Imaginez envoyer un courriel important à un client et qu'il atterrisse dans son dossier de courriers indésirables ou qu'il ne le reçoive jamais. Pire encore, imaginez que quelqu'un usurpe votre nom de domaine et envoie des courriels frauduleux en votre nom, ce qui conduit à des attaques par hameçonnage et à des usurpations d'identité.

Ces scénarios peuvent vous paraître improbables, mais ils sont étonnamment fréquents. Consultez les statistiques ci-dessous :

  • Presque 45.6% de tous les courriels envoyés dans le monde entier ont atterri dans les dossiers de courriers indésirables des destinataires.
  • 96 % La plupart des attaques de phishing sont réalisées par courrier électronique.

C’est pourquoi les protocoles d’authentification des e-mails sont importants. Ce guide détaillé explore en profondeur les quatre principaux protocoles d’authentification des e-mails (DKIM, DMARC, SPF et BIMI) et les outils de validation à utiliser. Mais d’abord :

Qu'est-ce que l'authentification des e-mails ?

L'authentification des courriels est le processus de vérification de la légitimité d'un message électronique. Elle repose sur l'utilisation de plusieurs protocoles permettant de confirmer que le courriel provient bien de l'expéditeur indiqué et que son contenu n'a pas été altéré lors de sa transmission.

L'authentification des courriels est essentielle pour tous les expéditeurs, mais elle est particulièrement importante pour les entreprises et les organisations qui dépendent fortement des communications par courriel. En effet, en 2024, Google et Yahoo exiger de tous les expéditeurs de courriels en masse qu'ils configurent les méthodes d'authentification SPF, DKIM et DMARC pour leurs domaines.

Comment fonctionne l'authentification par e-mail

Alors, comment fonctionne l'authentification par e-mail ? Voici une explication du processus :

  1. EnvoiLa première étape consiste à envoyer l'e-mail, ce qui se fait à partir d'un emplacement spécifique. domaine ou sous-domaineLe domaine est l'identifiant unique qui suit le symbole « @ » dans une adresse e-mail. Lors de l'envoi d'un e-mail, le serveur de l'expéditeur ajoute des informations d'authentification à l'en-tête. Ces informations correspondent aux règles que le serveur de messagerie du destinataire utilisera pour authentifier l'e-mail.
  1. Recherche DNSLe serveur de réception effectue une requête DNS (Domain Name System) pour récupérer les enregistrements SPF, DKIM et DMARC du domaine de l'expéditeur. Ces enregistrements contiennent les règles et les clés publiques nécessaires à la vérification du courriel.
  2. Décision de livraisonEn fonction des résultats des vérifications SPF, DKIM et DMARC, le serveur de réception prend une décision finale qui se classera dans les catégories suivantes :
  • LivrerSi le courriel réussit les vérifications SPF, DKIM et DMARC, il est distribué dans la boîte de réception du destinataire. Voici un exemple de courriel distribué ayant réussi les trois vérifications.
  • QuarantineUn courriel qui échoue au contrôle d'authentification mais qui n'est pas considéré comme une menace immédiate est mis en quarantaine. Par exemple, il peut être placé dans le dossier des courriers indésirables, en attendant l'examen par l'administrateur de messagerie.
  • RejeterSi le courriel échoue aux contrôles d'authentification et est jugé suspect ou malveillant, il est rejeté d'emblée. Les courriels sont rejetés renvoyé à l'adresse de l'expéditeur ou jeté.

On pourrait simplement considérer le processus d'authentification des e-mails comme une communication entre le serveur de messagerie expéditeur et le serveur de messagerie destinataire afin de garantir que le message parvienne intact au destinataire.

Protocoles d'authentification de messagerie importants

Chaque protocole d'authentification du courrier électronique traite un aspect spécifique de la sécurité des courriels. Voici un aperçu détaillé de ces piliers de l'authentification du courrier électronique :

1. SPF (Sender Policy Framework)

Le protocole SPF permet aux propriétaires de domaines de créer un enregistrement DNS (Domain Name System) contenant une liste d'adresses IP autorisées à envoyer des courriels depuis ce domaine.

Lorsqu'un courriel est envoyé, le serveur de messagerie destinataire vérifie l'enregistrement SPF pour s'assurer que l'adresse IP d'origine est autorisée. Si l'adresse IP correspond, le courriel est considéré comme authentique.

• Outils de validation :

Parmi les outils permettant de valider les composants d'un enregistrement SPF, on peut citer MXToolbox's SPF Record Check et PowerDMARC's SPF Lookup. Outils Google Postmasteret EasyDMARC SPF Record Checker.

Les outils mesurent les paramètres clés suivants pour garantir que votre enregistrement SPF est correctement configuré et efficace :

  • Adresses IP: L'enregistrement spécifie les adresses IP autorisées.
  • Erreurs de syntaxe: Vérifie la présence d'erreurs de syntaxe dans l'enregistrement SPF.
  • Domaine de l'expéditeurLe domaine figurant dans l'adresse de l'expéditeur est vérifié par rapport à l'enregistrement SPF afin de s'assurer qu'il correspond au domaine autorisé.

