Que sont DMARC, DKIM et SPF ?

SPF, DKIM et DMARC permettent d'authentifier les expéditeurs d'e-mails en vérifiant que les e-mails proviennent bien du domaine qu'ils prétendent être. Ces trois méthodes d'authentification sont importantes pour prévenir le spam, les attaques de phishing et d'autres risques liés à la sécurité des e-mails.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Décrivez le fonctionnement de SPF, DKIM et DMARC.
  • Expliquez comment ces méthodes permettent d'authentifier les expéditeurs de courrier électronique.
  • Comprendre les types d'enregistrements DNS utilisés dans SPF, DKIM et DMARC.

Contenu associé


Vous souhaitez continuer à enrichir vos connaissances ?

Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !

Consultez la politique de confidentialité de Cloudflare pour en savoir plus sur la manière dont nous collectons et traitons vos données personnelles.

Copier le lien de l'article

Que sont DMARC, DKIM et SPF ?

DMARC, DKIM et SPF sont trois méthodes d'authentification du courrier électronique . Ensemble, ils permettent d'empêcher les spammeurs, les hameçonneurs , et d'autres parties non autorisées d'envoyer des e-mails au nom d'un domaine * dont ils ne sont pas propriétaires.

DKIM et SPF peuvent être comparés à une licence d'entreprise ou à un diplôme de médecin affiché sur le mur d'un bureau — ils aident à démontrer la légitimité.

Entre-temps, DMARC indique aux serveurs de messagerie ce qu'ils doivent faire en cas d'échec de DKIM ou de SPF, qu'il s'agisse de marquer les courriers électroniques défaillants comme " spam," de livrer quand même les courriers électroniques, ou de les abandonner purement et simplement.

Les domaines qui n'ont pas configuré correctement SPF, DKIM et DMARC peuvent constater que leurs courriels sont mis en quarantaine comme spam ou ne sont pas remis à leurs destinataires. Ils risquent également de se faire usurper leur identité par des spammeurs.

*Un domaine, en gros, est une adresse de site web comme "example.com". Les domaines forment la deuxième moitié d'une adresse électronique : alice@example.com, par exemple.

Rapport
Rapport sur les menaces de phishing en 2023
Discuter avec un expert
Découvrez comment Cloudflare peut protéger votre entreprise

Comment fonctionne le FPS ?

Le cadre Sender Policy Framework (SPF) est un moyen pour un domaine de répertorier tous les serveurs à partir desquels il envoie des e-mails. Considérez-le comme un annuaire des employés accessible au public qui permet de confirmer si un employé travaille pour une organisation.

Les enregistrements SPF répertorient toutes les adresses IP de tous les serveurs qui sont autorisés à envoyer des courriels à partir du domaine, tout comme un annuaire des employés répertorie les noms de tous les employés d'une organisation. Les serveurs de messagerie qui reçoivent un message électronique peuvent le comparer à l'enregistrement SPF avant de le transmettre à la boîte de réception du destinataire.

S'inscrire
Sécurité et rapidité avec n'importe quelle offre Cloudflare

Comment fonctionne la norme DKIM ?

DomainKeys Identified Mail (DKIM) permet aux propriétaires de domaines de signer automatiquement "les courriels" provenant de leur domaine, tout comme la signature d'un chèque permet de confirmer l'identité de son auteur. La signature DKIM "" est une signature numérique qui utilise la cryptographie pour vérifier mathématiquement que le courriel provient du domaine.

Plus précisément, DKIM utilise la cryptographie à clé publique :

  • Un enregistrement DKIM stocke la clé publique du domaine, et les serveurs de messagerie qui reçoivent des e-mails du domaine peuvent vérifier cet enregistrement pour obtenir la clé publique.
  • La clé privée est gardée secrète par l'expéditeur, qui signe l'en-tête du courriel avec cette clé
  • Les serveurs de messagerie qui reçoivent le courrier électronique peuvent vérifier que la clé privée de l'expéditeur a été utilisée en appliquant la clé publique.

Comment fonctionne DMARC ?

Le système DMARC (Domain-based Message Authentication Reporting and Conformance) indique au serveur de messagerie récepteur ce qu'il doit faire en fonction des résultats de la vérification de SPF et DKIM. La politique DMARC d'un domaine peut être définie de différentes manières : elle peut demander aux serveurs de messagerie de mettre en quarantaine les courriels qui ne répondent pas aux critères SPF ou DKIM (ou les deux), de les rejeter ou de les distribuer.

