La sécurité du courrier électronique est bien plus importante qu'il n'y paraît à première vue. Nous savons tous que la messagerie électronique est l'une des zones les plus touchées par le phishing de données personnelles et d'informations sensibles.

Les pirates sont de plus en plus habiles à créer des messages d'apparence authentique qui incitent le plus grand nombre à cliquer sur un appel à l'action et à fournir aux usurpateurs les informations qu'ils recherchent, souvent des données de connexion et un accès financier.

Authentification des e-mails - qu'est-ce que c'est ?

L'authentification des e-mails est le système conçu pour protéger votre réputation en vérifiant, lorsque vous envoyez une campagne d'e-mailing, que vous êtes bien celui que vous prétendez être. Les quatre concepts sont assez simples, mais le paramétrage de chacune des méthodes peut être délicat. Cependant, la protection offerte lorsqu'elles sont combinées est aussi bonne que ce que vous pouvez mettre en place avec nos systèmes actuels.

Quelles sont les méthodes possibles ?

Les quatre méthodes typiques d'authentification du courrier électronique sont aujourd'hui les suivantes :

  1. SPF - Sender Policy Framework
    Cette norme effectue la vérification initiale pour s'assurer que chaque courriel provient d'une adresse IP de confiance.
  2. DKIM - DomainKeys Identified Mail (courrier identifié par des clés de domaine)
    Un autre contrôle d'identité, mais cette fois en utilisant une clé de chiffrement comme signature numérique.
  3. DMARC - Domain Message Authentication Reporting and Conformance (rapport et conformité de l'authentification des messages de domaine)
    DMARC veille à ce que le courrier électronique réponde aux critères SPF et DKIM avant d'être livré.
  4. BIMI - Indicateurs de marque pour l'identification des messages
    BIMI effectue une dernière vérification, en se concentrant sur la crédibilité de l'expéditeur et en affichant l'image de marque de l'expéditeur dans la boîte de réception du destinataire (lorsque cela est actuellement possible).

Nous allons examiner plus en détail chacun d'entre eux un peu plus loin, mais nous allons d'abord vous expliquer pourquoi ils sont si importants et vous expliquer un peu comment ils fonctionnent.

Comment fonctionne l'authentification des e-mails ?

Chacune des méthodes d'authentification (SPF DKIM DMARC BIMI) applique une couche de sécurité à vos messages électroniques en utilisant votre domaine de messagerie pour vérifier que vous êtes bien celui que vous prétendez être.

  1. L'expéditeur définit la politique/les règles d'authentification de son domaine.
  2. Ils configurent ensuite le DNS du domaine et les serveurs de messagerie pour mettre en œuvre ces règles.
  3. Les serveurs des destinataires vérifient le courrier électronique entrant en le comparant aux règles fixées dans le DNS du domaine.
  4. En cas d'authentification, le serveur du destinataire traite le courriel en toute sécurité ; si l'authentification échoue, le message est bloqué, mis en quarantaine ou géré conformément à la décision d'authentification.

Quels sont les avantages ?

Comme vous pouvez le constater, si vous ne configurez pas l'authentification de vos courriels, vous risquez de voir les courriels rejetés, le taux de spam augmenter et le taux de livraison diminuer.

Vos messages soigneusement réfléchis, magnifiquement conçus et créés ont beaucoup moins de chances d'atterrir dans les boîtes de réception auxquelles ils sont destinés.

Pire encore, si vos méthodes d'authentification des e-mails ne sont pas en place, votre marque est beaucoup plus facile à usurper, ce qui vous expose, vous et vos clients, à des attaques par e-mail, des piratages et des hameçonnages.

Configuration de l'authentification des e-mails

Pour configurer votre domaine afin de gérer chaque méthode d'authentification, vous devez avoir accès aux paramètres DNS (Domain Name System) par le biais de votre service d'enregistrement de domaine.

Une fois que vous aurez accédé aux paramètres DNS, vous ajouterez divers enregistrements TXT et CNAME à votre domaine.