Voyons à quoi ressemble un enregistrement SPF de base :

v=spf1 ip4:192.0.2.0/24 ip4:198.51.100.123 include:_spf.google.com ~all

  • v = spf1: Indique la version SPF.
  • ip4:192.0.2.0/24: La plage d'adresses IP autorisées (192.0.2.0 à 192.0.2.255).
  • ip4: 198.51.100.123: L'adresse IP autorisée spécifique (198.51.100.123).
  • inclut :_spf.google.comCette section indique au serveur quelles organisations tierces sont autorisées à envoyer des courriels au nom du domaine. Par exemple, dans notre exemple, les serveurs de messagerie de Google sont autorisés à envoyer des courriels pour ce domaine.
  • ~ Tous lesSpécifie un rejet partiel pour les courriels ne correspondant pas à l'enregistrement SPF. Ils seront marqués comme spam, mais néanmoins acceptés. L'alternative est `-all`, qui indique que les courriels non répertoriés doivent être rejetés.

Bien que le protocole SPF soit très performant, il présente des limites. Par exemple, l'authentification SPF vérifie le domaine de l'expéditeur à l'aide de l'en-tête Return-Path, et non de l'adresse « From » affichée aux destinataires. Par conséquent, les auteurs d'hameçonnage peuvent contourner le contrôle en utilisant un faux domaine dans l'en-tête Return-Path et en falsifiant l'adresse « From ».

C’est pourquoi vous avez besoin d’autres protocoles d’authentification de messagerie pour combler les lacunes.

2. DKIM (DomainKeys Identified Mail)

DKIM vérifie qu'un serveur de messagerie autorisé a envoyé le courriel et que son contenu n'a pas été altéré pendant le transport.

Ce système utilise des techniques cryptographiques pour signer les courriels. Lors de l'envoi d'un courriel, le serveur de messagerie de l'expéditeur génère une signature numérique unique à partir du contenu du courriel et d'une clé privée. Cette signature est ensuite ajoutée à l'en-tête du courriel.

Le serveur de messagerie du destinataire utilise ensuite la clé publique correspondante, publiée dans les enregistrements DNS de l'expéditeur, pour vérifier la signature. Si la signature est valide et correspond à la clé publique, le courriel passe avec succès le contrôle DKIM.

• Outils de validation

Plusieurs outils permettent de vérifier et de résoudre les problèmes de configuration DKIM. Parmi eux, on peut citer DKIMValidator.com, Site24x7 DKIM Validator, SimpleDMARC DKIM Checker, EasyDMARC DKIM Checker, Unspam DKIM Checker et Dmarcian's DKIM Inspector.

Les principaux paramètres validés par ces outils sont les suivants :

  • SignatureLa signature numérique figurant dans l'en-tête du message électronique est vérifiée par rapport à la clé publique publiée dans les enregistrements DNS de l'expéditeur.
  • DomaineLe domaine figurant dans la signature DKIM est vérifié afin de s'assurer qu'il correspond au domaine de l'adresse « De : » du courriel.
  • SélecteurLe sélecteur fait partie de la signature DKIM et spécifie la clé publique à utiliser pour la vérification.

Voici un exemple d'enregistrement DKIM.

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCz4EZLtxhU3jY5EJ/GV6xS…

  • v=DKIM1: Indique la version de DKIM utilisée.
  • k=rsa: Spécifie le type de clé, dans ce cas, RSA.
  • p=…: La clé publique utilisée pour vérifier la signature DKIM.

Le protocole d'authentification des e-mails DKIM, tout comme SPF, présente également des limites. La principale est que si des personnes malveillantes s'emparent de vos clés DKIM, elles peuvent facilement les utiliser pour usurper votre identité.

Il est donc important de changer régulièrement vos clés. Si vous choisissez d'obtenir votre signature DKIM auprès de votre fournisseur de messagerie, évitez ceux qui proposent des signatures similaires à leurs utilisateurs.

Populaires outils de marketing par e-mail comme MailchimpGetResponse et MailerLite facilitent l'authentification DKIM des domaines vous appartenant ou appartenant à votre organisation. Ces outils proposent différentes fonctionnalités et tarifs ; il est donc conseillé de créer un compte d'essai gratuit et de les tester en profondeur.

Le tableau de bord GetResponse vous fournit des conseils pour configurer votre domaine et optimiser la diffusion de vos campagnes e-mail.

3. DMARC (Authentification, rapports et conformité des messages basés sur le domaine)

DMARC s'appuie sur SPF et DKIM. Il ajoute une règle aux enregistrements DNS d'un domaine. Cette règle spécifie l'action à entreprendre lorsqu'un courriel échoue aux vérifications SPF ou DKIM : mise en quarantaine, rejet ou simple analyse de la cause de l'échec.

