Blog
Antispam
SPF,DKIM,DMARC la combinaison gagnante

Temps de lecture:  20- 30 min

Avant de commencer cet article, rappelons certains faits inquiétants.
Selon un article de proofpoint, “Le phishing ciblé est à la mode”.
https://www.proofpoint.com/fr/security-awareness/post/latest-phishing-january-2020“, les statistiques ainsi que l’actualité sur le phishing en 2020 ne cessent d’augmenter. Le phishing est la pratique frauduleuse consistant à envoyer des courriels malveillants en prétendant être quelqu’un d’autre. Le but est de voler les données personnelles de l’utilisateur (carte de crédit, numéro de sécurité sociale, information financier de votre entreprise etc…).

I- Des statistiques peu rassurantes..
Selon cet article, le rapport “State of the Phish” récemment publié par Proofpoint examine les tendances du phishing au niveau mondial, et comprend un certain nombre de statistiques frappantes sur le phishing. Le rapport analyse des données compilées à partir de sources multiples, dont une enquête menée auprès de plus de 600 professionnels de l’informatique dans sept pays.
L’une des conclusions de l’enquête est que près de 90 % des organisations ont subi des attaques de phishing ciblées en 2019 à savoir :

  •  88% des organisations dans le monde ont été confrontées à des attaques de type “spear phishing
  • 86 % ont dû faire face à des attaques de type “business email compromise” (BEC)
  • Les phishers ont attaqué plus de 400 marques différentes par mois au troisième trimestre, ce qui représente une augmentation significative par rapport au deuxième trimestre en 2019 (une moyenne de 313 par mois).

Les  services SaaS et de webmail ont été le secteur industriel le plus ciblé au troisième trimestre, avec 33 % de toutes les attaques. Au troisième trimestre, le nombre de sites de phishing utilisant le cryptage HTTPS a continué à augmenter, plus des deux tiers d’entre eux utilisant le HTTPS. Cette tendance “est un indicateur clair et montre que les utilisateurs ne peuvent pas se fier uniquement au SSL pour comprendre si un site est sûr ou non”..
Ces résultats concordent avec les renseignements de Proofpoint sur les menaces, qui ont montré une tendance vers des attaques plus ciblées et personnalisées plutôt que vers des campagnes de masse. Il devient donc important aujourd’hui de sécuriser nos passerelles de messagerie pour éviter toutes attaques ciblées sur les VIP.

Alors comment sécuriser vos échanges de bout en bout?
C’est là que les passerelles de sécurisation email tirent leurs épingles du jeu. Cisco Email Security Appliance, Clearswift Secure Email Gateway, Fortinet FortiMail, McAfee Security pour serveurs de messagerie, Microsoft Exchange Online Protection, Proofpoint Email Protection, Sophos Email Appliance sont quelques-unes des offres importantes du marché de la sécurité de la messagerie électronique. Cela dit, seuls les produits comme proofpoint et cisco prennent en charge tous les modèles de déploiement, du cloud public à l’appliance on premise.

Une fois, ces passerelles de messagerie en place, il faut savoir bien les configurer pour bénéficier de toute la puissance et de la protection nécessaire pour vos domaines de messagerie.
Une bonne politique de  sécurisation de son système de messagerie consiste à utiliser plusieurs niveaux de protection. Il existe aujourd’hui trois technologies qui sont les plus utilisées , SPF, DKIM et DMARC.
Si les trois modèles sont activés en même temps, vous aurez une protection complète face aux différentes attaques externes garantissant ainsi l’authentification ,la légitimité du mail mais aussi de son expéditeur.

Avant de commencer posons les définitions de ces 3 modules :

  • Le SPF, Sender Policy Framework, est un processus d’authentification qui assure la conformité de l’expéditeur d’un email. Il permet d’indiquer qui est autorisé à utiliser votre nom de domaine en déclarant les IP autorisées à envoyer des emails.
  • Le DKIMDomainKeys Identified Mail, permet de signer un message par clé d’échange basé sur la cryptographie. Ce qui permet de s’assurer que le message envoyé n’a pas été altéré durant l’échange.
  • Le DMARCDomain-based Message Authentication, Reporting, and Conformance s’appuie sur le principe de « l’alignement ». Ce qui permet d’agir sur les messages où les protocoles SPF et DKIM ont échoué, en venant appliquer des instructions supplémentaires.

