Un seul mot : SÉCURITÉ !
Afin de bien veiller à votre sécurité, nos serveurs utilisent, entre autres, les standards SPF, DKIM et DMARC. Ces trois protocoles répondent à des problématiques de sécurité différentes et doivent tous les trois être implémentés pour assurer la meilleure délivrabilité et la meilleure sécurité possibles. Malheureusement, il existe encore beaucoup de serveurs de courriels désuets dans lesquels ces standards de sécurité n’ont pas été implantés. Ceux-ci peuvent causer certains problèmes d’envoi et/ou de réception puisque nos serveurs bloquent les serveurs non sécuritaires et/ou frauduleux. Vous comprendrez que nous ne pouvons pas diminuer le niveau de sécurité offert à tous nos clients pour que vous puissiez recevoir des courriels en provenance d’un serveur non sécuritaire. Peu importe la taille de la compagnie et/ou le palier de gouvernement avec qui vous éprouvez des problèmes (non les réseaux du gouvernement ne sont pas sécuritaires, voir article), il faudra obligatoirement “qu’ils” effectuent les modifications sur “leurs” serveurs pour se conformer aux règles de sécurité actuelles. Si vous rencontrez un tel problème, veuillez simplement nous contacter et nous ferons le nécessaire pour identifier la source du problème et entrer en contact avec le fournisseur de courriels problématique pour l’aviser des démarches à suivre afin de corriger la situation.
À titre de référence, Google et Microsoft utilisent et recommandent fortement l’utilisation de SPF, DKIM et DMARC pour les expéditeurs de courriels (comme nous). Le fait d’utiliser SPF, DKIM et DMARC prouve que nous sommes un expéditeur sérieux et que nous sommes prêts à prendre des mesures de précaution pour protéger l’identité et la réputation de nos clients….
Vous pensez qu’un tel niveau de sécurité n’est pas nécessaire!?
Dans le monde actuel, tous les types de transactions nécessitent une authentification. Que vous soyez un patient nécessitant un traitement, un conducteur de voiture ou encore un passager embarquant dans un avion, vous devez toujours prouver que vous êtes bien la personne que vous prétendez être. Vous devez fournir une preuve d’assurance maladie, un permis de conduire, un passeport ou une autre forme d’identification matérielle tangible pour prouver que le nom figurant sur le rendez-vous ou le billet d’avion vous appartient réellement.
Le monde des courriels fonctionne de la même manière. Afin de franchir les filtres de sécurités des serveurs de courriels et ne pas se retrouver sur des listes noires, nous devons prouver que nous sommes un expéditeur légitime qui n’envoie pas de courriel au nom de quelqu’un d’autre et qui ne permet pas que d’autre envoie en notre nom. Comment arriver à prouver ceci ? En utilisant, entre autres, les protocoles SPF, DKIM et DMARC.
1. Qu’est-ce que le SPF?
La Sender Policy Framework, ou SPF, est une norme d’authentification permettant de faire le lien entre un nom de domaine et une adresse email. Elle consiste à définir le ou les expéditeur(s) autorisé(s) à envoyer des courriels à partir d’un nom de domaine spécifique. Elle permet ainsi aux clients de messagerie (Gmail, Outlook, etc.) de vérifier que le courriel entrant d’un domaine vient d’une adresse IP autorisée par l’administrateur de ce domaine. Ce protocole permet ainsi d’interdire à des tiers d’utiliser frauduleusement votre nom de domaine et de se faire passer pour vous. À la suite de l’envoi d’un courriel, les serveurs de réception vérifieront le domaine du chemin de retour. Ils compareront ensuite l’adresse IP qui a envoyé le courriel à l’adresse IP répertoriée dans l’enregistrement SPF du domaine de retour pour voir si le tout est conforme. Le courriel sera traité en fonction de ce résultat et de la stratégie DMARC.
2. Pourquoi le SPF est-il important?
SPF est un standard qui vous protège de la distribution de pourriels à partir de votre nom de domaine, portant ainsi atteinte à votre réputation. Les pourriels et l’hameçonnage utilisent souvent des adresses et des domaines falsifiés, ça pourrait être les vôtres ! La publication et la vérification des enregistrements SPF est l’une des techniques anti-pourriel les plus fiables et les plus simples à utiliser. Comme nous avons une bonne réputation en matière d’envoi, un expéditeur de pourriels pourrait tenter d’envoyer des courriels à partir des noms de domaine que nous hébergeons (incluant le vôtre) afin d’utiliser notre réputation auprès des serveurs de courriels de destination. Cependant, une authentification SPF révélera aux serveurs destinataires que le domaine nous appartient et que nous n’autorisons pas l’envoi de courriels par un serveur tiers.
