En 2024, l’authentification des emails envoyés par votre entreprise est cruciale. SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) et DMARC (Domain-based Message Authentication, Reporting and Conformance) forment ensemble une solution robuste qui contribue à la sécurisation des communications par email.
Les noms de domaine et les outils de messagerie utilisés par votre entreprise sont-ils correctement configurés ?
Si c’est le cas, vos domaines disposent d’un enregistrement DMARC définissant une politique stricte (« reject »), et vos envois d’emails sont tous authentifiés par DKIM.
Dans le cas contraire ou si vous n’êtes pas sûr, cet article est fait pour vous !
Si vous souhaitez vous lancer après la lecture de cet article, voici les ressources nécessaires à l’implémentation de ces technologies :
SPF répond au besoin de vérifier que le serveur expéditeur d’un email est autorisé à envoyer des messages pour un domaine donné.
Fonctionnement technique :
Un enregistrement TXT (débutant par « v=spf1 ») est ajouté dans la zone DNS de votre domaine, listant les adresses IP autorisées à expédier des emails en votre nom.
Lors de la réception d’un email, le serveur destinataire vérifie l’adresse IP de l’expéditeur par rapport à cet enregistrement SPF.
SPF est un bon point de départ pour l’authentification email, et a longtemps été le mécanisme le plus utilisé en raison de sa simplicité de mise en oeuvre, il est même très probable qu’il soit déjà configuré pour votre nom de domaine.
Comparé à DKIM, SPF possède cependant plusieurs faiblesses qui le rendent partiellement obsolète :
SPF doit donc être combiné avec – ou remplacé par – DKIM et DMARC pour une protection optimale.
DKIM répond au besoin de garantir l’intégrité du contenu de l’email et d’authentifier le domaine d’envoi.
Fonctionnement technique :
Comparé à SPF, DKIM en comble la plupart des faiblesses (et la totalité quand combiné avec DMARC) :
Qu’il s’agisse des adresses email de vos employés, des confirmations de commande de votre site e-commerce, ou de l’outil utilisé par votre service marketing pour ses newsletters, il n’existe aujourd’hui plus aucune plateforme sérieuse qui ne supporte pas la configuration de DKIM.
Aucune excuse donc pour ne pas authentifier tous vos envois et verrouiller ensuite l’ensemble avec une politique DMARC stricte !
DMARC répond au besoin de définir une politique de traitement pour les emails qui échouent aux vérifications SPF et DKIM, tout en fournissant un mécanisme permettant aux serveurs de courrier de vos destinataires de vous faire parvenir des statistiques sur les emails qu’ils reçoivent en provenance des noms de domaine de votre entreprise, sorte de « feedback » permettant d’alerter sur des tentatives d’usurpation, ou au contraire, que tout est correctement configuré.
Fonctionnement technique :
DMARC est la pièce maîtresse de l’authentification email moderne. Son déploiement progressif (d’abord en mode monitoring, puis en quarantaine, et enfin en rejet) permet une transition en douceur vers une sécurité renforcée, sans risquer de perturber votre activité.
Cette politique (ou son absence !) est visible publiquement sur les noms de domaine de votre entreprise, tout le monde peut donc voir que chez vous, la sécurité des emails est un sujet pris au sérieux.
C’est d’ailleurs pour cette raison que les antispams de vos destinataires accorderont un surplus de confiance à vos emails en voyant votre politique DMARC en mode strict : il est statistiquement plus probable que le message soit légitime.
L’alignement assure que le domaine dans l’en-tête « From » correspond au domaine authentifié par DKIM.
Fonctionnement technique :
Ce mécanisme corrige une des faiblesses du SPF pour prévenir les attaques sophistiquées.
De plus, pour les grandes entreprises ou celles qui utilisent de nombreux flux emails différents, une bonne pratique est de les répartir sur des sous-domaines différents (ex: order-confirmation.entreprise.com, newsletter.entreprise.com, etc.), ainsi, un incident de sécurité sur l’une des plateformes ne permettrait pas à l’attaquant d’usurper vos autres sous-domaines ou votre domaine racine. C’est ici que le mécanisme d’alignement strict prend son sens.
Les rapports DMARC fournissent une visibilité inédite sur l’utilisation de votre domaine email.
Fonctionnement technique :
L’analyse de ces rapports est essentielle pour identifier les sources légitimes d’emails parfois oubliées (services marketing, sous-traitant, etc.) et les tentatives d’usurpation. Nous recommandons l’utilisation d’outils d’analyse spécialisés pour tirer le meilleur parti de ces données, en particulier lors du projet initial d’adoption de DMARC, mais également à plus long terme pour être alerté en cas de problème.
La mise en place de SPF, DKIM et DMARC représente un pas important vers une sécurité email robuste. Ces technologies, bien que complexes, offrent une protection inégalée contre l’usurpation d’identité et améliorent significativement la délivrabilité des emails légitimes.
Chez Openhost, nous sommes experts dans le déploiement et la configuration de ces protocoles, notamment dans l’environnement Microsoft 365. Notre approche méthodique garantit une transition en douceur vers une authentification email renforcée, adaptée aux besoins spécifiques de votre entreprise.
N’attendez plus pour sécuriser vos communications email. Contactez Openhost au 02 51 831 839 ou via notre formulaire de contact pour bénéficier de notre expertise en configuration SPF, DKIM et DMARC sur Microsoft 365.
Documentation officielle Microsoft
Article technique détaillé (en anglais) de notre partenaire DMARCLY
Le déploiement complet prend généralement de 4 à 8 semaines, incluant une période d’observation en mode monitoring DMARC.
Oui, c’est même recommandé. Nous commençons généralement par SPF, puis DKIM, et enfin DMARC en mode monitoring avant de passer à une politique plus stricte
Non, ces protocoles n’affectent que les emails sortants. Cependant, ils peuvent améliorer la délivrabilité de vos emails chez vos destinataires.
C’est pourquoi nous recommandons une approche progressive, en commençant par une politique DMARC en mode monitoring. Cela nous permet d’identifier et de corriger ces cas avant de passer à une politique plus stricte.
Oui, mais cela nécessite une configuration appropriée. Nous vous aiderons à identifier tous vos services d’envoi d’emails et à les inclure dans votre configuration SPF, DKIM et DMARC.
Pratiquement tous les entrepreneurs du web connaissent l’existence du référencement. Cette technique permet d’améliorer le positionnement d’un site sur les moteurs de recherche. Elle est essentielle pour capter plus de visites et donc pour augmenter les ventes. Le référencement naturel pour être plus compétitif Le succès de l’e-commerce pousse de nombreuses personnes à ouvrir des […]
Lire la suiteLe 26 janvier, Microsoft a annoncé la première Technical Preview d’Azure Stack, sa nouvelle plateforme de cloud hybride. Succédant à l’Azure Pack, Azure Stack prend une nouvelle direction en offrant la possibilité aux entreprises de posséder leur propre version d’Azure On-Premise. Azure Stack est disponible pour déployer votre plateforme Cloud hybride ! Chez Openhost, nous […]
Lire la suiteMicrosoft Endpoint Manager : Quelle solution pour sécuriser vos appareils ? Dans un monde où le travail hybride devient la norme, la sécurisation des appareils professionnels représente un défi majeur pour les entreprises. Microsoft propose différentes solutions de gestion et de sécurisation des terminaux à travers son offre Endpoint Manager. Que vous soyez équipé de […]
Lire la suite