En affirmant que le protocole SMTP est peu sécurisé je ne vais surprendre personne, et en particulier les lecteurs assidus de ce blog. Cependant, nous avons vu apparaitre ces dernières années quelques sigles barbares comme SPF, SIDF et DKIM destinés à améliorer la sécurité des échanges en SMTP. Ces technologies n’ont pas forcément eu le succès escompté. Voyons comment le méconnu protocole d’authentification DMARC peut changer la donne.
Quelques rappels
Comme le rappelait Jean-François Audenard, SPF (Sender Policy Framework) et DKIM (Domain Keys Indentified Mail) sont des standards complémentaires d’authentification des messages entrants. Ils ont pour fonction de lutter plus efficacement contre le spam et le phishing en authentifiant les messages légitimes et en détectant les abus.
Avant d’en venir à DMARC, voici rapidement le principe de chaque technologie :
- SPF : publié dans le DNS sous forme d’enregistrement TXT, SPF permet d’indiquer les adresses légitimes autorisées à envoyer des mails pour un domaine. SPF permet ainsi au destinataire de vérifier l’enveloppe du message au niveau du champ « from » mais pas le contenu du message (header & body).
- Sender Id (SIDF) : étend le SPF au-delà de l’enveloppe du message
- DKIM : permet à un destinataire de vérifier si le message reçu contenant une signature électronique cryptographique a bien été émis par le domaine expéditeur. A la réception, on vérifie le lien entre la clef privée ayant servi à signer le message et la clef publique de l’expéditeur publiée dans son enregistrement DNS.
Ces technologies seront efficaces si :
- l’émetteur publie sa politique et un certificat dans son DNS,
- le destinataire implémente SPF et DKIM dans son relais de messagerie,
- les actions à prendre sont précisées au destinataire au cas où la vérification échouerait.
Cependant, quel est l’intérêt pour un expéditeur de mettre en place un certificat ou des informations d’envoi s’il ne sait pas si ces fonctions sont réellement utilisées par le destinataire pour authentifier le mail ou sa provenance ? Le succès relatif de DKIM et SPF vient à mon avis de cette interrogation et du fait que le domaine expéditeur n’a aucun retour des destinataires recevant des mails contrefaits.
Comment DMARC renforce la sécurité des échanges emails ?
Alors que SPF et DKIM reposaient uniquement sur les domaines d’envoi, DMARC (pour Domain-based Message Authentication, Reporting, and Conformance) implique les domaines destinataires en standardisant la façon dont un MTA destinataire doit gérer un message dont les vérifications DKIM et/ou SPF ont échoué. DMARC est donc mis en place par l’expéditeur, mais indique explicitement au destinataire ce qu’il doit faire (mise en quarantaine ou destruction) en cas d’email ne respectant pas la norme de l’expéditeur !
DMARC peut également demander au destinataire d’envoyer un rapport au propriétaire légitime du domaine concernant les messages qui ont échoué à la vérification par DMARC, et ainsi le prévenir d’éventuels abus ou usurpation de son domaine par un spammeur.
Le processus de fonctionnement de DMARC
Pour les domaines souhaitant mettre en œuvre DMARC, il « suffit » de modifier l’enregistrement DNS du domaine pour afficher la politique DMARC associée au domaine. Les entrées sont de type texte (.TXT) dans les Resource Records (RRs) du DNS. Comme dans l’exemple ci-dessous :
Les avantages de la spécification technique DMARC sont multiples et servent autant les expéditeurs que les destinataires :
- elle est facile à mettre en place pour l’expéditeur et surtout gratuite,
- elle limite le risque de faux positifs pour le destinataire,
- elle fournit une solution d’authentification robuste basée sur la clef contenue dans chaque message,
- elle fournit au destinataire une politique de sécurité à appliquer en cas de doute sérieux sur la validité du message,
- elle limite le risque de phishing car il va être beaucoup plus compliqué pour un spammeur d’émettre des mails usurpant un domaine légitime implémentant DMARC. Les messages non authentifiés et/ou non signés seront soit détruits soit mis en quarantaine directement,
- l’administrateur du domaine expéditeur est prévenu lors de l’utilisation frauduleuse de son nom de domaine par un spammeur. Il peut prendre les contremesures qui s’imposent.
Il existe cependant quelques limitations
Principalement, il faut que tous les messages d’un domaine proviennent d’un relais unique implémentant la solution pour que le système fonctionne correctement. Si vous utilisez des prestataires pour envoyer des messages en votre nom à des listes de diffusion ils pourraient être bloqués chez les destinataires par votre propre implémentation de DMARC !
DMARC qui a été initié en 2007 par PayPal (rejoint ensuite par Yahoo ! Mail et Gmail) fait l’objet du RFC 7489 depuis le 18 mars 2015. Son utilisation devrait donc se généraliser progressivement. Il s’agit, selon moi, d’une véritable avancée dans le domaine de la sécurité de la messagerie.
Si vos relais de messagerie le supportent, démarquez-vous avec DMARC et limitez les risques de phishing pour vos utilisateurs !
Philippe
Pour aller plus loin :
Fonctionnement de DMARC
Ajouter un enregistrement DMARC
A free tool to monitor & implement DMARC
Après un passé de formateur, d’opérationnel IT, d’avant-vente technique et de responsable service client, j’ai rejoint l’équipe sécurité d’Orange Business en tant que chef de produit. Je suis très attaché à l’expérience utilisateur et à la simplicité d’administration des solutions que nous créons. Mes maîtres mots : partage du savoir, logique, pragmatisme et simplicité.