Pourquoi utiliser ces 3 méthodes en entreprise ?
Dans la vie de tous les jours, nous devons prouver notre identité ( carte ID lors d’un abonnement, achat par carte, réservation etc..)  vous devez toujours prouver que vous êtes bien ce que vous prétendez être.
Le monde de la messagerie fonctionne de la même manière. Afin de franchir les barrières des filtres d’antispam, vous devez prouver que vous êtes un expéditeur légitime et que vous n’envoyez pas au nom de quelqu’un d’autre et que votre identité n’a pas été compromise.
Comment y arriver ? Tout simplement, en utilisant  SPF, DKIM et DMARC.
Ces standards permettent de prouver l’authentification d’un expéditeur et de protéger le contenu dans le cadre d’un échange d’email.

II – SPF
SPF, ou Sender Policy Framework, est un protocole de validation de courrier électronique conçu pour détecter et bloquer l’usurpation de courrier électronique (basé sur l’ip de l’émetteur)  qui permet aux échangeurs de courrier de vérifier que le courrier entrant d’un domaine provient d’une adresse IP autorisée par les administrateurs de ce domaine.

Quel est son fonctionnement ?
Après l’envoi d’un message, les FAI fournisseurs de services Internet vérifieront le domaine du chemin de retour. Ils compareront ensuite l’adresse IP qui a envoyé l’email à l’adresse IP répertoriée dans l’enregistrement SPF du domaine Return-Path pour voir s’il est aligné. Si tel est le cas, l’authentification SPF a été confirmée et le message sera remis.

Pourquoi le SPF est-il important ?
SPF est un standard qui vous protège des spammeurs/phisheur potentiels. Le spam par courrier électronique et le phishing utilisent souvent des adresses et
domaines usurpés. La publication et la vérification d’enregistrements SPF sont l’une des techniques antispam les plus fiables et les plus simples à utiliser . Si vous avez une bonne réputation en matière d’envoi, un spammeur peut tenter d’envoyer des courriers électroniques de votre domaine afin de s’affranchir de votre réputation sur internet. Cependant, une authentification SPF révélera au FAI destinataire que le domaine peut vous appartenir, mais que le serveur n’autorise pas l’envoi de courrier pour votre domaine. Un enregistrement SPF dans un domaine de premier ordre (par exemple, nexally.fr) authentifiera automatiquement tous les sous-domaines (exemple : mail.nexally.fr) situés sous celui-ci qui ne contiendrait pas leur propre enregistrement SPF.

Comment faire ?
Il suffit de réaliser un enregistrement Texte TXT dans votre registrar DNS  qui spécifie quelles adresses IP et/ou quels serveurs sont autorisés à envoyer des messages depuis ce domaine.

III – DKIM
DKIM, ou DomainKeys Identified Mail, permet à une organisation (ou à un gestionnaire du message) d’assumer la responsabilité d’un message en transit. DKIM associe un nouvel identifiant de nom de domaine à un message et utilise la cryptographie pour valider l’autorisation de présence.

Quel est son fonctionnement ?
DKIM utilise un algorithme de cryptage qui crée une paire de clés électroniques, une clé publique et une clé privée. La signature se situe dans l’en-tête de chaque email envoyé. Elle est propre à votre domaine de messagerie, vous en possédez la clé privée. Cette clé privée correspond a une clé publique, qui est enregistrée dans votre Registrar DNS. Lorsque vous envoyez un message, le serveur (ici la passerelle de messagerie en l’occurrence) qui le reçoit va aller regarder votre clé publique. Ainsi, il détermine si la clé privée a bien été utilisée lors de l’envoi du message afin d’y inscrire la signature cryptographique. Si la clé privée n’a pas été utilisée, alors le message est considéré comme non légitime.

Le chiffrement de la première clé ne peut être déchiffré que par l’autre clé. Un expéditeur publiera la clé «publique» dans l’enregistrement DNS et répertoriera son emplacement dans la signature DKIM avec le domaine «d =» et le sélecteur «s =». Le propriétaire du DNS garde la clé privée secrète. Si les informations contenues dans la signature décryptée correspondent aux informations reçues dans l’en-tête non crypté, le serveur considère que l’en-tête n’est pas falsifié pendant la transmission et la réception. En d’autres termes, DKIM permet de signer un email par chiffrement numérique. Cette signature est un en-tête du message électronique.

