Le courriel est un outil de communication essentiel, mais aussi vulnérable aux menaces comme le hameçonnage et l’usurpation d’identité. La mise en place de protocoles d’authentification de courriels peut protéger votre webmail. Ce guide détaille comment configurer SPF, DMARC et DKIM pour améliorer la sécurité.
Introduction
Les services de webmail comme Gmail, Outlook et Yahoo offrent un accès pratique aux courriels depuis n’importe quel appareil. Cependant, cela introduit également des risques si des précautions de sécurité ne sont pas prises.
La sécurisation des courriels repose sur l’authentification des expéditeurs pour prévenir :
- L’usurpation de courriel – Faire passer un courriel pour provenir de quelqu’un d’autre
- Le hameçonnage – Courriels frauduleux tentant de voler des informations
- Le piratage de comptes courriel – Acteurs malveillants accédant aux comptes
Heureusement, des protocoles d’authentification de courriel établis peuvent sécuriser votre webmail s’ils sont correctement mis en œuvre :
- SPF (Sender Policy Framework) vérifie les serveurs de messagerie autorisés
- DMARC (Domain-based Message Authentication, Reporting and Conformance) s’appuie sur SPF et DKIM pour prévenir l’usurpation d’identité
- DKIM (DomainKeys Identified Mail) signe cryptographiquement les courriels pour confirmer qu’ils n’ont pas été modifiés
Ce guide fournit des instructions détaillées pour configurer ces protocoles afin de protéger votre webmail. Suivre ces bonnes pratiques permet d’authentifier les expéditeurs légitimes et de bloquer les courriels malveillants.
SPF – Arrêter la falsification d’adresse d’expéditeur
SPF empêche la falsification d’adresse d’expéditeur en permettant aux domaines de spécifier les serveurs de messagerie autorisés. Voici comment le configurer :
1. Identifier vos serveurs de messagerie
Tout d’abord, déterminez les serveurs et adresses IP autorisés à envoyer des courriels pour votre domaine.
- Les services de webmail comme Gmail fournissent ces informations dans leur documentation d’aide.
- Pour les serveurs locaux, connectez-vous à la console d’administration de votre serveur de messagerie.
- Vous pouvez avoir des IP distinctes pour la réception et l’envoi de courriels.
2. Créez un enregistrement TXT SPF
Ajoutez un enregistrement TXT dans les paramètres DNS de votre domaine avec vos serveurs autorisés.
Formats d’enregistrement courants :
v=spf1 ip4:192.0.2.1 ip4:198.51.100.206 -all
v=spf1 include:spf.webmail.com -all
Cela spécifie :
v=spf1
– Indique la version 1 de SPFip4
– Liste les adresses IPv4 autoriséesinclude
– Importe les règles d’un autre enregistrement SPF-all
– Rejette tous les expéditeurs non autorisés
3. Validez votre enregistrement SPF
Utilisez un outil de vérification d’enregistrement SPF pour confirmer que la syntaxe est correcte avant de l’activer. Cela évite des perturbations de courrier non intentionnelles.
Outils recommandés pour valider le SPF :
Corrigez les erreurs rapportées par ces outils avant de continuer.
4. Mettez à jour les serveurs de noms et attendez la propagation
Enfin, mettez à jour vos serveurs de noms pour publier le nouvel enregistrement SPF dans le DNS. Cela peut prendre jusqu’à 48 heures pour une propagation complète.
Une fois en place, d’autres serveurs de messagerie peuvent vérifier les adresses IP d’envoi par rapport à votre enregistrement SPF et rejeter les expéditeurs non valides.
