Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Protection contre le spam : démarquez-vous avec DMARC

Protection contre le spam : démarquez-vous avec DMARC
2015-05-072015-05-07sécurité du poste de travailfr
Nous avons vu apparaitre ces dernières années quelques sigles barbares comme SPF, SIDF et DKIM destinés à améliorer la sécurité des échanges en SMTP. Voyons comment le nouveau protocole d’authentification DMARC peut changer la donne.
Publié le 7 Mai 2015 par Philippe Macia dans sécurité du poste de travail
Protection contre le spam : démarquez-vous avec DMARC

En affirmant que le protocole SMTP est peu sécurisé je ne vais surprendre personne, et en particulier les lecteurs assidus de ce blog. Cependant, nous avons vu apparaitre ces dernières années quelques sigles barbares comme SPF, SIDF et DKIM destinés à améliorer la sécurité des échanges en SMTP. Ces technologies n’ont pas forcément eu le succès escompté. Voyons comment le méconnu protocole d’authentification DMARC peut changer la donne.

Quelques rappels

Comme le rappelait Jean-François Audenard, SPF (Sender Policy Framework) et DKIM (Domain Keys Indentified Mail) sont des standards complémentaires d’authentification des messages entrants. Ils ont pour fonction de lutter plus efficacement contre le spam et le phishing en authentifiant les messages légitimes et en détectant les abus.

Avant d’en venir à DMARC, voici rapidement le principe de chaque technologie :

  1. SPF : publié dans le DNS sous forme d’enregistrement TXT, SPF permet d’indiquer les adresses légitimes autorisées à envoyer des mails pour un domaine. SPF permet ainsi au destinataire de vérifier l’enveloppe du message au niveau du champ « from » mais pas le contenu du message (header & body).
  2. Sender Id (SIDF) : étend le SPF au-delà de l’enveloppe du message
  3. DKIM : permet à un destinataire de vérifier si le message reçu contenant une signature électronique cryptographique a bien été émis par le domaine expéditeur. A la réception, on vérifie le lien entre la clef privée ayant servi à signer le message et la clef publique de l’expéditeur publiée dans son enregistrement DNS.

Ces technologies seront efficaces si :

  • l’émetteur publie sa politique et un certificat dans son DNS,
  • le destinataire implémente SPF et DKIM dans son relais de messagerie,
  • les actions à prendre sont précisées au destinataire au cas où la vérification échouerait.

Cependant, quel est l’intérêt pour un expéditeur de mettre en place un certificat ou des informations d’envoi s’il ne sait pas si ces fonctions sont réellement utilisées par le destinataire pour authentifier le mail ou sa provenance ? Le succès relatif de DKIM et SPF vient à mon avis de cette interrogation et du fait que le domaine expéditeur n’a aucun retour des destinataires recevant des mails contrefaits.

Comment DMARC renforce la sécurité des échanges emails ?

Alors que SPF et DKIM reposaient uniquement sur les domaines d’envoi, DMARC (pour Domain-based Message Authentication, Reporting, and Conformance) implique les domaines destinataires en standardisant la façon dont un MTA destinataire doit gérer un message dont les vérifications DKIM et/ou SPF ont échoué. DMARC est donc mis en place par l’expéditeur, mais indique explicitement au destinataire ce qu’il doit faire (mise en quarantaine ou destruction) en cas d’email ne respectant pas la norme de l’expéditeur !

DMARC peut également demander au destinataire d’envoyer un rapport au propriétaire légitime du domaine concernant les messages qui ont échoué à la vérification par DMARC, et ainsi le prévenir d’éventuels abus ou usurpation de son domaine par un spammeur.

Le processus de fonctionnement de DMARC

 

Pour les domaines souhaitant mettre en œuvre DMARC, il « suffit » de modifier l’enregistrement DNS du domaine pour afficher la politique DMARC associée au domaine. Les entrées sont de type texte (.TXT) dans les Resource Records (RRs) du DNS. Comme dans l’exemple ci-dessous :

Exemple enregistrement DNS

Les avantages de la spécification technique DMARC sont multiples et servent autant les expéditeurs que les destinataires :

  • elle est facile à mettre en place pour l’expéditeur et surtout gratuite,
  • elle limite le risque de faux positifs pour le destinataire,
  • elle fournit une solution d’authentification robuste basée sur la clef contenue dans chaque message,
  • elle fournit au destinataire une politique de sécurité à appliquer en cas de doute sérieux sur la validité du message,
  • elle limite le risque de phishing car il va être beaucoup plus compliqué pour un spammeur d’émettre des mails usurpant un domaine légitime implémentant DMARC. Les messages non authentifiés et/ou non signés seront soit détruits soit mis en quarantaine directement,
  • l’administrateur du domaine expéditeur est prévenu lors de l’utilisation frauduleuse de son nom de domaine par un spammeur. Il peut prendre les contremesures qui s’imposent.

Il existe cependant quelques limitations

Principalement, il faut que tous les messages d’un domaine proviennent d’un relais unique implémentant la solution pour que le système fonctionne correctement. Si vous utilisez des prestataires pour envoyer des messages en votre nom à des listes de diffusion ils pourraient être bloqués chez les destinataires par votre propre implémentation de DMARC !

DMARC qui a été initié en 2007 par PayPal (rejoint ensuite par Yahoo ! Mail et Gmail) fait l’objet du RFC 7489 depuis le 18 mars 2015. Son utilisation devrait donc se généraliser progressivement. Il s’agit, selon moi, d’une véritable avancée dans le domaine de la sécurité de la messagerie.

Si vos relais de messagerie le supportent, démarquez-vous avec DMARC et limitez les risques de phishing pour vos utilisateurs !

Philippe

Pour aller plus loin :
Fonctionnement de DMARC
Ajouter un enregistrement DMARC
A free tool to monitor & implement DMARC

3 Commentaires

  • 11 Avril 2016
    2016-04-11
    par
    Philppe Macia
    Bonjour Julien.
    Je ne peux que vous recommander de prendre contact avec fournisseur de NDD et de messagerie pour examiner avec eux s'ils supportent de telles fonctionnalités. Cordialement Philippe
  • 22 Mars 2016
    2016-04-11
    par
    Julien
    Bonjour, Je sais construire des sites et manie le css, touche un peu en php, mais pas plus, je me fais assister par un programmeur. Bref, pour revenir à cet article, étant victime de Spoofing (je crois, je reçois plein d'emails non envoyés par des adresses email de mon NDD qui n'existent pas), il a l'air simple de mettre en place DMARC mais je ne sais pas faire (où aller, où écrire etc). Je suis chez Céléonet. Est-ce que vous pouvez me préciser exactement la démarche à effectuer et si cela serait une solution à ce que je viens de décrire ? Merci bcp d'aider un débutant en "protection messagerie" :) Julien.
  • 12 Mai 2015
    2016-04-11
    par
    Guillaume
    Bonjour, Après avoir paramétré son champ DMARC, on reçoit bien des rapports de Google, Yahoo et même du CHU de Dijon, mais pas de Orange. Comment fait-on pour recevoir des rapports RUA/RUF de la part de orange.fr/orange.com ? Cordialement,
    Guillaume

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage