Comment configurer SPF/DKIM/DMARC

Voici 3 méthodes pour authentifier vos emails et réduire de ce fait l’usage abusif des emails (spam, phishing…).

Sender Policy Framework

SPF fait une requête DNS de type TXT sur le domaine de l’expéditeur ("MAIL FROM” dans les en-têtes du message) pour connaître la liste des serveurs autorisés à envoyer des emails et la comparer à l’adresse IP du serveur émetteur.

SPF : schéma explicatif
SPF : schéma explicatif

Composants

Mécanisme
ALLRésultat par défaut
AUn enregistrement IN A (ou AAAA) pouvant être résolu comme adresse d’expéditeur
IP4Plage d’IPv4
IP6Plage d’IPv6
MXUn enregistrement Mail eXchanger pointant vers l’adresse de l’expéditeur
EXISTSLe domaine est résolu en n’importe quelle adresse
INCLUDEUne règle incluse passe le test
PTRLe domaine de l’adresse IP correspond au domaine spécifié, et ce dernier pointe vers l’IP en retour
Qualifieurs
+Résultat favorable
?Résultat neutre
~Léger échec “SOFTMAIL” (email accepté mais marqué)
-Échec total (email normalement rejeté)
Modifiers
exp=some.example.comPour avoir le motif des résultats en échec
redirect=some.example.comPour lier à un enregistrement de règle d’un autre domaine

Un enregistrement SPF est créé par défaut à retrouver dans l’onglet Enregistrements DNS du domaine :

Enregistrement SPF
Enregistrement SPF

Celui-ci autorise explicitement nos serveurs à envoyer des emails et envoie un résultat neutre pour les autres serveurs d’envois.

Cette technologie peut avoir des répercutions sur les redirections emails : le serveur émetteur n'étant pas forcément le serveur de messagerie de l’expéditeur d’origine de l’email.

Liens

DomainKeys Identified Mail

DKIM permet d’authentifier le nom de domaine en ajoutant un signature à tous les emails sortants.

DKIM : schéma explicatif
DKIM : schéma explicatif

Pour générer une paire de clé, rendez-vous dans Domaines > Détails du nom de domaine concerné > Configuration.

Interface d'administration : configurer DKIM
Interface d'administration : configurer DKIM
Interface d'administration : résultat de la configuration DKIM
Interface d'administration : résultat de la configuration DKIM

Un enregistrement TXT sera alors créé à retrouver dans l’onglet Enregistrement DNS:

Enregistrement DKIM
Enregistrement DKIM

Liens

Domain-based Message Authentication, Reporting and Conformance

DMARC est un protocole standardisant l’authentification en indiquant aux destinataires les actions à entreprendre dans le cas ou une des méthodes d’authentification échouerait. Il va vérifier que :

  • le domaine correspond à la paire de clés DKIM (champ d=) ;
  • le serveur d’envoi est indiqué dans l’enregistrement SPF du domaine (MAIL FROM) ;
  • le domaine est dans le champ FROM de l’email.
DMARC : schéma explicatif
DMARC : schéma explicatif

Pour utiliser DMARC, DKIM et SPF doivent donc déjà être implémentés.

Paramètres

Variables
vVersion du protocole : v=DMARC1 (obligatoire)
pctPourcentage de messages à filtrer (défaut : 100)
adkimCohérence avec DKIM
s = mode strict - le domaine de la signature DKIM doit exactement correspondre au FROM
r = mode relax (défault)
aspfCohérence avec SPF (sou r)
pProcédure en cas d'échec - domaine principal (obligatoire)
none = livre l’email normalement
quarantine = traite l’email comme suspect (scoe de spam, drapeau…)
reject = rejete l’email
spProcédure en cas d’echec - sous-domaine (none, quarantine ou reject)
rufDestinataire des rapports d'échecs détaillés
foConditions pour l’envoi d’un rapport détaillé
1 = échec de DKIM et/ou SPF
d = échec de DKIM
s = échec de SPF
0= échec de DKIM et SPF (défault)
ruaDestinataires des rapports d'échecs agrégés

Pour le mettre en place, un enregistrement TXT doit être créé dans l’onglet Enregistrements DNS du domaine :

Enregistrement DMARC
Enregistrement DMARC

Liens


Schémas explicatifs repris de Global Cyber Alliance