Comment protéger les domaines qui n'envoient pas de courrier électronique ?

La création de ces enregistrements DNS spécifiques permet de protéger les domaines qui n'envoient pas de courrier électronique contre les attaques par usurpation de domaine.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Apprenez quels enregistrements DNS peuvent aider à protéger les domaines qui n'envoient pas d'e-mails.
  • Décrire le fonctionnement de ces types d'enregistrements DNS
  • Comprendre les principaux composants de ces types d'enregistrements DNS.

Copier le lien de l'article

Comment protéger les domaines qui n'envoient pas d'e-mails ?

Les domaines qui n'envoient pas d'e-mails peuvent toujours être utilisés dans le cadre d'attaques d'usurpation d'e-mails ou de phishing , mais il existe des types spécifiques d'enregistrements DNS text (TXT) qui peuvent être utilisés pour étouffer les attaquants. Chacun de ces enregistrements définit des règles sur la façon dont les serveurs de messagerie doivent traiter les courriels non autorisés, ce qui rend plus difficile l'exploitation de ces domaines par les attaquants.

Un enregistrement DNS TXT permet aux administrateurs de domaine de saisir du texte dans le système de noms de domaine (DNS) . Les enregistrements DNS TXT sont utilisés pour des processus tels que l'authentification des e-mails, car ils peuvent stocker des informations importantes que les serveurs peuvent utiliser pour confirmer si oui ou non un domaine a autorisé un expéditeur d'e-mails à envoyer des messages en son nom.

Parmi les exemples de domaines qui n'envoient pas d'e-mails, citons les domaines achetés pour protéger un nom de marque ou pour une activité future. Les domaines défunts ou anciens n'ont pas non plus de raison d'envoyer des e-mails et pourraient bénéficier de ce type d'enregistrement.

Quels sont les différents types d'enregistrements DNS TXT utilisés pour l'authentification des e-mails ?

Il existe trois principaux types d'enregistrements TXT DNS utilisés pour l'authentification des e-mails. Chacun d'entre eux diffère légèrement dans son fonctionnement :

  • Les enregistrements SPF (Sender Policy Framework) répertorient toutes les adresses IP et tous les noms de domaine autorisés à envoyer des e-mails au nom du domaine.
  • Les enregistrements DKIM (DomainKeys Identified Mail) fournissent une signature numérique permettant d'authentifier si l'expéditeur a réellement autorisé le courrier électronique ou non. Cette signature numérique permet également de prévenir les attaques de type "on-path" , dans lesquelles les attaquants interceptent les communications et modifient les messages à des fins malveillantes.
  • Les enregistrements DMARC (Domain-based Message Authentication, Reporting and Conformance) contiennent la politique DMARC d'un domaine. DMARC est un système d'authentification des courriels qui vérifie les enregistrements SPF et DKIM d'un domaine. La politique DMARC indique si les courriels qui échouent aux vérifications SPF ou DKIM doivent être marqués comme spam, bloqués ou autorisés à passer.

À quoi ressemblent ces enregistrements DNS ?

Comme ces enregistrements DNS fonctionnent tous de manière légèrement différente, chacun de leurs composants est unique.

SPF

Les enregistrements SPF peuvent être formatés pour protéger les domaines contre les tentatives d'hameçonnage en rejetant tout courrier électronique envoyé par le domaine. Pour ce faire, un enregistrement SPF doit utiliser le format suivant.

v=spf1 -all

*Note : les enregistrements SPF sont définis directement sur le domaine lui-même, ce qui signifie qu'ils ne nécessitent pas de sous-domaine spécial.

Voici ce que signifient les différents éléments de ce dossier :

  • v=spf1 permet au serveur de savoir que l'enregistrement contient une politique SPF. Tous les enregistrements SPF doivent commencer par ce composant.
  • L'indicateur -all indique au serveur ce qu'il doit faire avec les courriels non conformes ou avec tout expéditeur qui ne figure pas explicitement dans l'enregistrement SPF. Avec ce type d'enregistrement SPF, aucune adresse IP ou domaine n'est autorisé, donc -all indique que tous les e-mails non conformes seront rejetés. Pour ce type d'enregistrement, tous les e-mails sont considérés comme non conformes car il n'y a pas d'adresses IP ou de domaines acceptés.

DKIM

Les enregistrements DKIM protègent les domaines en garantissant que les courriels ont effectivement été autorisés par l'expéditeur à l'aide d'une clé publique et d'une clé privée. Les enregistrements DKIM stockent la clé publique que le serveur de messagerie utilise ensuite pour authentifier que la signature de l'e-mail a été autorisée par l'expéditeur. Pour les domaines qui n'envoient pas d'e-mails, l'enregistrement DKIM doit être configuré sans clé publique associée. Voici un exemple :

Nom Type Contenu
*._domainkey.example.com TXT v=DKIM1 ; p=

 

  • *._domainkey.example.com est le nom spécialisé de l'enregistrement DKIM (où "example.com" doit être remplacé par votre domaine). Dans cet exemple, l'astérisque (appelé joker) est utilisé comme sélecteur, qui est une valeur spécialisée que le fournisseur de services de messagerie génère et utilise pour le domaine. Le sélecteur fait partie de l'en-tête DKIM et le serveur de messagerie l'utilise pour effectuer la recherche DKIM dans le DNS. Le caractère générique couvre toutes les valeurs possibles pour le sélecteur.
  • TXT indique le type d'enregistrement DNS.
  • v=DKIM1 définit le numéro de version et informe le serveur que cet enregistrement fait référence à une politique DKIM.
  • La valeur p permet d'authentifier les e-mails en liant une signature à sa clé publique. Dans cet enregistrement DKIM, la valeur p doit être vide car il n'y a pas de signature/clé publique à laquelle se rattacher.
  • DMARC

    Les politiques DMARC peuvent également contribuer à protéger les domaines qui n'envoient pas d'e-mails en rejetant tous les e-mails qui échouent aux contrôles SPF et DKIM. Dans ce cas, tous les e-mails envoyés par un domaine qui n'est pas configuré pour envoyer des e-mails échouent aux vérifications SPF et DKIM. Vous trouverez ci-dessous un exemple de formatage d'une politique de cette manière :

    Nom Type Contenu
    _dmarc.example.com TXT v=DMARC1;p=rejet;sp=rejet;adkim=s;aspf=s

     

    • Le champ nom permet de s'assurer que l'enregistrement est défini sur le sous-domaine appelé _dmarc.example.com, qui est requis pour les politiques DMARC.
    • TXT indique le type d'enregistrement DNS.
    • v=DMARC1 indique au serveur que cet enregistrement DNS contient une politique DMARC.
    • p=reject indique que les serveurs de messagerie doivent rejeter les courriels qui échouent aux vérifications DKIM et SPF.
    • adkim=s représente quelque chose appelé le mode d'alignement. Dans ce cas, le mode d'alignement est défini sur "s" pour strict. Le mode d'alignement strict signifie que le serveur du domaine de l'e-mail qui contient l'enregistrement DMARC doit correspondre exactement au domaine figurant dans l'en-tête From de l'e-mail. Si ce n'est pas le cas, la vérification DKIM échoue.
    • aspf=s a la même fonction que adkim=s, mais pour l'alignement SPF.
    • L'assistant DNS de Cloudflare Email Security permet de configurer facilement les enregistrements TXT DNS corrects et d'empêcher les spammeurs d'utiliser un domaine. Pour en savoir plus sur l'assistant, cliquez ici.