Pour connaître les valeurs des paramètres de votre domaine, vous devez vérifier auprès de vos hôtes de messagerie. Ils vous fourniront les paramètres de vos enregistrements SPF, généreront votre sélecteur DKIM à partir de leur zone d'hébergement et vous montreront comment mettre en œuvre votre politique DMARC, car les hôtes diffèrent souvent dans leur configuration.

Vous ajouterez un autre enregistrement TXT pour inclure un enregistrement BIMI, comprenant le chemin d'accès à votre fichier d'image de marque.

SPF - Sender Policy Framework

SPF est l'authentification standard créée aux premiers jours du développement du courrier électronique. Alors qu'elle convenait aux premiers systèmes de courrier électronique, elle pose plusieurs problèmes aux méthodes de courrier modernes. C'est pourquoi il est nécessaire d'utiliser les quatre méthodes pour offrir une forme de couverture complète.

Les enregistrements SPF sont stockés en texte clair dans le DNS du domaine et déterminent les adresses IP autorisées à envoyer des messages à partir du domaine.

Lorsque le serveur de messagerie du destinataire effectue une consultation DNS pour récupérer l'enregistrement SPF, il utilise la valeur dans le chemin de retour du message.

Problèmes avec l'authentification SPF

Syntaxe - Bien qu'il s'agisse d'enregistrements de texte, la syntaxe peut être délicate lors de la saisie des enregistrements DNS. S'ils ne sont pas précis, l'authentification échouera, même si le message et l'expéditeur sont authentiques.

Identification des adresses IP autorisées - Les systèmes partagés, tels que les plateformes en nuage, peuvent héberger plusieurs services avec des adresses IP attribuées dynamiquement. Bien que l'IP puisse être déterminée et autorisée, n'importe qui d'autre peut également utiliser la même IP partagée en utilisant votre enregistrement SPF.

SPF peut être usurpé - SPF utilise le champ caché du chemin de retour pour l'authentification, et non le champ "de", que les destinataires peuvent clairement voir. Un pirate, qui cherche à obtenir des informations, peut présenter une adresse de retour cachée. valide qui cherchent un domaine et une adresse électronique dans le champ "de", mais qui ont leur propre adresse électronique comme chemin de retour, en utilisant leur propre système d'authentification pour passer les contrôles du serveur.

SPF ne prend pas en charge le transfert d'e-mails - Un serveur destinataire ne validera pas un message transféré car le domaine d'identification semble être celui du serveur de transfert et non le domaine d'origine.

Comme vous le voyez, ce qui était autrefois une méthode acceptable est aujourd'hui maintenant significativement défectueux. Il fournit les éléments de base sur lesquels on peut s'appuyer pour améliorer la sécurité globale. Cependant, en tant que méthode autonome, elle n'est pas adaptée à la technologie actuelle.

 

DKIM - DomainKeys Identified Mail (courrier identifié par des clés de domaine)

DKIM utilise un cryptage à clé publique/privée pour signer les messages électroniques. Il vérifie que les messages ont été envoyés par le domaine et qu'ils n'ont pas été modifiés en cours de route.

Il s'agit d'une méthode d'authentification plus sûre, car elle permet de s'assurer que le message n'a pas été modifié au cours de sa transmission. Un autre avantage est que l'authentification DKIM survit aux transferts d'e-mails.

Le propriétaire du domaine crée des clés cryptographiques par paires : publique et privée. La clé publique est placée dans un enregistrement TXT sur le DNS du domaine. Lorsqu'un courriel est envoyé, un "hash" est généré à partir du contenu du message. Ce hachage est crypté avec la clé privée du domaine et joint à l'en-tête de l'e-mail.

Le serveur de messagerie du destinataire lit les informations cryptées à l'aide de la clé publique hébergée dans le DNS, et si tout concorde, l'authentification est accordée.

Sélecteurs DKIM

Chaque domaine peut utiliser plusieurs sélecteurs. Ces valeurs sont utilisées pour identifier des propriétés uniques, par exemple des sous-domaines, des utilisateurs, des emplacements et des services. Chaque sélecteur fonctionne à l'aide de sa propre clé publique, renonçant ainsi à une clé unique et partagée pour toutes les éventualités.

Problèmes avec l'authentification DKIM

Signatures non concordantes - Une signature DKIM valide peut utiliser un domaine complètement différent de celui indiqué dans le champ "from". Le phishing à partir d'un autre domaine de messagerie devient ainsi un processus simple.