3. Qu’est-ce que DKIM ?
DKIM, ou DomainKeys Identified Mail, nous permet d’assurer l’intégrité des courriels que nous envoyons ou recevons. DKIM nous permet de garantir que le contenu d’un courriel n’a pas subi d’altération, que les entêtes n’ont pas changés depuis l’envoi jusqu’à la réception (les champs Date, De, À, etc.) et finalement que l’expéditeur du courriel est autorisé à utiliser ce nom de domaine. DKIM utilise un algorithme de cryptage qui crée une paire de clés électroniques (une clé publique et une clé privée). Au moment de l’envoi d’un courriel, le serveur d’envoi génère une signature cryptographique à partir de la clé privée qu’il insère ensuite dans l’entête du message. Le serveur de réception ira récupérer la clé publique du serveur d’envoi et l’utilisera pour décrypter la signature de l’entête. Si les informations contenues dans la signature décryptée correspondent aux informations reçues dans l’entête non crypté, le serveur considère que l’entête n’a pas été falsifié pendant la transmission. Si la clé privée n’a pas été utilisée, alors le message est considéré comme non légitime. Le courriel sera traité en fonction de la stratégie DMARC.
4. Pourquoi DKIM est-il important?
Imaginez un instant que vous envoyez un courriel à un client l’informant de vos tarifs. En cours de transfert, votre courriel est intercepté et modifié à votre insu … les prix sont modifiés (attaque de type Man in the Middle). Votre client vous passe la commande à 50% de rabais, ou encore vous répond que vos tarifs sont beaucoup trop dispendieux ! L’entête de votre message pourrait également être modifié avec une nouvelle adresse d’expéditeur et/ou de retour. Le risque de ce type d’attaque est réel et pourrait avoir des conséquences graves pour votre entreprise ! De là, toute l’importance d’utiliser DKIM sur nos serveurs.
5. Qu’est-ce que DMARC ?
DMARC, ou Domain-based Message Authentication, Reporting and Conformance est une méthode d’authentification supplémentaire reposant sur SPF et DKIM. DMARC effectue tout simplement le traitement des courriels en fonction d’une stratégie déterminée par le serveur de réception. Trois stratégies sont disponibles:
- Aucun : Tous les courriels seront traités normalement sans tenir compte de SPF/DKIM.
- Quarantaine : Les courriels non conformes SPF/DKIM seront remis dans le dossier courriers indésirables.
- Rejeter: Les courriels non conformes SPF/DKIM seront rejetés.
La stratégie DMARC de nos serveurs de courriels à été configurée à “Quarantaine”, ce qui veux dire que les messages que vous recevez et qui ne sont pas conforme SPF/DKIM seront transférés dans votre dossier courriers indésirables. Malheureusement, ce dossier n’est pas accessible à partir de la configuration standard des logiciels de courriels (Outlook ou autre). Vous pouvez toutefois accéder à ce dossier en vous connectant à votre WebMail / WebMailPlus ou en plaçant un appel de service afin de faire effectuer un configuration spécifique permettant à votre logiciel de courriels d’aller récupérer le contenu de ce dossier.
6. Pourquoi le DMARC est-il important?
Bien que les protocoles SPF et DKIM offrent aux serveurs des informations importantes sur la légitimité et l’intégrité des courriels entrants, ces deux protocoles n’ont aucuns contrôle sur le traitement des courriels. C’est au protocole DMARC que revient la tâche de traitement des courriels en fonction des résultats SPF/DKIM et de la stratégie mise en place par l’hébergeur des serveurs de réception. Sans DMARC, tous les courriels (malveillants, frauduleux, altérés, etc) seraient remis directement dans la boîte de réception du destinataire!
» C’EST COMPLIQUÉ…MAIS ESSENTIEL »
Ces méthodes permettent de protéger votre identité et le contenu de vos messages en amont. En mailing comme dans la vie courante, mieux vaut prévenir que guérir !