À quoi sert ce guide ?
- Un guide indispensable pour les personnes qui développent, prennent en charge ou maintiennent des applications qui envoient des e-mails.
- Il permet de s’assurer que les e-mails arrivent dans la boîte de réception du destinataire plutôt que dans le dossier spam.
- Il explique comment protéger votre domaine contre les cybercriminels et les spammeurs.
Pourquoi choisir ce guide ?
- Il explique SPF, DKIM et DMARC de manière facile à comprendre, avec des explications simples, claires et des exemples.
- Hébergé sur GitHub, il permet un accès rapide à l’information et une bonne intégration dans l’environnement de développement.
- C’est une documentation que la communauté peut mettre à jour et maintenir en continu.
À quoi ce guide ne sert-il pas ?
- Il ne traite pas de sujets avancés comme la configuration de serveurs e-mail, le chiffrement ou les passerelles de messagerie sécurisées.
Explication simple de SPF, DKIM et DMARC
SPF (Sender Policy Framework)
- SPF : c’est comme une liste d’amis autorisés à envoyer des e-mails.
- Enregistrement SPF : cette liste d’amis est stockée dans un enregistrement DNS TXT.
- Exemple :
v=spf1 ip4:123.123.123.123 ~all
DKIM (DomainKeys Identified Mail)
- DKIM : c’est comme glisser une note secrète à l’intérieur de l’e-mail.
- Enregistrement DKIM : la clé publique est stockée dans un enregistrement DNS TXT pour permettre au destinataire de vérifier l’authenticité de l’e-mail.
- Exemple :
v=DKIM1; k=rsa; p=NICfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDBolTXCqbxwoRBffyg2efs+Dtlc+CjxKz9grZGBaISRvN7EOZNoGDTyjbDIG8CnEK479niIL4rPAVriT54MhUZfC5UU4OFXTvOW8FWzk6++a0JzYu+FAwYnOQE9R8npKNOl2iDK/kheneVcD4IKCK7IhuWf8w4lnR6QEW3hpTsawIDAQ0B
DMARC (Domain-based Message Authentication, Reporting & Conformance)
- DMARC : c’est comme créer un grand livre de règles qui regroupe celles de SPF et de DKIM.
- Enregistrement DMARC : ce livre de règles est stocké dans un enregistrement DNS TXT afin que le destinataire puisse décider comment traiter l’e-mail.
- Exemple :
v=DMARC1; p=none; rua=mailto:postmaster@example.com
Exemples d’usage concrets de SPF, DKIM et DMARC
- Applications mobiles : lorsqu’une application de fitness ou bancaire envoie des e-mails, elle utilise SPF, DKIM et DMARC pour s’assurer qu’ils arrivent dans la boîte de réception et non dans le dossier spam.
- Fournisseurs de services e-mail : Gmail, Yahoo, Outlook et autres utilisent SPF, DKIM et DMARC pour authentifier les e-mails entrants.
- Plateformes de réseaux sociaux : LinkedIn, Facebook, Twitter et autres utilisent SPF, DKIM et DMARC pour envoyer des e-mails de notification.
- Entreprises : lorsqu’elles envoient des e-mails promotionnels, elles utilisent SPF, DKIM et DMARC pour éviter qu’ils soient marqués comme spam et pour empêcher que leur domaine soit utilisé pour l’usurpation d’e-mail.
- Organismes publics : lorsqu’ils envoient des notifications aux citoyens, ils utilisent SPF, DKIM et DMARC pour prévenir les attaques de phishing.
Que faire maintenant ?
- Identifier les adresses e-mail et les domaines : repérez les adresses e-mail et les domaines utilisés par votre application.
- Vérifier l’état actuel : vérifiez si des enregistrements SPF, DKIM et DMARC existent déjà et s’ils sont correctement configurés.
- Vérifier les droits d’accès au domaine : assurez-vous d’avoir les autorisations nécessaires pour modifier les enregistrements DNS.
- Surveiller DMARC : surveillez les rapports DMARC pour vérifier qu’il n’y a pas de problème et corrigez-les si nécessaire.
Vérifier l’état de SPF, DKIM et DMARC
FAQ's with SPF, DKIM and DMARC
- Adresse e-mail pour les rapports DMARC : il est préférable d’utiliser une boîte mail partagée que plusieurs personnes peuvent consulter.
