OĂč en sommes-nous du SPAM ?
Les chiffres du SPAM
Selon les éditeurs, le SPAM représente encore entre 55% et 95% du trafic mail.
VĂ©ritable flĂ©au pour les entreprises (et aussi pour les particuliers), il existe pourtant des mesures plus ou moins simples pour en limiter l’impact.
Quels sont ces mécanismes ?
SPF
SPF, pour Sender Policy Framework, est un mĂ©canisme permettant d’identifier les serveurs autorisĂ©s Ă envoyer des mails pour un domaine dĂ©terminĂ©. Il est dĂ©crit dans la RFC 7208.
Se basant sur un champ DNS de type TXT, ce mĂ©canisme permet, dĂšs lors qu’il est mis en place, d’aller vĂ©rifier si un serveur SMTP est autorisĂ© Ă envoyer un mail pour ce domaine.
Il convient, dÚs lors que le champ est présent dans le DNS, de lister les noms.
Exemple du DNS Microsoft :
microsoft.com.     3600  IN   TXT   « v=spf1 include:_spf-a.microsoft.com include:_spf-b.microsoft.com include:_spf-c.microsoft.com include:_spf-ssg-a.microsoft.com include:spf-a.hotmail.com ip4:147.243.128.24 ip4:147.243.128.26 ip4:147.243.1.153 ip4:147.243.1.47 ip4:147.243.1.48 -all »
La signification des clés est la suivante :
- all : matche tous les éléments. Exemple : -all pour toutes les adresses IP qui ne correspondent pas
- a : matche si le nom de domaine possĂšde un enregistrement DNS IN A (ou AAAA) qui peut ĂȘtre rĂ©solu comme adresse d’expĂ©diteur
- ip4 : matche si l’expĂ©diteur est dans la plage IP V4 spĂ©cifiĂ©e
- ip6 : matche si l’expĂ©diteur est dans la plage IP V6 spĂ©cifiĂ©e
- mx : matche si un champ MX ayant l’adresse IP de l’expĂ©diteur est existant dans le DNS du domaine
- include : matche si la rĂšgle incluse passe le test
Schéma de fonctionnement
DKIM
DKIM, pour DomainKeys Identified Mail, est une norme d’authentification du nom de domaine de l’expĂ©diteur d’un mail : la RFC 6376.
Il s’agit cette fois-ci d’un mĂ©canisme de « signature » du mail.
L’implĂ©mentation de DKIM ajoute Ă chaque mail sortant une sĂ©rie de clĂ©s qui vont crĂ©er une « signature » dans l’en-tĂȘte du mail.
Cette signature est spĂ©cifique au domaine utilisĂ©. Elle est gĂ©nĂ©rĂ©e par une clĂ© privĂ©e. La clĂ© publique, elle, est communiquĂ©e dans le DNS, et servira donc Ă vĂ©rifier la signature Ă la rĂ©ception d’un mail.
Schéma de fonctionnement
DMARC
DMARC, pour Domain-based Message Authentication, Reporting and Conformance, est une norme encore plus complĂšte : la RFC7489.
Elle utilise les mécanismes SPF et DKIM vus précédemment et vient ajouter la notion de « politique de traitement ».
Exemple de syntaxe d’un enregistrement DNS :
_dmarc TXT « v=DMARC1;p=quarantine;sp=quarantine;pct=100;adkim=r;aspf=r;fo=1;ri=86400;rua=mailto:dmarc@example.com;ruf=mailto:dmarc@example.com;rf=afrf »
La signification des clés est la suivante :
- v: Version.
- p : Policy. Il indique aux serveurs destinataires la politique Ă appliquer dans le cas oĂč le mail Ă©choue au test :
- p=none : Aucune politique
- p=quarantine : Préconise la mise en quarantaine du mail
- p=reject : Préconise le rejet du mail
- rua : indique l’adresse Ă laquelle les rapports DMARC agrĂ©gĂ©s doivent ĂȘtre envoyĂ©s
- ruf : indique l’adresse Ă laquelle les rapports DMARC forensics doivent ĂȘtre envoyĂ©s
- adkim : indique si le test DKIM doit ĂȘtre strict ou large (r pour relaxed)
- aspf : indique si le test SPF doit ĂȘtre strict ou large (r pour relaxed)
- pct : indique le pourcentage de mails auquel le test DMARC devrait ĂȘtre appliquĂ©
- rf : spĂ©cifie le format des rapports d’erreurs
- sp : politique Ă appliquer aux sous-domaines
- ri : nombre de secondes entre deux envois de rapports
- fo : permet d’indiquer dans quel cas un rapport de vulnĂ©rabilitĂ© doit ĂȘtre envoyĂ©
Schéma de fonctionnement
Ressources
Voici quelques liens pour approfondir le sujet :
