SPF, DKIM et DMARC : Comment ça fonctionne ? 

En 2024, l’authentification des emails envoyés par votre entreprise est cruciale. SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) et DMARC (Domain-based Message Authentication, Reporting and Conformance) forment ensemble une solution robuste qui contribue à la sécurisation des communications par email. 

Les noms de domaine et les outils de messagerie utilisés par votre entreprise sont-ils correctement configurés ? 

Si c’est le cas, vos domaines disposent d’un enregistrement DMARC définissant une politique stricte (« reject »), et vos envois d’emails sont tous authentifiés par DKIM. 

Dans le cas contraire ou si vous n’êtes pas sûr, cet article est fait pour vous !

Les prérequis pour sécuriser vos emails avec SPF, DKIM et DMARK

Si vous souhaitez vous lancer après la lecture de cet article, voici les ressources nécessaires à l’implémentation de ces technologies : 

  • Accès à la gestion DNS de votre (vos) nom(s) de domaine 
  • Liste de tous les services tiers utilisés par votre entreprise pour l’envoi d’emails (en cas de doute, nous proposons un audit (lien)) 
  • Accès administrateur à l’interface de configuration de ces plateformes d’envoi d’emails 

SPF (Sender Policy Framework) 

SPF répond au besoin de vérifier que le serveur expéditeur d’un email est autorisé à envoyer des messages pour un domaine donné. 

Fonctionnement technique : 

Un enregistrement TXT (débutant par « v=spf1 ») est ajouté dans la zone DNS de votre domaine, listant les adresses IP autorisées à expédier des emails en votre nom. 

  • Cette liste peut contenir des liens vers une liste maintenue par une autre organisation, par exemple l’ajout de « include:spf.protection.outlook.com » dans le SPF de votre nom de domaine autorise la totalité des serveurs d’envoi de Microsoft Exchange Online à émettre des emails en votre nom, vous évitant des mises à jour régulières. 

Lors de la réception d’un email, le serveur destinataire vérifie l’adresse IP de l’expéditeur par rapport à cet enregistrement SPF. 

  • Si DMARC n’est pas encore configuré sur votre nom de domaine, l’antispam du destinataire peut tout de même suivre l’instruction présente à la fin de votre enregistrement TXT SPF, par exemple « -all » recommande de refuser les emails en provenance d’une IP non autorisée par votre domaine.
Avis d’Openhost  

SPF est un bon point de départ pour l’authentification email, et a longtemps été le mécanisme le plus utilisé en raison de sa simplicité de mise en oeuvre, il est même très probable qu’il soit déjà configuré pour votre nom de domaine. 

Comparé à DKIM, SPF possède cependant plusieurs faiblesses qui le rendent partiellement obsolète : 

  • Si vous autorisez les IP d’une plateforme mutualisée (comme celle de Microsoft avec « include:spf.protection.outlook.com ») vous faites confiance à celui-ci pour empêcher que ses autres clients n’usurpent votre nom de domaine. 
  • SPF ne permet pas d’affirmer qu’un email n’a pas été altéré pendant son transport entre l’expéditeur et le destinataire. 
  • Utilisé seul, SPF effectue l’autorisation sur le header d’adresse « return-path » (et non sur le header « from »), ce qui laisse de nombreuses possibilités pour tromper la vigilance du destinataire.  
  • Si votre entreprise utilise plusieurs plateformes pour ses envois (Adresses emails des collaborateurs, newsletter marketing, confirmations de commande, etc.) attention à ne pas dépasser la limite de 10 recherches DNS dans votre enregistrement SPF, ce qui le rendrait inopérant ! 

SPF doit donc être combiné avec – ou remplacé par – DKIM et DMARC pour une protection optimale.  

DKIM (DomainKeys Identified Mail) 

DKIM répond au besoin de garantir l’intégrité du contenu de l’email et d’authentifier le domaine d’envoi. 

Fonctionnement technique :

  • Une paire de clés cryptographiques est générée : une clé privée stockée sur le serveur d’envoi et une clé publique publiée dans un enregistrement DNS sur votre nom de domaine. 
    • On utilise généralement deux paires de clés (pour faciliter la rotation), cela pour chaque plateforme d’envoi utilisée par votre entreprise (pour permettre une gestion indépendante).
  • Le serveur d’envoi signe chaque email avec la clé privée. 
  • Le serveur de réception vérifie la signature avec la clé publique récupérée via DNS. 
Avis d’Openhost

Comparé à SPF, DKIM en comble la plupart des faiblesses (et la totalité quand combiné avec DMARC) :  

  • Même sur une plateforme mutualisée entre plusieurs clients (type SaaS ou PaaS), les emails de chaque client sont authentifiés avec des clés DKIM propres à chaque client. 
  • Pas de limitation non plus sur le nombre de sources autorisées pour votre domaine.
  • Contrairement à SPF, la signature DKIM de (certains headers de) l’email permettent de confirmer que celui-ci n’a pas été modifié pendant son transport. 

Qu’il s’agisse des adresses email de vos employés, des confirmations de commande de votre site e-commerce, ou de l’outil utilisé par votre service marketing pour ses newsletters, il n’existe aujourd’hui plus aucune plateforme sérieuse qui ne supporte pas la configuration de DKIM. 

Aucune excuse donc pour ne pas authentifier tous vos envois et verrouiller ensuite l’ensemble avec une politique DMARC stricte ! 