DMARC – Arrêter l’usurpation de courriel
DMARC fonctionne avec SPF et DKIM pour authentifier les courriels entrants et prévenir l’usurpation d’identité. Suivez ces étapes :
1. Créez un enregistrement DMARC
Ajoutez un enregistrement TXT pour _dmarc
dans vos paramètres DNS. Commencez par une stratégie p=none
:
v=DMARC1; p=none; rua=mailto:[email protected]
Cela spécifie :
v=DMARC1
– Version 1 de DMARCp=none
– Stratégie qui ne prend aucune mesure mais rapporte les échecsrua=
– Adresse e-mail pour envoyer les rapports agrégés
2. Changez la stratégie DMARC pour mettre en quarantaine
Lorsque vous êtes prêt à agir sur les courriels usurpés, mettez à jour votre enregistrement DMARC :
v=DMARC1; p=quarantine; rua=mailto:[email protected]
Cela indique aux serveurs de réception de mettre en quarantaine les courriels qui échouent aux vérifications SPF ou DKIM.
3. Changez la stratégie DMARC pour rejeter
Pour bloquer complètement les messages usurpés, utilisez une stratégie p=reject
:
v=DMARC1; p=reject; rua=mailto:[email protected]
Les courriels rejetés n’atteindront pas les boîtes de réception. Cela empêche vos utilisateurs d’être hameçonnés.
Les stratégies DMARC vous autorisent à agir contre les menaces d’usurpation d’identité identifiées dans les rapports.
DKIM – Signer cryptographiquement les courriels
DKIM ajoute une signature cryptographique pour confirmer que les courriels proviennent vraiment de votre domaine. Voici comment le configurer :
1. Générez une paire de clés publique/privée
Créez une paire de clés à utiliser pour signer les messages :
- Les fournisseurs de webmail proposent souvent des outils pour générer des clés
- Pour les serveurs de messagerie locaux, utilisez openssl ou des outils en ligne
2. Publiez la clé publique dans le DNS
Ajoutez un enregistrement TXT avec votre clé publique dans le DNS. Il devrait ressembler à :
k=rsa; t=s; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDkQ...
Cela permet aux destinataires de vérifier les signatures.
3. Configurez la signature avec la clé privée sur votre serveur de messagerie
Mettez à jour les paramètres de votre serveur de messagerie pour signer tous les courriels sortants avec votre clé privée.
Pour des services comme Gmail ou Office 365, cela est géré automatiquement.
Avec des serveurs locaux, installez un logiciel de signature DKIM comme OpenDKIM.
4. Définissez une stratégie d’alignement DKIM DMARC
Mettez à jour votre enregistrement DMARC pour exiger un alignement DKIM :
v=DMARC1; p=reject; ... adkim=r;
Le adkim=r
signifie que les courriels sans signature DKIM valide seront rejetés.
La signature DKIM avec des clés publiques publiées permet aux destinataires de valider cryptographiquement vos courriels.
Conclusion
La sécurité des courriels est plus vitale que jamais. SPF, DMARC et DKIM sont des outils puissants pour protéger votre webmail s’ils sont correctement mis en œuvre.
En suivant ce guide détaillé, vous pourrez :
- Authentifier les courriels légitimes – Vérifier que les expéditeurs valides sont alignés avec vos stratégies SPF, DKIM et DMARC
- Bloquer l’usurpation/le hameçonnage – Utiliser DMARC pour rejeter les courriels frauduleux prétendant provenir de vous
- Obtenir une visibilité – Les rapports DMARC font remonter les menaces à traiter
- Améliorer la posture de sécurité – Bloquer techniquement de nombreuses menaces par courriel avant qu’elles n’atteignent les utilisateurs
Le temps investi améliorera grandement votre authentification et votre sécurité de messagerie. Vos utilisateurs bénéficieront d’une réduction de l’usurpation d’identité, du hameçonnage et de la fraude.
Alors que les menaces évoluent, il est essentiel de tirer parti de normes comme celles-ci pour confirmer la légitimité des courriels et rejeter les risques. Avec des configurations rigoureuses suivant ces meilleures pratiques, les organisations peuvent faire confiance à leurs communications par webmail.