Les politiques DMARC sont stockées dans enregistrements DMARC. Un enregistrement DMARC peut également contenir des instructions permettant d'envoyer des rapports aux administrateurs de domaines sur les courriels qui passent ou échouent ces contrôles. Les rapports DMARC fournissent aux administrateurs les informations dont ils ont besoin pour décider de l'ajustement de leurs politiques DMARC (par exemple, que faire si des e-mails légitimes sont marqués par erreur comme spam).

Où sont stockés les enregistrements SPF, DKIM et DMARC ?

Les enregistrements SPF, DKIM et DMARC sont stockés dans le système de noms de domaine (DNS) , qui est accessible au public. La principale utilité du DNS est de faire correspondre les adresses web aux adresses IP, afin que les ordinateurs puissent trouver les bons serveurs pour charger du contenu sur l'internet sans que les utilisateurs humains aient à mémoriser de longues adresses alphanumériques. Le DNS peut également stocker une variété d'enregistrements associés à un domaine, y compris des noms alternatifs pour ce domaine (CNAME records), des adresses IPv6 (AAAA records), et des enregistrements DNS inversés pour la recherche de domaines (PTR records).

Les enregistrements DKIM, SPF et DMARC sont tous stockés sous forme d'enregistrements TXT DNS. Un enregistrement DNS TXT stocke le texte qu'un propriétaire de domaine veut associer à son domaine. Cet enregistrement peut être utilisé de diverses manières, puisqu'il peut contenir n'importe quel texte arbitraire. DKIM, SPF et DMARC sont trois des nombreuses applications des enregistrements TXT du DNS.

Comment vérifier si un courriel est passé par SPF, DKIM et DMARC ?

La plupart des clients de messagerie proposent une option intitulée "Show details" ou "Show original" qui permet d'afficher la version complète d'un e-mail, y compris son en-tête. L'en-tête — généralement un long bloc de texte au-dessus du corps du message - est l'endroit où les serveurs de messagerie ajoutent les résultats de SPF, DKIM et DMARC.

La lecture de l'en-tête dense peut être délicate. Les utilisateurs qui le consultent sur un navigateur peuvent cliquer sur "Ctrl+F" ou "Command+F" et taper "spf," " dkim," ou "dmarc" pour trouver ces résultats.

Le texte pertinent pourrait ressembler à ceci :


arc=pass (i=1 spf=pass spfdomain=example.com dkim=pass
dkdomain=example.com dmarc=pass fromdomain=example.com) ;

L'apparition du mot "pass" dans le texte ci-dessus indique que l'e-mail a passé un contrôle d'authentification. "spf=pass," par exemple, signifie que l'e-mail n'a pas échoué au SPF ; il provient d'un serveur autorisé dont l'adresse IP figure dans l'enregistrement SPF du domaine.

Dans cet exemple, l'e-mail a passé les trois tests SPF, DKIM et DMARC, et le serveur de messagerie a pu confirmer qu'il provenait bien de example.com et non d'un imposteur.

Il est important de noter que ces enregistrements ne permettent pas d'appliquer les politiques du domaine ou d'authentifier les e-mails. Les serveurs de messagerie doivent les vérifier et les appliquer correctement pour que les enregistrements aient un quelconque effet.

Il est également important de noter que les propriétaires de domaines doivent eux-mêmes configurer correctement leurs enregistrements SPF, DKIM et DMARC, à la fois pour empêcher le spam de leur domaine et pour s'assurer que les courriels légitimes provenant de leur domaine ne sont pas marqués comme spam. Les services d'hébergement Web ne le font pas nécessairement de manière automatique. Même les domaines qui n'envoient pas d'e-mails devraient au moins avoir des enregistrements DMARC afin que les spammeurs ne puissent pas prétendre envoyer des e-mails depuis ce domaine.

Comment configurer DMARC, DKIM et SPF pour un domaine ?

DMARC, DKIM et SPF doivent être configurés dans les paramètres DNS du domaine. Les administrateurs peuvent contacter leur fournisseur de DNS ou leur plate-forme d'hébergement Web peut fournir un outil leur permettant de télécharger et de modifier les enregistrements DNS. Pour plus de détails sur le fonctionnement de ces dossiers, consultez nos articles à leur sujet :

Le processus de mise en place de ces enregistrements peut être compliqué et prendre beaucoup de temps, et des politiques trop strictes ou trop souples peuvent avoir une incidence très négative sur un domaine. C'est pourquoi Cloudflare propose un assistant DNS de sécurité des e-mails qui permet aux administrateurs de configurer rapidement et correctement ces enregistrements DNS d'authentification des e-mails. L'assistant se trouve sous l'onglet DNS du tableau de bord Cloudflare.