- Différence entre ~all, -all, ?all, +all dans un enregistrement SPF :
- ~all (SoftFail) : les e-mails provenant de serveurs qui ne figurent pas dans la liste sont autorisés, mais peuvent être considérés comme suspects.
- -all (Fail) : les e-mails provenant de serveurs qui ne figurent pas dans la liste sont rejetés.
- ?all (Neutral) : l’e-mail est traité sans consigne particulière.
- +all (Pass) : les e-mails provenant de tous les serveurs sont autorisés.
- Peut-on configurer DMARC sans SPF ? : oui, mais c’est inefficace. Il est recommandé d’utiliser SPF et DKIM ensemble.
- Lorsque plusieurs échecs SPF et quelques validations SPF apparaissent dans les en-têtes d’e-mail : il faut se fier au contrôle SPF lié à votre propre domaine.
Conclusion
- SPF, DKIM et DMARC sont les héros discrets de la sécurité e-mail.
- Tous trois jouent un rôle essentiel pour préserver la fiabilité des e-mails.
L’avis de GN⁺
- L’importance de la sécurité e-mail : l’e-mail est un moyen de communication essentiel, et sa sécurité est donc cruciale.
- La nécessité de SPF, DKIM et DMARC : ces trois technologies sont indispensables pour prévenir l’usurpation d’e-mail et les attaques de phishing.
- Points à considérer lors de l’adoption : une configuration et une surveillance sont nécessaires, et une mauvaise configuration peut provoquer des problèmes de délivrabilité.
- Outils utiles : des outils comme MXToolbox et DMARCTester permettent de vérifier facilement l’état de la configuration.
- Standard du secteur : pour renforcer la sécurité e-mail, SPF, DKIM et DMARC se sont imposés comme des standards de l’industrie.
3 commentaires
SPF, DKIM et DMARC semblent désormais être devenus vraiment trop importants.
Quand on commence à utiliser Google Workspace ou SES, on se retrouve à devoir configurer de plus en plus de choses en plus des enregistrements MX, comme SPF ou DKIM. En pratique, je ne prenais jamais vraiment le temps de me renseigner et je me contentais de me dire que ça devait bien fonctionner d’une manière ou d’une autre quelque part, donc merci ! :D
Avis Hacker News
Expérience d’un administrateur IT : en gérant l’IT dans une PME, il recevait souvent des demandes pour débloquer des e-mails mis en quarantaine à cause d’enregistrements SPF incorrects. Au lieu d’ajouter des expéditeurs à une liste blanche, il aidait à corriger les enregistrements SPF. Pour automatiser cela, il a écrit un script en Racket.
Recommandation de livre : Michael W. Lucas prépare un livre intitulé "Run Your Own Mail Server", qui traite en détail de la configuration de SPF/DKIM/DMARC. L’auteur du commentaire a assisté à son tutoriel et à sa conférence à BSDCan, et recommande le livre.
Besoin d’un guide SPF/DKIM/DMARC : il faudrait un guide SPF/DKIM/DMARC destiné aux développeurs d’applications qui envoient des e-mails depuis d’autres domaines. De nombreux systèmes de tickets et plateformes marketing ne comprennent pas ces concepts.
Importance de l’automatisation : l’auteur dirige une startup qui automatise la configuration SPF/DKIM/DMARC et juge la qualité du guide très élevée. Mais comme les utilisateurs ne rencontrent généralement le problème qu’une seule fois, il est difficile d’acquérir une compréhension durable. L’automatisation est donc importante.
Recommandation d’outil de débogage : partage d’un lien vers un bon outil pour déboguer les problèmes DMARC.
Recommandation d’outils de test : les versions gratuites de mail-tester.com et eu.dmarcian.com sont recommandées comme outils de test. Un lien de blog pour mieux comprendre DKIM est aussi partagé.
Problème de spam : même avec une configuration e-mail parfaite, il arrive que Gmail classe les messages comme spam. Des centaines d’heures y ont été consacrées sans résoudre le problème, ce qui a conduit à utiliser des services d’hébergement tiers comme iCloud.
Nécessité de diversité dans l’e-mail : au lieu de dépendre des services e-mail des grands groupes comme Apple, Google et Microsoft, il faudrait utiliser autant que possible son propre serveur e-mail.
Service gratuit de surveillance DMARC : un service appelé Postmark propose une surveillance DMARC gratuite.
Résultats de configuration SPF/DKIM/DMARC : partage des résultats montrant que, sur un domaine d’exemple, SPF, DKIM et DMARC passent tous avec succès.