Comprendre SPF et DKIM pour améliorer la délivrabilité des e-mails

À l'époque des débuts de ‘l'email moderne’, il existait des mécanismes limités pour prendre en charge la vérification de l'expéditeur. Presque tout le spam, les escroqueries et les virus qui se propageaient par email le faisaient en utilisant des informations d'expéditeur falsifiées, comme c'est encore parfois le cas aujourd'hui. Vérifier qui sont réellement les expéditeurs de courriers électroniques était et reste un processus difficile.

Prenons l'exemple de la visite de www.google.com et de la soumission d'une recherche. Vous êtes généralement assez confiant que Google a le contrôle de ce qui vous est renvoyé pour votre recherche et que les résultats de recherche sont sécurisés. Ceci est possible grâce au Domain Name System (DNS)—un réseau distribué de serveurs qui agit comme un annuaire—qui connecte le domaine à une variété d'enregistrements, y compris où trouver le véritable google.com.

L'email utilise une adaptation ultérieure de ce même système pour vérifier les expéditeurs, ce qui est exactement ce qu'est un enregistrement Sender Policy Framework (SPF).

Avantages et Inconvénients Potentiels du SPF

Le SPF est compétent pour prévenir le phishing. Sans cela, le SMTP exposerait votre adresse à ceux qui pourraient la falsifier à des fins de spamming. Avec le SPF en place, lorsqu'un pirate tente d'initier un email depuis votre adresse, la sécurité SPF du serveur de réception le détecte et l'identifie comme invalide. L'utilisation du SPF montre que votre organisation s'engage à se protéger contre les cybermenaces, un signe qui a un impact positif sur votre réputation d'expéditeur.

Lorsqu'un utilisateur en dehors de votre domaine transfère un email qui provient de vous, la livraison peut ne pas se produire en raison d'une discordance entre l'enregistrement IP et l'enregistrement SPF. De nombreux agents d'échange et de transfert de courrier utilisent désormais le Schéma de Réécriture de l'Expéditeur (SRS) pour améliorer la délivrabilité des transferts d'email. L'enregistrement SPF doit également refléter les changements des fournisseurs de services de messagerie tiers pour assurer leur correspondance pour la délivrabilité.

Comment Fonctionne le SPF

Au niveau le plus basique, l'email SPF établit une méthode permettant aux serveurs de réception de vérifier que l'email entrant d'un domaine a été envoyé par un hôte autorisé par les administrateurs de ce domaine. Les trois étapes suivantes décrivent comment fonctionne le SPF :

1. Un administrateur de domaine publie la politique définissant les serveurs de messagerie autorisés à envoyer des emails depuis ce domaine. Cette politique est appelée un enregistrement SPF, et elle est répertoriée comme partie des enregistrements DNS globaux du domaine.

2. Lorsqu'un serveur de courrier entrant reçoit un email entrant, il recherche les règles pour le domaine de rebond (Return-Path) dans le DNS. Le serveur entrant compare ensuite l'adresse IP de l'expéditeur du courrier avec les adresses IP autorisées définies dans l'enregistrement SPF.

3. Le serveur de courrier récepteur utilise alors les règles spécifiées dans l'enregistrement SPF du domaine expéditeur pour décider s'il doit accepter, rejeter ou sinon signaler le message électronique.

Pour faire le premier pas de l'inspection de votre propre enregistrement SPF, vous pouvez le faire avec l'outil gratuit de SparkPost – the SPF Inspector.

Résumé de comment fonctionne le SPF

Une fois que vous avez identifié quels serveurs sont autorisés à envoyer pour le compte d'un domaine, vous pouvez alors créer un enregistrement SPF pour votre domaine grâce au SPF Builder.

La création d'un enregistrement SPF vous rapprochera de l'assurance que l'email légitime provenant de votre domaine est livré avec succès dans les boîtes de réception des clients.

En ce qui concerne la vérification qu'un message électronique a été envoyé par un serveur de messagerie autorisé, c'est là que DKIM entre en jeu.

Avantages et Inconvénients Potentiels de l'Authentification DKIM

Le principal avantage de l'email DKIM est sa capacité à protéger contre les attaques de falsification et de phishing. L'authentification apparaît dans le message lui-même pour empêcher la contrefaçon et protéger les utilisateurs de répondre à des emails illégitimes avec des données personnelles sensibles. Tant la falsification que le phishing ont le potentiel de nuire à votre réputation d'expéditeur et à la délivrabilité future, donc la protection contre les deux est bénéfique.

Créer un email avec DKIM a le même inconvénient potentiel que le SPF en ce qui concerne le transfert des messages. Par exemple, un email qui est automatiquement acheminé d'un ordinateur de bureau à un mobile de l'utilisateur peut apparaître comme illégitime pour le serveur de réception. De nombreux services de messagerie populaires ont résolu ce problème. Un autre défi qui peut se présenter est un DKIM trop court en longueur. Avec plus de support pour les clés plus longues, les plus courtes peuvent ne pas passer l'authentification.

Comment Fonctionne le DKIM

En termes simples, le DKIM fonctionne en ajoutant une signature numérique aux en-têtes d'un message électronique. Cette signature peut ensuite être validée par rapport à une clé cryptographique publique située dans l'enregistrement DNS de l'organisation.

Le propriétaire du domaine publie une clé cryptographique. Celle-ci est spécifiquement formatée comme un enregistrement TXT dans l'enregistrement DNS global du domaine.

Après qu'un message est envoyé par un serveur de messagerie sortant, le serveur génère et attache la signature DKIM unique à l'en-tête du message.

La clé DKIM est alors utilisée par les serveurs de réception de courriers pour détecter et décrypter la signature du message et la comparer à une nouvelle version. Si les valeurs correspondent, le message peut être prouvé authentique, non modifié en transit, et donc, ni falsifié ni altéré.

Vous pouvez valider votre email avec le DKIM Validator.

Résumé de comment fonctionne le DKIM