DMARC (Domain-based Message Authentication, Reporting and Conformance) 

DMARC répond au besoin de définir une politique de traitement pour les emails qui échouent aux vérifications SPF et DKIM, tout en fournissant un mécanisme permettant aux serveurs de courrier de vos destinataires de vous faire parvenir des statistiques sur les emails qu’ils reçoivent en provenance des noms de domaine de votre entreprise, sorte de « feedback » permettant d’alerter sur des tentatives d’usurpation, ou au contraire, que tout est correctement configuré. 

Fonctionnement technique : 

  • Un enregistrement TXT DMARC est publié dans la zone DNS du domaine. 
  • Cet enregistrement spécifie la politique à appliquer (ne rien faire, mettre en quarantaine, ou rejeter : le mode « strict ») et les adresses email pour recevoir les rapports.
  • Les serveurs de réception appliquent cette politique et envoient périodiquement des rapports aux domaine d’expédition. 
Avis d’Openhost

DMARC est la pièce maîtresse de l’authentification email moderne. Son déploiement progressif (d’abord en mode monitoring, puis en quarantaine, et enfin en rejet) permet une transition en douceur vers une sécurité renforcée, sans risquer de perturber votre activité. 

Cette politique (ou son absence !) est visible publiquement sur les noms de domaine de votre entreprise, tout le monde peut donc voir que chez vous, la sécurité des emails est un sujet pris au sérieux. 

C’est d’ailleurs pour cette raison que les antispams de vos destinataires accorderont un surplus de confiance à vos emails en voyant votre politique DMARC en mode strict : il est statistiquement plus probable que le message soit légitime. 

Alignement DKIM et DMARC

L’alignement assure que le domaine dans l’en-tête « From » correspond au domaine authentifié par DKIM. 

Fonctionnement technique : 

  • DMARC vérifie que le domaine signé par DKIM (ou vérifié par SPF) correspond au domaine visible par l’utilisateur.
  • Deux modes d’alignement : strict (correspondance exacte) ou relâché (sous-domaine accepté). 
Avis d’Openhost

Ce mécanisme corrige une des faiblesses du SPF pour prévenir les attaques sophistiquées.  

De plus, pour les grandes entreprises ou celles qui utilisent de nombreux flux emails différents, une bonne pratique est de les répartir sur des sous-domaines différents (ex: order-confirmation.entreprise.com, newsletter.entreprise.com, etc.), ainsi, un incident de sécurité sur l’une des plateformes ne permettrait pas à l’attaquant d’usurper vos autres sous-domaines ou votre domaine racine. C’est ici que le mécanisme d’alignement strict prend son sens. 

Rapports DMARC 

Les rapports DMARC fournissent une visibilité inédite sur l’utilisation de votre domaine email. 

Fonctionnement technique : 

  • Deux types de rapports : agrégés (quotidiens, statistiques) et détaillés (par message, en cas d’échec).
  • Les rapports sont envoyés au format XML à l’adresse spécifiée dans l’enregistrement DMARC. 
Avis d’Openhost

L’analyse de ces rapports est essentielle pour identifier les sources légitimes d’emails parfois oubliées (services marketing, sous-traitant, etc.) et les tentatives d’usurpation. Nous recommandons l’utilisation d’outils d’analyse spécialisés pour tirer le meilleur parti de ces données, en particulier lors du projet initial d’adoption de DMARC, mais également à plus long terme pour être alerté en cas de problème.

Qu’est ce qu’il faut en retenir ?

La mise en place de SPF, DKIM et DMARC représente un pas important vers une sécurité email robuste. Ces technologies, bien que complexes, offrent une protection inégalée contre l’usurpation d’identité et améliorent significativement la délivrabilité des emails légitimes. 

Chez Openhost, nous sommes experts dans le déploiement et la configuration de ces protocoles, notamment dans l’environnement Microsoft 365. Notre approche méthodique garantit une transition en douceur vers une authentification email renforcée, adaptée aux besoins spécifiques de votre entreprise. 

N’attendez plus pour sécuriser vos communications email. Contactez Openhost au 02 51 831 839 ou via notre formulaire de contact pour bénéficier de notre expertise en configuration SPF, DKIM et DMARC sur Microsoft 365. 

Documentation officielle Microsoft 

Article technique détaillé (en anglais) de notre partenaire DMARCLY 

FAQ avec Openhost

Combien de temps prend généralement la mise en place complète de SPF, DKIM et DMARC ?

Le déploiement complet prend généralement de 4 à 8 semaines, incluant une période d’observation en mode monitoring DMARC. 

Puis-je mettre en place ces protocoles par étapes ? 

Oui, c’est même recommandé. Nous commençons généralement par SPF, puis DKIM, et enfin DMARC en mode monitoring avant de passer à une politique plus stricte

Ces protocoles affecteront ils la réception de mes emails ? 

Non, ces protocoles n’affectent que les emails sortants. Cependant, ils peuvent améliorer la délivrabilité de vos emails chez vos destinataires. 

Que se passe-t-il si un email légitime échoue à l’authentification ? 

C’est pourquoi nous recommandons une approche progressive, en commençant par une politique DMARC en mode monitoring. Cela nous permet d’identifier et de corriger ces cas avant de passer à une politique plus stricte. 

Ces protocoles fonctionnent-ils avec des services d’envoi d’emails tiers ? 

Oui, mais cela nécessite une configuration appropriée. Nous vous aiderons à identifier tous vos services d’envoi d’emails et à les inclure dans votre configuration SPF, DKIM et DMARC.

Autres actualités