Voici un exemple de signature DKIM :
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; t=1476054397;s=m1; d=e.exemple.com; i=@e.exemple.com;h=Date:From:To:Subject:MIME-Version:Content-Type;bh=Rm+zVdTj9mQiUHxMpu+O9d9OuV3cOTuaNWHONtEXYo0=;     b=oGVqGJKcS8KZ+YR8+AKzGKg2t1qpCCsedfrdszeeU/MvQnl9hRpn9NYSR1vV20MSYvJP9ZBiG7hftTHxYUwrP/
Ur4Gt4a6bzt6Q6KETOiUrksD1Jnvwt7YG/cwGqGfjfmuYU +/fk3oboohCsnvOI79hHrR8q/a0eCLnkL5E E43d1po=

Comment faire ?
Il suffit de réaliser un enregistrement Texte TXT dans votre registrar DNS  qui crée une relation de confiance entre l’expéditeur et le destinataire.
Il faut renseigner la clé publique dans l’enregistrement DNS avec le domaine «d =» et le sélecteur «s =».

Pourquoi DKIM est-il important?
DKIM prouve trois choses:

  • Le contenu d’un email n’a pas été altéré.
  • Les en-têtes de l’email n’ont pas changé depuis l’envoi de l’expéditeur d’origine.
  • L’expéditeur de l’email possède le domaine DKIM ou que le propriétaire de ce domaine l’autorise.

IV – DMARC
DMARC, (Domain-based Message Authentication, Reporting and Conformance) est une méthode d’authentification supplémentaire en s’appuyant sur SPF et DKIM. Elle permet de vérifier si un courrier électronique a effectivement été envoyé par le propriétaire . Pour que les règles DMARC s’appliquent, SPF et DKIM doivent fonctionner et au moins l’un d’entre eux doit être aligné.

L’identité est validée si il y a au moins un alignement des deux méthodes d’authentification:

  1. Pour que SPF s’aligne, le domaine From du message et son domaine de retour doivent correspondre.
  2. Pour que DKIM s’aligne, le domaine From du message et son domaine DKIM doivent correspondre.

Quel est son fonctionnement ?
Dans la mise en place d’un enregistrement DMARC, vous avez le choix entre 3 attributs qui renvoient à des stratégies différentes. Ces stratégies indiquent au serveur destinataire comment traiter le courrier envoyé, non conforme à DMARC. Ainsi on retrouve les attributs suivants:

  • Aucun (none) : les messages envoyés depuis votre domaine sont tous traités comme ils le seraient sans aucune validation, on l’appelle aussi le mode log DMARC. P=none
  • Quarantaine (quarantine): le serveur destinataire peut accepter le courrier, mais doit le placer ailleurs que dans la boîte de réception du destinataire (généralement le dossier courrier indésirable). P=quarantine
  • Rejeter (reject): Le serveur rejette le message. P=reject
  1. Un utilisateur envoie une campagne de masse (ou un message transactionnel).
  2. Le filtre Anti-Spam analyse de façon basique la réputation de l’annonceur (réputation IP, réputation de domaines, vérification sur les listes noires internes/externes). Si celle-ci est mauvaise, le message sera refusé. Si celle-ci est bonne, le message sera accepté, on passe alors à l’étape suivante.
  3. Le filtre Anti-Spam va vérifier les systèmes d’authentification(SPF ou DKIM) et en cas d’échec va appliquer la règle de sécurité en concordance avec la déclaration faite dans le tag « p ». Pour rappel, il existe 3 paramétrages possibles :
    • P=none ; aucune règle ne sera appliqué, le message sera accepté.
    • P=quarantine ; le message sera tagué comme spam et sera délivré en spam
    • P=reject ; le message sera refusé automatiquement.
  4. Les règles DMARC ne s’appliquent que si votre Registrar DNS applique DMARC dans sa politique de sécurité.  Enfin, si le message passe les règles DMARC, il sera confronté aux dernières règles de filtrage (analyse du contenu, liste verte, etc.)

