La sécurité des e-mails est un enjeu majeur pour les entreprises, car des milliards de courriers électroniques sont envoyés et reçus chaque jour – souvent avec des contenus sensibles. Les attaques telles que le phishing et le spoofing menacent non seulement la protection des données, mais aussi la fiabilité du domaine de l’expéditeur. C’est précisément là qu’interviennent les protocoles de sécurité des e-mails DKIM et DMARC: ils garantissent l’authentification des e-mails, la vérification des expéditeurs et la protection du trafic des e-mails contre toute manipulation.
Toutefois, pour pouvoir fonctionner efficacement, DKIM et DMARC ont également besoin du «Sender Policy Framework», SPF en abrégé. Cette méthode d’authentification détermine quels serveurs sont autorisés à envoyer des e-mails pour le compte d’un domaine. SPF, DKIM et DMARC forment ensemble un système de protection puissant qui complique considérablement la tâche des pirates souhaitant manipuler des e-mails. Dans cet article, nous vous expliquons pourquoi les propriétaires de domaines devraient absolument activer ces mesures de protection.
SPF – protection contre les expéditeurs falsifiés
Le SPF («Sender Policy Framework») constitue un élément important de l’authentification des e-mails et travaille en synergie avec DKIM et DMARC afin d’offrir une solution de sécurité complète. Le SPF permet de contrôler si le serveur d’envoi est autorisé à envoyer des e-mails pour le compte d’un certain domaine.
Le propriétaire d’un domaine dépose un enregistrement SPF dans la zone DNS de son domaine. Cet enregistrement contient une liste d’adresses IP et de serveurs autorisés à envoyer des e-mails pour le compte de ce domaine. Lorsqu’un serveur de messagerie destinataire reçoit un e-mail, il vérifie l’enregistrement SPF du domaine expéditeur et compare l’adresse IP du serveur expéditeur avec les adresses autorisées dans l’enregistrement SPF. Si le contrôle est positif, on considère qu’il s’agit d’un e-mail légitime. Autrement, le message peut être rejeté ou marqué comme spam.
Un enregistrement SPF permet donc d’éviter que des pirates ne puissent envoyer des e-mails depuis des serveurs non autorisés prétendant provenir d’un domaine légitime. Afin de garantir une distribution fiable des e-mails, il convient d’utiliser le serveur sortant valide prescrit par des fournisseurs d’hébergement Web comme Hostpoint. Cela permet de limiter le risque que des e-mails soient rejetés par le destinataire en raison d’un contrôle SPF négatif.
DKIM – protection contre la manipulation des e-mails
DKIM («DomainKeys Identified Mail») une méthode d’authentification des e-mails qui consiste à ajouter une signature numérique aux e-mails. Cette signature permet au destinataire de vérifier si l’e-mail provient effectivement du serveur du domaine expéditeur et si le contenu du message n’a pas été modifié. Pour ce faire, DKIM utilise une méthode de cryptage asymétrique composée de deux clés. Lorsqu’un e-mail est envoyé par un domaine, le serveur de messagerie de l’expéditeur crée une signature numérique qui est enregistrée dans un en-tête spécial de l’e-mail. Cette signature est créée à l’aide d’une clé privée connue uniquement de l’expéditeur.
Le serveur de messagerie destinataire, quant à lui, peut utiliser la clé publique stockée dans la zone DNS du domaine de l’expéditeur pour vérifier la signature. Si la valeur de hachage qu’il a calculée correspond à celle contenue dans l’e-mail, il est clair que le message est authentique et non modifié.
Avec DKIM, il est plus facile de détecter les e-mails manipulés. Cela protège aussi bien l’expéditeur que le destinataire des attaques par phishing et usurpation d’adresse e-mail (spoofing). Pour les entreprises, DKIM réduit en outre la probabilité que leurs e-mails se retrouvent par erreur dans le dossier spam. En cas d’envoi d’e-mails en masse, l’utilisation de DKIM est déjà obligatoire chez certains fournisseurs (p. ex. Google, Yahoo).
Depuis mai 2024, Hostpoint active automatiquement DKIM pour tous les domaines qui ont été attribués à un hébergement Web ou à un groupe Cloud Office. Pour les domaines plus anciens, cette opération doit être effectuée manuellement, ce qui est expliqué plus en détail dans ces instructions. Par défaut, Hostpoint crée trois enregistrements DKIM par domaine avec différents types de clés (rsa1024, rsa2048, ed25519) afin qu’un maximum de destinataires puisse valider la signature. Pour une contrôle DKIM réussi, il suffit qu’au moins une des signatures puisse être vérifiée.
