encryption

Qu'est-ce que la norme SPF (Sender Policy Framework) ?

December 07, 2016
Mark Guntrip

Nombre d'organisations ont déjà investi dans la formation de leurs employés et la sensibilisation de leurs clients à la fraude à la messagerie. Malgré ces investissements, les utilisateurs se laissent encore abuser par le Piratage de la messagerie en entreprise (BEC, Business Email Compromise), à savoir des attaques d'ampleur limitée et fortement ciblées qui usurpent l'identité de marques authentiques pour leurrer les employés, et les escroqueries de phishing d'identifiants de connexion. Et ces attaques fonctionnent. Selon Verizon, 30 % des destinataires ouvrent les messages de phishing qui leur sont adressés, tandis que 12 % d'entre eux vont jusqu'à cliquer sur les pièces jointes malveillantes.

Votre première ligne de défense contre les courriers électroniques d'imposteurs doit être l'authentification des e-mails, pas les utilisateurs. En identifiant et en bloquant les messages malveillants avant même qu'ils n'atteignent la boîte de réception, l'authentification évite dès le départ toute conjecture de la part des destinataires visés.

Pour l'authentification des e-mails, vous devez implémenter trois normes dont l'importance est cruciale pour toute organisation :

  • SPF (Sender Policy Framework)
  • DKIM (DomainKeys Identified Mail)
  • DMARC (Domain-based Message Authentication Reporting and Conformance)

Cette publication décrit la norme SPF, à travers sa définition, son fonctionnement et la raison même de son importance. Cependant, pour bien comprendre la norme SPF, il est essentiel de connaître l'anatomie d'un message électronique, et en particulier les parties que l'on ne voit habituellement pas.

Deux en-têtes par e-mail

Chaque message électronique contient deux « en-têtes », l'un bien visible en haut de chaque e-mail, et l'autre masqué, technique. Chacun de ces en-têtes contient une adresse « d'expéditeur » : celle indiquée dans l'en-tête visible (c.-à-d. « l'en-tête d'expéditeur » ou « le nom convivial de l'expéditeur ») et l'adresse « enveloppe d'expéditeur » incluse dans l'en-tête technique masqué (c.-à-d. le chemin de retour (Return Path) ou mfrom). Voilà un exemple de chacun de ces en-têtes :

En-tête visible :

Définition SPF : l'en tête visible d'un email

En-tête technique masqué :

En-tête d'email câché - Sender Policy Framework

Gardez cela à l'esprit concernant la norme SPF, car c'est de cela dont il est question.

Définition SPF : qu'est-ce que la norme SPF mail?

La norme SPF est un protocole d'authentification des e-mails qui permet à votre entreprise de spécifier qui est autorisé à utiliser votre domaine pour envoyer des e-mails. Vous pouvez autoriser certains expéditeurs pour les fournisseurs de messagerie dans un enregistrement SPF publié au sein du Système de noms de domaine (DNS). Cet enregistrement comprend la liste des adresses IP que vous approuvez et celles des fournisseurs.

Fonctionnement de la norme Sender Policy Framework

Avant de délivrer un message, les fournisseurs de messagerie consultent l'enregistrement SPF en y recherchant le domaine inclus dans l'adresse « enveloppe d'expéditeur » (c.-à-d. le chemin de retour (Return Path) ou « mfrom ») dans l'en-tête technique masqué de l'e-mail. Comme le montre l'exemple ci-dessus, le nom de domaine indiqué dans l'adresse « enveloppe d'expéditeur » est mint.com. Lorsque l'adresse IP à partir de laquelle le message est envoyé au nom de ce domaine n'est pas répertoriée dans l'enregistrement SPF du domaine en question, l'authentification SPF de ce message échoue.

En quoi la norme SPF mail est-elle importante ?

Comme la norme SPF dissuade les cybercriminels d'usurper votre domaine, il y a moins de risque de voir ce dernier placé en liste noire par les filtres de spam. Cette bonne réputation garantit une meilleure livraison de vos messages légitimes.

Pour autant, la norme SPF ne suffit pas à elle seule pour bloquer les e-mails de phishing qui visent vos employés et clients, et rencontre quelques difficultés majeures :

  • Précision : les fournisseurs qui envoient des e-mails au nom de votre marque changent et se multiplient sans cesse. Si vous ne suivez pas ces changements en temps réel, vos enregistrements SPF deviennent vite obsolètes.
  • Tolérance : la norme SPF est l'un des nombreux signaux utilisés par les fournisseurs de messagerie pour faire connaître leur décision en matière de livraison des messages. Un échec SPF ne garantit pas que le message sera bloqué.
  • Immunité : lorsqu'un e-mail fait l'objet d'un transfert, l'enregistrement SPF est brisé.
  • Protection : la norme SPF n'assure aucune protection contre l'usurpation des adresses « d'expéditeur » que les utilisateurs voient dans leur client de messagerie. Les cybercriminels peuvent contourner la norme SPF en insérant leur propre domaine dans l'adresse « enveloppe d'expéditeur » et continuer à usurper le domaine d'une marque authentique dans l'adresse d'expéditeur visible.

Par chance, une autre technologie d'authentification des e-mails peut combler ces lacunes. Ne manquez pas notre prochaine publication sur l'authentification des e-mails, car vous y découvrirez un autre protocole : l'authentification DKIM (DomainKeys Identified Mail).

Votre enregistrement SPF est-il à jour ? Exploitez cet outil pour identifier les serveurs autorisés à envoyer des e-mails au nom de vos domaines.