Une implémentation efficace de DMARC permet de faire passer lentement une transition de mails stockés en quarantaine à un rejet total. Un bon usage nécessite également que l’expéditeur surveille régulièrement les rapports DMARC. Ces rapports informent, entre autres, de toute tentative de phishing sur le domaine dans le cas d’un échec de DKIM ou de SPF. 

Point conseil ?
Vous pouvez procéder à un paramétrage optimal de DMARC en 10 semaines afin de s’assurer que tout est ok avant d’appliquer un niveau de sécurité maximum.

    • 1ère semaine : paramétrage à « none ».
    • 2ème semaine : paramétrage à « quarantine » à 5%
    • 3ème semaine : paramétrage à « quarantine » à 15%
    • 4ème semaine : paramétrage à « quarantine » à 25%
    • 5ème semaine : paramétrage à « quarantine » à 50%
    • 6ème semaine : paramétrage à « quarantine » à 100%
    • 7ème semaine : paramétrage à « reject » à 5%
    • 8ème semaine : paramétrage à « reject » à 15%
    • 9ème semaine : paramétrage à « reject » à 25%
    • 10ème semaine : paramétrage à « reject » à 50%
    • 11ème semaine : paramétrage à « reject » à 100%

Appliquer DMARC sur le domaine principal pour protéger tout le domaine (et ses sous-domaines). Ne pas oublier d’inclure dans SPF, toutes les IP autorisées à router des e-mails avec le domaine (cf. IP du routeur professionnel si vous en utilisez un).

Comment faire ?
Pour que DMARC soit efficace, il vous faudra paramétrer les systèmes d’authentification SPF et DKIM et bien sûr que vous soyez le propriétaire du domaine (on favorisera l’implémentation de DMARC sur le domaine principal, ce qui permettra de protéger également les sous-domaines).

  • Petit rappel de SPF :  permet de déclarer dans l’enregistrement TXT du domaine (ou sous-domaine) les IP autorisées à envoyer des e-mails.
  • Petit rappel de DKIM : permet de signer grâce à une signature cryptographique (clé publique – clé privée) un message et de s’assurer que celui-ci ne soit intercepté/modifié durant sa livraison.

Donc, avant de vous lancer dans l’implémentation de DMARC, soyez bien sûr que SPF et DKIM soient correctement implémentés.
Puis,Il suffit de réaliser un enregistrement Texte TXT dans votre registrar DNS  qui crée un alignement soit SPF soit DKIM.
Il faudra alors renseigner les attributs spécifiques dans l’enregistrement DNS avec la policy «p,reject,quarantine» ,la version «v =», le receiver “rua” , le pourcentage qui sera soumis au filtrage en fonction de la policy appliquée “pct” et le Forensic Receivers “ruf“.

Exemple ci dessous:
v=DMARC1; p=none; fo=1; pct=100; rua=mailto:dmarc_rua@emaildefense.proofpoint.com;ruf=mailto:dmarc_ruf@emaildefense.proofpoint.com
L’enregistrement ci dessus permet de faire une analyse du domaine en envoyant les logs vers proofpoint. Cela permet de vérifier et avoir un aperçu d’un point de vue sécurité du domaine. Un mode reject permettra par la suite de sécuriser le domaine après l’audit.

Conclusion

Ces méthodes permettent de protéger l’identité de vos domaines et le contenu de vos messages de bout en bout. La mise en place du DMARC offre une combinaison parfaite pour la protection de vos échanges. Les grandes enseignes comme Google mais aussi les éditeurs tiers comme Proofpoint recommande l’utilisation de DMARC pour les expéditeurs de courrier, ce que nous suggérons fortement. De plus, Google et Microsoft sont compatibles DMARC.  Cela prouve aux FAI (fournisseurs d’accès internet) que vous êtes un expéditeur sérieux et que vous êtes prêt à prendre des mesures de précaution pour protéger votre identité et votre réputation. Enfin, la passerelle de messagerie sécurisée est devenue le socle incontournable pour lutter contre les attaques extérieures vers les grandes entreprises mais aussi vers les PME.

Source :
https://blog.devensys.com/spf-dkim-dmarc 
https://fr.wikipedia.org/wiki/DMARC
https://www.proofpoint.com/fr/security-awareness/post/latest-phishing-january-2020

October 25, 2020