dans Blogue
Protection des courriels sortants

Il existe certains outils pouvant améliorer la protection des courriels envoyés à des clients externes d’une organisation. Il y en a trois principaux : Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) et Domain-based Message Authentication, Reporting and Conformance (DMARC). Voyons en quoi consistent ces trois outils.

Le SPF est un enregistrement TXT ajouté au serveur DNS qui liste tout simplement les adresses ou les plages d’adresses IP ayant la permission d’envoyer des courriels pour un domaine spécifique. Lorsque cette mesure est en place, elle assure aux récipiendaires d’un courriel provenant d’un certain domaine qu’il a bel et bien été envoyé à partir d’une adresse IP autorisée à envoyer des courriels au nom du domaine en question. Il devient donc difficile pour un attaquant d’envoyer un courriel à partir d’une adresse IP qui ne fait pas partie des adresses listées dans le champ DNS du domaine protégé par SPF sans que le courriel ne soit pas automatiquement identifié comme un pourriel. Voici un exemple:

nslookup -type=TXT domain.com
domaine.com text = "v=spf1 ip4:xxx.xxx.xxx.xxx/xx a -all"

Où :

  • v = la version de SPF utilisée
  • ip4:xxx.xxx.xxx.xxx/xx a = l’adresse ou le groupe d’adresses pointant vers le serveur SMTP autorisé
  • -all = indique que si les mécanismes mentionnés avant ne sont pas respectés, le courriel devrait être rejeté.

Le DKIM, quant à lui, est un mécanisme visant à assurer que le contenu d’un message courriel n’a pas été modifié depuis son départ du serveur de courriel. Cette vérification est assurée par la mise en place d’un système de clé publique et privée. Encore une fois, c’est à travers un ajout dans les configurations du serveur DNS que cette mesure est mise en place. Le propriétaire ajoute une entrée avec une clé publique DKIM qui sera par la suite utilisée par les récipiendaires pour s’assurer que la signature DKIM est authentique alors que, du côté serveur, les courriels seront signés avec la clé privée correspondante.

Le troisième outil, DMARC, vient ajouter une validation supplémentaire aux deux autres outils décrits ci-haut. DMARC est un système d’échange d’information entre le destinateur et le récipiendaire. Le destinateur, encore à travers son serveur DNS, met à la disposition du récipiendaire des politiques lui dictant quoi faire avec un courriel qui ne s’authentifierait pas correctement par rapport à SPF et DKIM. Par exemple, il pourrait prescrire de laisser passer le courriel, de le mettre en quarantaine ou tout simplement de le rejeter. Voici un exemple de politique DMARC :

"v=DMARC1;p=reject;pct=100;rua=mailto:postmaster@domaine.com"

Où:

  • v = la version du protocole DMARC utilisée
  • p = la politique du domaine de l’organisation
  • pct = le pourcentage de courriels assujettis au mécanisme de filtrage, ici 100%
  • rua = adresse courriel pour l’envoi de rapports agrégés

Bien que ces outils puissent aider à réduire les problèmes liés aux pourriels, ils ne sont pas efficaces à 100%. Ils ont tous leurs limites. Par exemple, DKIM ne garantit aucunement que le destinateur a la permission d’envoyer des courriels avec un domaine donné. SPF n’est pas très utile dans les cas où les hôtes sont partagés et où tous les courriels semblent parvenir d’une même adresse IP. DMARC n’est pas encore implémenté partout et peut causer certains ennuis lorsqu’il n’est pas configuré correctement.

Références :

http://blog.endpoint.com/2014/04/spf-dkim-and-dmarc-brief-explanation.html

Note: **Mis en place par défaut dans Office 365, mais requiert des configurations pour les domaines secondaires ou pour utiliser ses propres entrées de clés de domaine.

David-Alexandre Alarie, CEH, CSX
Jonathan Roy, MCP, GWAPT

Laisser un commentaire

Start typing and press Enter to search