Sécurité des clés - Un pirate signant des messages en utilisant le domaine d'un autre utilisateur pourrait faire valider parfaitement ses courriels en utilisant la clé privée de ce domaine.

Mise en œuvre et gestion des clés - Les clés longues et plus sûres peuvent poser des problèmes lorsqu'elles sont appliquées au DNS du domaine. Ces longues chaînes de données peuvent facilement être mal appliquées, même lors d'un copier-coller.

Pour tirer le meilleur parti de DKIM, il faut l'associer à DMARC, ce qui met en jeu le domaine utilisé dans le champ "from". Vous pouvez maintenant voir comment chaque système dépend de sa méthode précédente pour créer un système d'authentification complet et efficace.

DMARC - Domain Message Authentication Reporting and Conformance (rapport et conformité de l'authentification des messages de domaine)

Comme nous l'avons déjà mentionné, DMARC impose l'utilisation du domaine défini dans le champ from afin d'empêcher les pirates et les attaquants d'utiliser d'autres domaines pour contourner les contrôles de sécurité.

Il comprend également un mécanisme de rapport qui permet à l'expéditeur de décider ce qu'il doit faire des résultats de l'authentification. L'enregistrement DMARC contrôle où et comment les serveurs destinataires envoient les rapports.

En effet, DMARC comble les lacunes entre SPF et DKIM et améliore la qualité de l'information. la délivrabilité du courrier électronique. Les spammeurs ne peuvent plus abuser de ces domaines protégés ; la réputation du domaine se renforce donc, ce qui améliore sans cesse les taux de délivrabilité.

Application de la norme DMARC

L'enregistrement DMARC dicte ce qu'il faut faire avec les courriels qui ne sont pas autorisés. La politique a trois résultats : ne rien faire, mettre en quarantaine ou rejeter. Un rapport DMARC avertit le détenteur du domaine de l'origine de ces messages non autorisés, lui fournissant des informations essentielles sur la violation et sur ce qu'il peut faire pour prendre des mesures de protection supplémentaires.

BIMI - Indicateurs de marque pour l'identification des messages

On espère que l'inclusion de l'authentification des courriels par BIMI permettra d'augmenter de 10% l'engagement grâce à la facilité de livraison - un chiffre à ne pas prendre à la légère.

Étant donné que cette méthode d'authentification n'en est qu'à ses débuts et que de nombreux fournisseurs de services de messagerie électronique ne l'ont pas encore introduite, les utilisateurs peuvent prendre plusieurs mesures pour s'assurer qu'ils sont prêts pour le grand déploiement lorsqu'elle arrivera enfin sur nos serveurs.

Une chose est sûre, étant donné que Google inclut l'intégration du BIMI dans G Suite, ce ne devrait être qu'une question de temps avant que le reste du monde ne rattrape son retard.

Comment se préparer au BIMI ?

Pour activer l'authentification des e-mails BIMI, vous devez d'abord authentifier vos e-mails avec SPF, DKIM et DMARC, en assurant l'alignement (le domaine est le même partout). La politique DMARC doit être appliquée à la quarantaine ou au rejet, et le DNS du domaine doit avoir l'enregistrement BIMI correct.

Vous devrez également héberger un fichier logo approprié en tant que lien pour que l'authentification résultante s'affiche dans les boîtes de réception de vos destinataires. Votre logo devra être au bon format SVG et éventuellement accompagné d'un VMC (Verified Mark Certificate) pour authentifier le fichier.

Authentification complète pour vos campagnes d'emailing

Nous avons appris que chacune de ces méthodes ne constitue pas à elle seule une solution unique pour vous simplifier la vie. Cependant, avec un peu de travail pour rassembler tous les systèmes en un seul, vous serez beaucoup plus sûr de la livraison de vos campagnes et messages par e-mail que vous ne pourriez l'être... jamais être sans eux.

Le temps et les efforts nécessaires en valent la peine s'ils garantissent la protection de votre service et de vos abonnés et s'ils augmentent la connectivité et le rendement de votre marketing.

Nettoyage de liste par Bouncer