Blog

Dans les coulisses des normes SPF, DKIM et DMARC

Return Path | 2 mai, 2013

Devant la nécessité pour les entreprises de protéger leurs activités et leurs clients en faisant appel à diverses technologies, l’association des méthodes d’authentification SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail) avec le protocole DMARC (Domain-based Message Authentication, Reporting & Conformance) représente la solution la plus efficace à ce jour pour lutter contre ces menaces que sont le spam, le phishing et l’usurpation d’identité (spoofing).

Une question se pose toutefois : les normes SPF, DKIM et DMARC mettront-elles véritablement fin aux attaques de phishing ? Bien que nous n’ayons jamais été aussi près d’éradiquer ces dernières, les idées reçues concernant la protection contre la fraude ont la vie dure aussi, revenons sur chacune d’entre elles.

Premièrement, on pense souvent à tort que le phishing et le spoofing relèvent de la responsabilité du département sécurité informatique et non de celle du département marketing.

La lutte contre le phishing est la responsabilité de toute l’entreprise. Elle doit compter parmi les priorités tant de l’équipe de marketing que de celle en charge de la sécurité informatique. Les annonceurs consacrent un temps et des efforts considérables à développer des campagnes email, visant notamment à renforcer la notoriété de leur(s) marque(s) et à optimiser l’engagement de leurs abonnés. Il serait absurde de voir cet investissement réduit à néant par une attaque malveillante de type phishing ; une collaboration étroite avec l’équipe responsable de la sécurité informatique est donc primordiale.

La collaboration de l’ensemble des départements d’une entreprise permettrait de renforcer la protection contre une attaque de phishing, de limiter les coûts associés à ses effets potentiellement dévastateurs et surtout de sécuriser la messagerie électronique en tant que canal de communication commun à l’ensemble des services et employés.

Deuxièmement, bon nombre d’entreprises croient que la publication d’un enregistrement SPF, la signature de tous leurs emails avec DKIM ou encore l’authentification à l’aide de SPF et de DKIM les met à l’abri des attaques malveillantes.

S’imaginer que la signature des emails avec SPF, DKIM voire les deux protocoles garantit une protection totale serait une grave erreur. Avant tout, les opérateurs de messagerie sont confrontés à deux défis de taille en ce qui concerne la mise en œuvre de l’authentification SPF ou DKIM : 1. les expéditeurs d’emails et les annonceurs n’ont pas tous adopté ces méthodes et 2. les opérateurs de messagerie à travers le monde n’appliquent pas tous une stratégie standard concernant la gestion des échecs d’authentification.

–La méthode SPF consiste à publier un enregistrement autorisant des adresses IP approuvées à envoyer des messages pour le compte d’un domaine, mais elle n’est plus efficace en cas de transfert d’emails, elle peut être facilement manipulée et elle ne représente pas une solution d’authentification de bout en bout.

–Si la méthode DKIM s’efforce de pallier ces failles en signant les emails à l’aide d’un mécanisme cryptographique, qui permet à la signature de « survivre » au transfert et rend difficile la falsification, elle coûte plus cher compte tenu des ressources de calcul nécessaires à sa mise en œuvre. Qui plus est, la complexité, les erreurs de configuration, la modification du corps du message par les disposititifs de routage ainsi que le manque de rapports sur les résultats de l’authentification nuisent à son adoption généralisée.

Force est de constater que SPF et DKIM ne représentent pas le remède miracle pour se protéger du phishing. L’utilisation et la mise à œuvre peu normalisées de ces méthodes au sein de la communauté des FAI et le risque élevé de blocage d’emails légitimes ont freiné leur adoption.

–Le protocole DMARC résout la plupart de ces problèmes car, en plus d’utiliser à la fois SPF et DKIM, il fournit des rapports sur les échecs d’authentification et il permet à l’expéditeur de contrôler, grâce à des règles, la gestion des messages non authentifiés en proposant plusieurs options (aucune action effectuée, mise en quarantaine ou blocage). L’association de SPF, DKIM et DMARC contribue dès lors à la réduction sensible des faux positifs. En résumé, les trois sont nécessaires pour garantir une protection efficace.

Troisièmement, on s’imagine que l’utilisation de SPF, DKIM et DMARC garantit une protection totale et la remise en boîte de réception de tous les emails.

Certes, nous venons d’affirmer que l’utilisation conjointe des trois méthodes est nécessaire à la protection de l’annonceur et pourtant, ce n’est pas encore suffisant. L’association de DMARC avec DKIM et SPF présente en effet certaines limites. Pour commencer, elle n’offre pas d’analyses et d’informations détaillées et pertinentes sur l’authentification. Elle ne permet par ailleurs pas de déterminer si un expéditeur est légitime ou non et, par conséquent, ne contribue pas à améliorer le placement en boîte de réception.

Bien que DMARC propose des rapports sur l’authentification, reste encore à extraire des connaissances et des informations utiles et pertinentes des données fournies. Celles-ci permettront d’identifier les tendances, les attaques de type phishing, les causes des échecs d’authentification et les solutions pour les éliminer. A défaut de quoi DMARC ne vous sera pas d’une grande utilité. C’est d’ailleurs la raison d’être d’Email Brand Monitor. Etant donné que les annonceurs n’ont pas le temps au quotidien d’extraire et d’analyser ces données, la solution Email Brand Monitor leur offre une visibilité complète sur tous les flux de messages, y compris les emails envoyés en leur nom et ce, grâce à un accès en temps réel aux informations sur les échecs d’authentification et les attaques de phishing.

En outre, en cas d’attaque de phishing, il est rare que vous ayez le temps d’enquêter. Vous devez agir immédiatement avant qu’une telle attaque ne cause des dommages irréversibles. Grâce à un monitoring et à des rapports en temps réel, Email Brand Monitor résout non seulement ce problème mais il permet également aux équipes de marketing et de sécurité de bloquer les attaques frauduleuses de façon proactive ou instantanée, tout en leur offrant la possibilité de définir des règles par FAI (ce qui est impossible si vous utilisez DMARC uniquement).

Enfin, est-il vrai que l’authentification améliore le taux de placement en boîte de réception ?

Certes, l’authentification fait partie des meilleures pratiques en email marketing mais elle ne garantit en rien un meilleur placement en boîte de réception. Ce n’est d’ailleurs pas sa fonction. L’authentification ne remplace pas les meilleures pratiques visant à améliorer la réputation en tant qu’expéditeur. En revanche, si vous ne bloquez pas les emails de phishing, ils risquent bel et bien de faire baisser votre taux de remise en boîte de réception ; un point sur lequel nous reviendrons prochainement dans le détail.

Un ultime conseil, valable pour tous les annonceurs : la lutte contre le phishing exige la participation de tout un chacun aussi, informez-vous, authentifiez vos messages, collaborez avec vos équipes marketing et sécurité informatique, et enfin, sensibilisez vos collaborateurs et collègues à la problématique.

Le propriétaire d’un bien immobilier contracte une assurance pour se protéger des risques de dommages. Il en va de même pour votre marque et vos campagnes email. La probabilité de voir des fraudeurs usurper votre marque est grande. Des solutions existent pour mettre définitivement un terme aux attaques de phishing lancées contre les domaines. N’attendez plus pour protéger votre marque…

Your browser is out of date.
For a better Return Path experience, click a link below to get the latest version.