SPF, DKIM et DMARC

Définition de SPF, DKIM et DMARC

La Sender Policy Framework, ou SPF, est une norme d’authentification permettant de faire le lien entre un nom de domaine et une adresse email. Elle consiste à définir le ou les expéditeur(s) autorisé(s) à envoyer des emails avec un domaine donné. Elle permet ainsi aux clients de messagerie (Gmail, Outlook…) de vérifier que l’email entrant d’un domaine vient d’un hôte autorisé par l’administrateur de ce domaine.

 

Le DomainKeys Identified Mail, ou DKIM, est un protocole d’authentification permettant de faire le lien entre un nom de domaine et un message. Le protocole permet de signer votre email avec votre nom de domaine. L’objectif du protocole DKIM n’est pas uniquement de prouver que le nom de domaine n’a pas été usurpé, mais aussi que le message n’a pas été altéré durant sa transmission.

 

Le Domain-based Message Authentication, Reporting and Conformance, ou DMARC, est une norme d’authentification complémentaire à SPF et DKIM destinée à lutter plus efficacement contre le phishing et autres pratiques de spamming. Elle permet aux détenteurs de domaines d’indiquer aux FAI (Fournisseurs d’Accès à Internet) et clients de messagerie quelle conduite tenir lorsqu’un message signé de leur domaine n’est pas formellement identifié par une norme SPF ou DKIM.

 

Pourquoi utiliser les protocoles SPF, DKIM et DMARC ?

Il s’agit des principaux protocoles permettant de vérifier l’identité des expéditeurs. C’est un des moyens les plus efficaces pour empêcher les phishers et autres fraudeurs de se faire passer pour un expéditeur légitime dont ils usurperaient l’identité en utilisant le même nom de domaine.

Il existe un autre avantage, et non des moindres. En effet, la mise en place de ces protocoles permet d’améliorer la délivrabilité des emails envoyés, puisque vous serez mieux identifié(e) par les FAI (Fournisseurs d’Accès à Internet) et clients de messagerie de vos destinataires. Vous optimisez alors vos chances que vos emails arrivent bien dans la boîte de réception de vos destinataires et non dans le dossier « spams » ou « courriers indésirables ».

Ces protocoles sont devenus des normes de l’envoi d’email. Un message expédié sans signature SPF et/ou DKIM est vu avec suspicion par les différents outils d’analyse de l’email.

 

Limites des protocoles SPF et DKIM

SPF a ses limites. Par exemple, si l’email est transféré, la vérification peut ne pas avoir lieu, puisque l’adresse émettant le message transféré ne sera pas forcément comprise dans la liste des adresses validées par SPF. Il faut donc être le plus exhaustif possible lors de l’ajout de nouvelles adresses à votre enregistrement SPF.

En tant qu’expéditeur, la signature DKIM ne vous empêchera pas d’être considéré comme spammeur si vous n’appliquez pas les bonnes pratiques emailing. Il faudra donc veiller lors de la conception du contenu de vos emails : faire attention au ratio texte/image, éviter d’utiliser les mots repérés par les filtres anti-spam comme étant à risque, etc....

Autre point, SPF et DKIM ne spécifient pas l’action à appliquer en cas d’échec de la vérification. C’est là qu’intervient le protocole DMARC en indiquant au serveur du destinataire comment il doit agir si les processus d’authentification de l’expéditeur échouent.