Afin d’éviter que des personnes malveillantes usurpent votre identité en utilisant le même nom de domaine, il existe des solutions. C’est là que les protocoles d’authentification SPF, DKIM et DMARC entrent en jeu. De la définition de ces termes jusqu’aux étapes à suivre pour définir votre email comme expéditeur légitime.
Plan
- Définition de SPF, DKIM et DMARC
- Pourquoi utiliser les protocoles SPF, DKIM et DMARC ?
- Limites des protocoles SPF et DKIM
- Authentifiez vos domaines avec SPF, DKIM et DMARC
- Configuration d’un enregistrement DNS pour l’authentification SPF
- Configuration d’un enregistrement DNS pour l’authentification DKIM
- Configuration d’un enregistrement DNS pour l’authentification DMARC
Voir la fiche service : PARAMETRER EMAIL AUTHENTIFICATION SPF, DKIM, DMARC
Les définitions de SPF, DKIM et DMARC
La Sender Policy Framework, ou SPF, est une norme d’authentification permettant de faire le lien entre un nom de domaine et une adresse email. Elle consiste à définir le ou les expéditeur(s) autorisé(s) à envoyer des emails avec un domaine donné. Elle permet ainsi aux clients de messagerie (Gmail, Outlook…) de vérifier que l’email entrant d’un domaine vient d’un hôte autorisé par l’administrateur de ce domaine.
Le DomainKeys Identified Mail, ou DKIM, est un protocole d’authentification permettant de faire le lien entre un nom de domaine et un message. Le protocole permet de signer votre email avec votre nom de domaine. L’objectif du protocole DKIM n’est pas uniquement de prouver que le nom de domaine n’a pas été usurpé, mais aussi que le message n’a pas été altéré durant sa transmission.
Le Domain-based Message Authentication, Reporting and Conformance, ou DMARC, est une norme d’authentification complémentaire à SPF et DKIM destinée à lutter plus efficacement contre le phishing et autres pratiques de spamming. Elle permet aux détenteurs de domaines d’indiquer aux FAI (Fournisseurs d’Accès à Internet) et clients de messagerie quelle conduite tenir lorsqu’un message signé de leur domaine n’est pas formellement identifié par une norme SPF ou DKIM.
Pourquoi utiliser les protocoles SPF, DKIM et DMARC ?
Il s’agit des principaux protocoles permettant de vérifier l’identité des expéditeurs. C’est un des moyens les plus efficaces pour empêcher les phishers et autres fraudeurs de se faire passer pour un expéditeur légitime dont ils usurperaient l’identité en utilisant le même nom de domaine.
Il existe un autre avantage, et non des moindres. En effet, la mise en place de ces protocoles permet d’améliorer la délivrabilité des emails envoyés, puisque vous serez mieux identifié(e) par les FAI (Fournisseurs d’Accès à Internet) et clients de messagerie de vos destinataires. Vous optimisez alors vos chances que vos emails arrivent bien dans la boîte de réception de vos destinataires et non dans le dossier “spams” ou “courriers indésirables”.
Ces protocoles sont devenus des normes de l’envoi d’email. Un message expédié sans signature SPF et/ou DKIM est vu avec suspicion par les différents outils d’analyse de l’email.
Limites des protocoles SPF et DKIM
SPF a ses limites. Par exemple, si l’email est transféré, la vérification peut ne pas avoir lieu, puisque l’adresse émettant le message transféré ne sera pas forcément comprise dans la liste des adresses validées par SPF. Il faut donc être le plus exhaustif possible lors de l’ajout de nouvelles adresses à votre enregistrement SPF.
En tant qu’expéditeur, la signature DKIM ne vous empêchera pas d’être considéré comme spammeur si vous n’appliquez pas les bonnes pratiques emailing. Il faudra donc veiller à respecter ces bonnes pratiques lors de la conception du contenu de vos emails : faire attention au ratio texte/image, éviter d’utiliser les mots repérés par les filtres anti-spam comme étant à risque, etc.
Autre point, SPF et DKIM ne spécifient pas l’action à appliquer en cas d’échec de la vérification. C’est là qu’intervient le protocole DMARC en indiquant au serveur du destinataire comment il doit agir si les processus d’authentification de l’expéditeur échouent.
Authentifiez vos domaines avec SPF, DKIM et DMARC
Pour configurer les paramètres d’authentification SPF, DKIM et DMARC de votre domaine, il vous faut accéder aux enregistrements DNS de votre compte d’hébergement (AWS, Google, OVH, Ionos, HostGator, etc.). Si vous ne les trouvez pas ou n’y avez pas accès, votre fournisseur d’hébergement peut vous aider.
Configuration d’un enregistrement DNS pour l’authentification SPF
Deux choses sont à retenir à propos des enregistrements SPF :
Un enregistrement SPF est un enregistrement de type TXT – à ne pas confondre avec le type SPF (utilisable, mais déconseillé).
Il ne doit y avoir qu’un seul enregistrement SPF par domaine. Si vous avez plusieurs enregistrements DNS SPF, les opérateurs de messagerie ne sauront pas lequel utiliser, ce qui pourrait causer des problèmes d’authentification.
Consultez vos enregistrements DNS depuis votre compte d’hébergement : vous ne voyez aucun enregistrement SPF ? Alors créez-en un. Sinon, vous modifierez l’enregistrement SPF existant.
Configuration d’un enregistrement DNS pour l’authentification DKIM
Pour bénéficier de l’authentification DKIM, vous allez devoir créer un nouvel enregistrement DKIM. Contrairement à l’authentification SPF, votre domaine peut comprendre plusieurs enregistrements DNS DKIM sans que cela ne pose problème. Depuis votre compte d’hébergement, créez un nouvel enregistrement DNS de type TXT.
Configuration d’un enregistrement DNS pour l’authentification DMARC
Avant de vous lancer dans l’implémentation de DMARC, soyez bien sûr(e) que SPF et DKIM soient correctement implémentés. Comme indiqué précédemment, DMARC définit la politique à appliquer en cas d’échec de SPF et DKIM, et ce via un enregistrement DNS dédié. Cela requiert une correspondance entre les noms de domaine SPF et DKIM et l’en-tête « From ». DMARC permet ensuite de choisir parmi 3 politiques à appliquer en cas de non-correspondance :
None : aucune action, appliquer la politique locale.
Quarantine : marquage comme spam.
Reject : rejet du message.
A noter pour SPF, DKIM et DMARC : Selon votre hébergeur, vous devrez peut-être insérer des guillemets autour des valeurs TXT. Si vous ne savez pas s’il faut ajouter des guillemets, vous pouvez contacter votre fournisseur d’hébergement.
Pour en savoir plus, consultez nous.
Voir la fiche service : PARAMETRER EMAIL AUTHENTIFICATION SPF, DKIM, DMARC
