DKIM contre SPF. Lequel est le meilleur ?

Quelle mesure de sécurité des emails devriez-vous utiliser : DKIM ou SPF ? Dans cet article, nous couvrirons ce que signifient ces termes, quand vous devriez les utiliser et comment ils peuvent aider à protéger vos domaines de messagerie.

L’email n’a jamais été aussi important, ni aussi rentable pour les réseaux de cybercriminalité. Aujourd’hui, les fraudeurs de tous horizons usurpent les domaines de messagerie d’entreprise dans des attaques de phishing et des escroqueries de compromission de courriel professionnel (BEC) qui alimentent près de 9 milliards de dollars de pertes commerciales chaque année. Si votre entreprise est usurpée dans ces attaques, elle pourrait subir des dommages réputationnels importants sur le marché.

Alors, qu’est-ce que le SPF (Sender Policy Framework) ? Et qu’est-ce que le DKIM (DomainKeys Identified Email) ? Ils sont tous deux des normes de sécurité des emails importantes conçues pour aider à empêcher les pirates d’usurper vos domaines pour des attaques par email ciblant vos clients, partenaires et le grand public.

Comment fonctionne l’usurpation de domaine

Un fraudeur n’a qu’à configurer ou compromettre un serveur SMTP pour simuler un e-mail. À partir de là, ils peuvent modifier les adresses e-mail pour « De », « Répondre à » et « Chemin de retour » pour que leurs e-mails de phishing semblent être des communications officielles de la personne ou de l’entreprise qu’ils usurpent l’identité.

Le Protocole de transfert de courrier simple (SMTP), utilisé par les systèmes de messagerie pour envoyer, recevoir ou relayer les emails sortants, ne dispose pas d’un mécanisme pour valider les adresses email, ce qui rend cette fraude d’identité concevable. Les premières méthodes d’authentification des emails comme S/MIME n’ont pas réussi à contrer efficacement ce problème. Mais à partir du milieu des années 2000, deux nouvelles normes de sécurité des emails, SPF et DKIM, ont commencé à réussir là où les stratégies précédentes avaient échoué.

Comment fonctionne SPF (Sender Policy Framework)

Le SPF (Sender Policy Framework) permet aux expéditeurs d’emails de désigner quelles adresses IP sont autorisées à envoyer des emails à partir d’un domaine spécifique, ce qui est sa fonction la plus fondamentale. En publiant cette politique sous forme d’enregistrement TXT dans le DNS du domaine spécifié, par exemple, le propriétaire du domaine peut spécifier que seule l’adresse IP 5.6.7.8.9 est autorisée à envoyer des emails depuis @VotreURLdeSociétéici.com.

En utilisant notre outil de vérification SPF pour rechercher les enregistrements SPF, vous pouvez déterminer quels serveurs sont autorisés à livrer des emails pour vos domaines.

Les serveurs de réception d’emails effectuent une requête sur les enregistrements DNS de votre domaine d’envoi pour vérifier si l’adresse IP fournie dans l’enregistrement SPF correspond à celle utilisée pour envoyer l’email. En l’absence de correspondance, l’email ne passera pas l’authentification, aidant ainsi à éliminer les emails malveillants qui tentent de profiter de cette connexion.

Comment fonctionne le DKIM

Les clés publiques nécessaires pour authentifier de telles signatures numériques sont mises à disposition par DKIM. Les fournisseurs de messagerie réceptionnant peuvent ensuite vérifier que l’email n’a pas été modifié pendant son transit. L’enregistrement TXT de la clé publique est demandé depuis le DNS du domaine expéditeur lorsque le serveur SMTP reçoit un email avec une telle signature dans l’en-tête. Le fournisseur de services de messagerie destinataire peut signaler le message comme spam ou interdire complètement l’adresse IP de l’expéditeur si la vérification échoue ou si la signature est manquante.

Lequel est meilleur ?

En fin de compte, il s’agit plutôt d’une situation de « mieux ensemble » que d’un choix entre l’un ou l’autre. Cela est dû au fait que SPF et DKIM traitent tous deux d’aspects différents mais également importants de la sécurité des emails. SPF permet de vérifier si un email prétendant provenir de votre entreprise a effectivement été envoyé depuis l’une de vos adresses IP reconnues. De plus, DKIM vérifie que l’email n’a pas été falsifié ou modifié avant d’être envoyé au destinataire prévu. Cependant, il est crucial de se rappeler que DKIM et SPF ne fournissent pas une solution complète pour l’authentification des emails, que ce soit utilisés individuellement ou ensemble.

Pour cela, nous devrons ajouter un acronyme supplémentaire à la conversation :

Pourquoi DMARC fait toute la différence

Le Domain-based Message Authentication, Reporting & Conformance (DMARC), un système commun d’authentification des emails qui complète SPF et DKIM avec une couche de politique, a été proposé pour la première fois en 2012. En utilisant DMARC, les entreprises peuvent publier des lignes directrices spécifiant quand les fournisseurs de messagerie doivent se fier à DKIM et SPF pour un domaine spécifique, ainsi que les actions à prendre si les messages ne passent pas ces vérifications.

Le paramètre de politique d’application DMARC le plus strict est « reject » (p=reject), ce qui indique au serveur de messagerie récepteur de rejeter les messages email qui échouent à l’authentification DMARC et de les empêcher d’atteindre leur destinataire prévu. Créer et attribuer un enregistrement DMARC à un DNS est relativement facile. Cependant, déployer DMARC sur un grand nombre de domaines peut rapidement devenir complexe pour les grandes entreprises.

Créez un compte Skysnag ici pour générer votre enregistrement DMARC.

Conclusion

Skysnag automatise DMARC, SPF et DKIM pour que vous puissiez augmenter la délivrabilité des e-mails. Cela étant dit, évitez les attaques d’usurpation d’e-mails avec le logiciel automatisé de Skysnag qui vous permet de confirmer la validité des e-mails. Inscrivez-vous dès aujourd’hui via ce lien pour bénéficier d’un essai gratuit et maintenez un nom de domaine sain pour votre entreprise.