L’envoi d’un message mail se fait grâce à un protocole SMTP (Simple Mail Transfer Protocol) qui est un protocole de communication servant à transférer les emails vers les services de messagerie électronique. On spécifie l’expéditeur du message, puis le ou les destinataires, et le mail peut alors s’acheminer de l’un à/aux autre(s).
Mais aucun mécanisme de sécurité n’est intégré au protocole SMTP : ni vérification, ni contrôle de l’expéditeur, ce qui a eu pour conséquence une explosion des spams, fraudes et usurpations d’identité (pishing) visant à extorquer des informations (mots de passe, numéros cartes banquaires…) en se faisant passer pour un tiers de confiance.
Pour contrer à ces tentatives d’arnaques sur le net, plusieurs systèmes ont été créés dans le but d’authentifier la source des emails.
SPF, Sender Policy Framework
Sender Policy Framework (SPF) est un système qui permet au propriétaire et administrateur d’un nom de domaine de déterminer quels sont les serveurs de messagerie autorisés à envoyer des messages pour son nom de domaine (ce qui correspond à la partie à droite du “@
” de l’adresse mail : president@gouv.fr
)
Il peut donc spécifier un enregistrement de type “TXT
” du systeme DNS (Domain Name System) dans le but d’indiquer quels serveurs de messagerie sont autorisés à envoyer des messages via son nom de domaine.
Sender Policy Framework part du principe que les différentes informations émises dans les enregistrements DNS sont justes et de confiance.
Ainsi, à la réception d’un message, le serveur de mail envoie une requête DNS pour consulter les enregistrements “TXT
” pour vérifier que l’expéditeur du message fait bien partie des expéditeurs spécifiés “de confiance”. S’il est considéré comme “de confiance”, le mail passe, sinon, il est rejeté.
SenderID
SenderID est un système assez semblable à SPF dans le sens où comme son nom l’indique, SenderID vise lui aussi à vérifier l’authenticité de l’expéditeur du message.
Tout comme SPF, il utilise les informations des enregistrements “TXT
” dans les zones DNS des noms de domaine.
Cependant, alors que SPF protège et vérifie les paramètres du protocole SMTP (ce que l’on pourrait appeler “l’enveloppe du message”), SenderID repose quant à lui sur l’authentification des en-tête des messages.
SenderID implémente un algorithme utilisant les en-têtes du message “Resent-Sender
”, “Resent-From
”, “Sender
” et “From
” de façon à identifier et authentifier la source du message.
Cependant, SenderID est la cible de polémiques concernant son respect des normes, et il est actuellement en pleine perte de vitesse.
Domainkeys et DKIM
DomainKeys est une méthode d’authentification des messages mails grâce à l’utilisation d’une signature digitale liée à un nom de domaine et permettant donc d’attester que l’expéditeur est autorisé à envoyer des messages via ce nom de domaine. Contrairement à SPF et SenderID, DomainKeys assure également l’intégrité du message en vérifiant que celui-ci n’a pas subi de modification durant son transit.
Le propriétaire et administrateur du domaine produit une paire de clés privée/publique qui sera utilisée pour signer les messages émis depuis ce nom de domaine. La clé publique est situé dans un enregistrement de type “TXT
” du systeme DNS, tandis que la clé privée est gardée sur le serveur mail dont provient le message envoyé.
Quand l’email est envoyé, le serveur le signe avec la clé privée, et lorsqu’il est reçu, la clé publique permet alors de vérifier si les deux clés concordent validant ainsi à la fois l’authenticité de l’expéditeur, et l’intégrité du message reçu.
DomainKeys Identified Mail (DKIM) est le successeur de DomainKeys dont il est très semblable dans son fonctionnement. Il apporte quelques améliorations, comme la possibilité d’avoir plusieurs signatures pour un nom de domaine (contre une unique signature pour DomainKeys), un plus grand nombre d’options concernant la validation de l’en-tête et du message lui-même, ou encore la possibilité de déléguer la signature à un tiers…
Cela fait de DKIM un standard amélioré permettant une plus grande flexibilité et sécurité que son prédécesseur DomainKeys.
Les spams, fraudes et usurpations d’identité sont malheureusement monnaie courante sur le net, et il est important de s’en protéger. Bien qu’il existe aujourd’hui des outils permettant de s’en prévenir, ces protocoles restent encore imparfaits, incomplets et malheureusement peu utilisés.
Il est pourtant très important de protéger vos clients, et par là même votre réputation et notoriété en évitant qu’une personne ou organisation malhonnête se fasse passer pour vous. Soyez donc vigilant, et n’hésitez pas à demander conseil à une agence ou entreprise professionnelle de ce domaine.