Qu'est-ce que DKIM, DMARC et SPF

Qu'est-ce que DKIM, DMARC et SPF
SPF, DKIM et DMARC sont des protocoles d'authentification par e-mail conçus pour empêcher les attaques d'ingénierie sociale et le spam.

Les trois protocoles sont complémentaires, et ensemble, ils offrent la confiance dans l'origine des e-mails et l'intégrité du contenu des e-mails.

L'application de DKIM, SPF et DMARC garantit que l'expéditeur de l'e-mail légitime atteint la boîte de réception du récepteur et assure au récepteur que l'e-mail a été envoyé par un expéditeur légitime et le contenu n'a pas été modifié. Cette pratique est essentielle pour quiconque envoie des e-mails de son propre nom de domaine.

Cet article explique ce que sont SPF, DKIM et DMARC et comment ils fonctionnent.

SPF (Framework de politique de l'expéditeur)

SPF est un cadre d'authentification qui relie un serveur SMTP à un nom de domaine. SPF communique au client du courrier que l'adresse e-mail de l'expéditeur (l'expéditeur SMTP) est autorisée à utiliser le nom de domaine.

SPF définit les serveurs autorisés autorisés à utiliser un nom de domaine.

SPF peut également être utilisé pour définir qu'aucun e-mail n'est envoyé à partir d'un nom de domaine spécifique.

Si vous créez un nouveau nom de domaine sans comptes de messagerie qui lui sont associés, vous pouvez le spécifier dans vos enregistrements DNS pour désautoriser tous les expéditeurs.

Comment fonctionne SPF

SPF est appliqué en ajoutant un enregistrement TXT dans la configuration DNS. Il permet au protocole SMTP de confirmer si les serveurs SMTP de l'expéditeur sont autorisés à envoyer des e-mails à l'aide d'un domaine spécifique. Il ne doit y avoir qu'un SPF unique configuré dans les enregistrements DNS.

SPF fonctionne en faisant un processus de recherche MX ou DNS inversé. Habituellement, DNS est utilisé pour traduire une adresse IP en un nom de domaine. Au contraire, SPF vérifie les enregistrements DNS pour traduire le nom de domaine en adresses IP autorisées dans les enregistrements MX. Ensuite, SPF compare les adresses IP autorisées dans les enregistrements DNS avec l'adresse IP SMTP de l'expéditeur. Si les adresses correspondent, le courrier est approuvé; Si l'adresse IP de l'expéditeur n'est pas dans les dossiers, le courrier est refusé et l'incident est signalé au propriétaire de l'adresse courante réelle.

L'organigramme suivant décrit l'expéditeur (un expéditeur légitime) ajoute SPF dans ses enregistrements DNS. Lorsqu'il envoie un e-mail avec le protocole SPF inclus dans l'en-tête, le récepteur vérifie la dernière adresse IP SMTP Hop et le contraste avec la liste des serveurs autorisés définis dans les enregistrements DNS.

DKIM (DomainKeys identifié le courrier)

DKIM est une autre méthode d'authentification par courrier qui devrait être implémentée avec SPF. Dans le même temps, SPF vérifie si la dernière adresse IP SMTP Hop est autorisée à envoyer le courrier au nom d'un nom de domaine spécifique, DKIM vérifie si le contenu du courrier est légitime.

Comment fonctionne DKIM:

DKIM fonctionne différemment mais nécessite également l'application des mises à jour DNS. Contrairement à SPF, vous pouvez avoir plusieurs enregistrements DKIM dans votre DNS.

DKIM est basé sur l'authentification clé pour vérifier la légitimité du contenu de l'expéditeur et du message. Lorsque vous utilisez DKIM, l'expéditeur joint une signature contenant une clé privée et des informations pour le récepteur pour trouver la clé publique dans les enregistrements DNS.

Alors que SPF vérifie les enregistrements DNS pour résoudre les adresses IP SMTP, DKIM vérifie le DNS à la recherche de clés publiques pour contraster avec la signature jointe à l'en-tête du corps et du courrier.

DKIM peut détecter si un expéditeur a été forgé et si le message a été modifié en route vers le récepteur.

Le processus DKIM est décrit dans l'organigramme suivant.

DMARC (Authentification, rapport et conformité des messages basés sur le domaine):

DMARC est une autre méthode pour gérer l'usurpation du courrier, le spam et le phishing, et il nécessite également l'ajout de DNS Records. Mais le DMARC est plus un protocole informatif qu'un protocole d'authentification (il s'agit d'un protocole d'authentification mais remplit des tâches informatives).

DMARC ne vérifie pas si l'expéditeur et le contenu sont légitimes; Il recueille ces informations auprès de DKIM et SPF. DMARC supervise DKIM ou SPF, ou les deux.

DMARC définit également une politique publique pour les adresses courrier appartenant à un nom de domaine spécifique. Cette politique est publiée dans DNS Records, tout comme DKIM et SPF.

DMARC a 3 fonctions:

  • Valider DKIM et SPF.
  • Définit et publie une politique d'e-mails associés à un nom de domaine.
  • Rapporte des incidents au propriétaire du domaine.

Il existe 3 types de politiques DMARC:

  • p = aucun: Permet à tous les courriers entrants de passer.
  • P = quarantaine: Envoie des e-mails non qualifiés au dossier spam.
  • P = rejeter: Rejette les e-mails non qualifiés. Les e-mails ne peuvent pas atteindre la boîte de réception désignée, le dossier de spam, etc.

Comment fonctionne DMARC

DMARC est également appliqué en publiant un nouveau dossier DNS. Cet enregistrement DMARC contient des informations sur la politique à utiliser.

Lorsqu'un expéditeur envoie un e-mail avec une signature DKIM ou un en-tête SPF (ou les deux), DMARC valide ou l'invalide d'abord. Ensuite, il informe le récepteur du succès ou de l'échec de la validation et de la politique définie pour ce nom de domaine spécifique. Le client de messagerie du récepteur vérifie la politique dans le DNS et détermine comment utiliser les informations fournies par DMARC pour gérer l'e-mail. Ensuite, le récepteur relève de l'expéditeur de l'e-mail reçu associé à ce nom de domaine.

L'organigramme ci-dessous tiré de DMARC.Org montre tout le processus:

Conclusion:

DMARC, DKIM et SPF doivent être combinés pour maximiser les résultats de forgeage anti-manail, de phishing et anti-spam. Par exemple, si un attaquant reçoit un e-mail légitime et découvre comment le faire exploiter la signature DKIM d'origine, l'enregistrement SPF peut empêcher l'attaque de réussir.

Chacun de ces protocoles est une extension de l'autre, et les appliquer est une mesure essentielle et critique contre les attaques de spam et d'ingénierie sociale. Le processus d'utilisation de DMARC, DKIM et SPF est assez simple et se compose d'ajout de dossiers DNS.

J'espère que cet article a été utile. Continuez à suivre l'astuce Linux pour plus de conseils et de tutoriels Linux.