Si Hostpoint doit être utilisé pour le trafic d’e-mails et que DKIM doit être activé pour des domaines gérés en externe, DKIM doit être activé chez Hostpoint et les indications DKIM doivent ensuite être enregistrées auprès du fournisseur DNS externe. Pour des instructions précises, nous vous recommandons de consulter l’article de notre Centre d’assistance.
Conseil:
Il existe sur Internet divers outils (appelés p. ex. «DKIM Test» ou «DKIM Record Checker») qui vous permettent de tester si DKIM est correctement configuré et si vos e-mails sont correctement signés.
DMARC – règles pour les e-mails non authentifiés
DMARC («Domain-based Message Authentication, Reporting and Conformance») offre une couche de protection supplémentaire et s’appuie sur DKIM et SPF afin que ceux-ci puissent déployer pleinement leurs effets.
Avec DMARC, les propriétaires de domaine peuvent définir comment les e-mails qui ne passent pas le contrôle SPF ou DKIM doivent être traités. Ils peuvent décider si de tels e-mails doivent être déplacés vers le dossier spam ou rejetés directement. Trois directives DMARC sont disponibles à cet effet:
-
None (aucun):les e-mails sont transmis comme d’habitude, indépendamment du résultat du contrôle d’authentification, et affichés dans la boîte de réception du destinataire. Cette option n’est pas disponible chez Hostpoint.
-
Quarantine (quarantaine): les e-mails sont acceptés par le serveur de messagerie du destinataire, mais sont déplacés vers le dossier spam ou de courrier indésirable (Junk).
-
Reject (rejeter): les e-mails sont refusés par le serveur de messagerie et ne sont pas distribués, l’expéditeur étant généralement informé de l’échec de la distribution.
Chez Hostpoint, la directive «Quarantine» est configurée par défaut. Cela peut être modifié via le Control Panel Hostpoint.
Il est recommandé d’utiliser d’abord la directive de quarantaine DMARC. Cela permet de déplacer les e-mails suspects dans le dossier spam afin de tester leur recevabilité avant de mettre en place des mesures plus strictes comme le rejet complet.
DMARC permet aux entreprises de réduire considérablement les abus de leurs domaines par des attaques de phishing et d’usurpation d’adresse e-mail. Ce protocole protège non seulement le destinataire de l’e-mail, mais aussi la réputation de l’expéditeur en garantissant que seuls les messages légitimes parviennent aux destinataires.
Remarque:
Depuis août 2024, Hostpoint active automatiquement DMARC pour tous les domaines qui ont été attribués à un hébergement Web ou à un groupe Cloud Office. Dans tous les autres cas, une activation manuelle est possible. Des instructions pour l’activation de DMARC sont disponibles ici.
Pourquoi les propriétaires de domaines devraient-ils utiliser DKIM et DMARC?
Pour les propriétaires de domaines et les entreprises, la mise en œuvre de DKIM et de DMARC constitue un outil important pour sécuriser la communication par e-mail. Ces technologies offrent une protection contre le phishing, le spoofing et d’autres menaces pouvant provenir d’e-mails manipulés ou falsifiés.
Un des scénarios les plus fréquents est celui d’attaques de phishing, où les pirates envoient des e-mails falsifiés en prétendant qu’ils proviennent d’une entreprise légitime. Dans le cas des attaques par spoofing, les fraudeurs tentent de falsifier l’adresse de l’expéditeur afin d’envoyer des e-mails au contenu malveillant.
Avec DKIM et DMARC, de telles tentatives de manipulation d’e-mails sont, selon la configuration, soit placées sans succès dans le dossier spam, soit directement bloquées avant même d’atteindre le destinataire. Parallèlement, les e-mails légitimes sécurisés par ces technologies sont moins souvent bloqués par les filtres anti-spam. Cela augmente la probabilité que ces messages arrivent en toute sécurité dans la boîte de réception du destinataire. Néanmoins, une certaine vigilance est toujours de mise face au phishing, car même les méthodes les plus sûres n’offrent pas une protection absolue.
Si vous avez des questions sur DKIM, DMARC ou d’autres sujets en lien avec la sécurité des e-mails, le service d’assistance Hostpoint se tient à votre disposition. Notre équipe se fera un plaisir de vous aider à mettre en place et à configurer ces mesures de protection afin de sécuriser votre communication par e-mail.
Contactez-nous par e-mail à l’adresse support@hostpoint.ch ou par téléphone au 0844 04 04 04 – nous sommes à votre disposition 7 jours sur 7, de 8h à 18h, dans votre langue!
