre enregistrement DMARC pour exiger un alignement DKIM :

v=DMARC1; p=reject; ... adkim=r;

Le adkim=r signifie que les courriels sans signature DKIM valide seront rejetés.

La signature DKIM avec des clés publiques publiées permet aux destinataires de valider cryptographiquement vos courriels.

Conclusion

La sécurité des courriels est plus vitale que jamais. SPF, DMARC et DKIM sont des outils puissants pour protéger votre webmail s’ils sont correctement mis en œuvre.

En suivant ce guide détaillé, vous pourrez :

  • Authentifier les courriels légitimes – Vérifier que les expéditeurs valides sont alignés avec vos stratégies SPF, DKIM et DMARC
  • Bloquer l’usurpation/le hameçonnage – Utiliser DMARC pour rejeter les courriels frauduleux prétendant provenir de vous
  • Obtenir une visibilité – Les rapports DMARC font remonter les menaces à traiter
  • Améliorer la posture de sécurité – Bloquer techniquement de nombreuses menaces par courriel avant qu’elles n’atteignent les utilisateurs

Le temps investi améliorera grandement votre authentification et votre sécurité de messagerie. Vos utilisateurs bénéficieront d’une réduction de l’usurpation d’identité, du hameçonnage et de la fraude.

Alors que les menaces évoluent, il est essentiel de tirer parti de normes comme celles-ci pour confirmer la légitimité des courriels et rejeter les risques. Avec des configurations rigoureuses suivant ces meilleures pratiques, les organisations peuvent faire confiance à leurs communications par webmail.

Laisser un commentaire