• Outils de validation

Les outils de validation DMARC incluent PowerDMARC Checker Tool, DMARC-Validator.com, EasyDMARC DMARC Record Checker, DMARC-checker.org et MXToolbox DMARC Check Tool.

Les principaux paramètres validés par ces outils DMARC sont les suivants :

  • Alignement SPF: Garantit que le domaine dans l'en-tête « Return-Path » correspond au domaine dans l'adresse « From » ou est aligné avec celui-ci.
  • Alignement DKIM: Vérifie que le domaine de la signature DKIM correspond au domaine de l'adresse « De ».
  • Domaine: Confirme que les enregistrements DNS nécessaires (DMARC, DKIM, SPF) sont publiés et accessibles

Voici un exemple d'enregistrement DMARC :

v=DMARC1; p=rejeter ; rua=mailto :[email protected]; adkim=s; aspf=s;

  • v=DMARC1 : Indique la présence d’une politique DMARC
  • p=reject : Indique que les courriels qui échouent aux vérifications SPF ou DKIM doivent être rejetés. p=quarantine indique que les serveurs doivent mettre en quarantaine les courriels qui échouent, tandis que p=none signifie que même les courriels qui échouent peuvent être acheminés.
  • rua=mailto :[email protected]Adresse e-mail qui recevra le rapport DMARC. Ce rapport contient des informations précieuses qui peuvent aider les administrateurs à ajuster leurs politiques DMARC.
  • adkim=s et aspf=s : indique que les vérifications DKIM et SPF sont configurées sur « strict ». Vous pouvez également les configurer sur « relâché » en remplaçant le s par un r.

DMARC repose sur une authentification SPF et DKIM correcte ; par conséquent, tout problème avec ces protocoles entraînera un échec au contrôle DMARC.

4. BIMI (Indicateurs de marque pour l'identification des messages)

BIMI est une norme d'authentification des e-mails qui améliore la sécurité et l'expérience utilisateur en permettant aux marques d'afficher leur logo à côté de leur adresse e-mail. courriels authentifiés dans les boîtes de réception des destinataires.

Lorsqu'un e-mail réussit les contrôles d'authentification DMARC, les clients de messagerie compatibles comme Gmail, Apple Mail et Yahoo affichent le logo de la marque dans la boîte de réception. Notez la différence entre les e-mails avec un BIMI et ceux sans.

Source

L'indicateur visuel aide les destinataires à reconnaître votre marque dans leur boîte de réception et les rassure également quant à votre identité en tant qu'expéditeur légitime.

Ces e-mails bénéficieront naturellement de taux d'ouverture et de conversion supérieurs à ceux des e-mails non authentifiés. Pour des résultats optimaux, complétez-les par des pages de destination optimisées à l'aide d'outils tels que Nostra et Intellimize.

• Outils de validation

Les principaux outils que vous pouvez utiliser pour valider les enregistrements BIMI comprennent EasyDMARC BIMI Record Checker, SimpleDMARC's BIMI Checker, GoDMARC BIMI Record Lookup Tool, Valimail BIMI Validator et VeriMarkCert BIMI Checker.

Ces outils de validation BIMI vérifient généralement les paramètres suivants :

  • Présence d'un enregistrement BIMIIls vérifient la présence d'un enregistrement DNS BIMI correctement configuré pour les domaines.
  • Validité du logo: Vérifiez que le fichier logo répond aux spécifications requises et qu'il est accessible via l'URL spécifiée dans l'enregistrement BIMI.

Voici un excellent exemple d'enregistrement BIMI :

v=BIMI1; l=https://your-domain.example/path/to/logo.svg; a=https://your-domain.example/path/to/vmc.pem

  • v=BIMI1: Spécifie la version BIMI.
  • l=https://votre-domaine.exemple/chemin/vers/logo.svg: Indique l'URL de votre logo au format SVG.
  • a=https://votre-domaine.exemple/chemin/vers/vmc.pem: Indique l'URL de votre certificat de marque vérifiée (VMC), qui prouve la propriété du logo

Pour que BIMI fonctionne, le domaine doit disposer de politiques d'authentification DMARC robustes, configurées pour « mettre en quarantaine » ou « rejeter ». Cela signifie que BIMI ne constitue jamais la seule couche de sécurité.

Conclusion

Les protocoles d'authentification des e-mails tels que SPF, DKIM, DMARC et BIMI fonctionnent de concert pour empêcher toute utilisation non autorisée de votre domaine et protéger la réputation de votre marque en tant qu'expéditeur. Cela contribue ainsi à améliorer la délivrabilité de vos e-mails.

Alors, mettez en œuvre ces protocoles d'authentification de messagerie électronique dès aujourd'hui.

N'oubliez pas que les fournisseurs de messagerie, comme Yahoo et Gmail, imposent désormais une authentification des e-mails. Par conséquent, si vous vous demandez encore s'il est nécessaire de vous familiariser avec ces protocoles et leurs outils de validation, la réponse est un oui catégorique.