Lutter contre le SPAM – SPF, DKIM, DMARC …

  • Post category:blog

Où en sommes-nous du SPAM ?

Les chiffres du SPAM

Selon les éditeurs, le SPAM représente encore entre 55% et 95% du trafic mail.

Véritable fléau pour les entreprises (et aussi pour les particuliers), il existe pourtant des mesures plus ou moins simples pour en limiter l’impact.


Quels sont ces mécanismes ?

SPF

SPF, pour Sender Policy Framework, est un mécanisme permettant d’identifier les serveurs autorisés à envoyer des mails pour un domaine déterminé. Il est décrit dans la RFC 7208.

Se basant sur un champ DNS de type TXT, ce mécanisme permet, dès lors qu’il est mis en place, d’aller vérifier si un serveur SMTP est autorisé à envoyer un mail pour ce domaine.

Il convient, dès lors que le champ est présent dans le DNS, de lister les noms.

Exemple du DNS Microsoft :

microsoft.com.          3600    IN      TXT     « v=spf1 include:_spf-a.microsoft.com include:_spf-b.microsoft.com include:_spf-c.microsoft.com include:_spf-ssg-a.microsoft.com include:spf-a.hotmail.com ip4:147.243.128.24 ip4:147.243.128.26 ip4:147.243.1.153 ip4:147.243.1.47 ip4:147.243.1.48 -all »

La signification des clés est la suivante :

  • all : matche tous les éléments. Exemple : -all pour toutes les adresses IP qui ne correspondent pas
  • a : matche si le nom de domaine possède un enregistrement DNS IN A (ou AAAA) qui peut être résolu comme adresse d’expéditeur
  • ip4 : matche si l’expéditeur est dans la plage IP V4 spécifiée
  • ip6 : matche si l’expéditeur est dans la plage IP V6 spécifiée
  • mx : matche si un champ MX ayant l’adresse IP de l’expéditeur est existant dans le DNS du domaine
  • include : matche si la règle incluse passe le test

Schéma de fonctionnement

 

spam protection SPF Allistic

DKIM

DKIM, pour DomainKeys Identified  Mail, est une norme d’authentification du nom de domaine de l’expéditeur d’un mail : la RFC 6376.

Il s’agit cette fois-ci d’un mécanisme de « signature » du mail.

L’implémentation de DKIM ajoute à chaque mail sortant une série de clés qui vont créer une « signature » dans l’en-tête du mail.

Cette signature est spécifique au domaine utilisé. Elle est générée par une clé privée. La clé publique, elle, est communiquée dans le DNS, et servira donc à vérifier la signature à la réception d’un mail.

Schéma de fonctionnement

 

spam DMARK Allistic

DMARC

DMARC, pour Domain-based Message Authentication, Reporting and Conformance, est une norme encore plus complète : la RFC7489.

Elle utilise les mécanismes SPF et DKIM vus précédemment et vient ajouter la notion de « politique de traitement ».

Exemple de syntaxe d’un enregistrement DNS :

_dmarc TXT « v=DMARC1;p=quarantine;sp=quarantine;pct=100;adkim=r;aspf=r;fo=1;ri=86400;rua=mailto:dmarc@example.com;ruf=mailto:dmarc@example.com;rf=afrf »

La signification des clés est la suivante :

  • v: Version.
  • p : Policy. Il indique aux serveurs destinataires la politique à appliquer dans le cas où le mail échoue au test :
    • p=none : Aucune politique
    • p=quarantine : Préconise la mise en quarantaine du mail
    • p=reject : Préconise le rejet du mail
  • rua : indique l’adresse à laquelle les rapports DMARC agrégés doivent être envoyés
  • ruf : indique l’adresse à laquelle les rapports DMARC forensics doivent être envoyés
  • adkim : indique si le test DKIM doit être strict ou large (r pour relaxed)
  • aspf : indique si le test SPF doit être strict ou large (r pour relaxed)
  • pct : indique le pourcentage de mails auquel le test DMARC devrait être appliqué
  • rf : spécifie le format des rapports d’erreurs
  • sp : politique à appliquer aux sous-domaines
  • ri : nombre de secondes entre deux envois de rapports
  • fo : permet d’indiquer dans quel cas un rapport de vulnérabilité doit être envoyé

Schéma de fonctionnement

 

spam dkim allistic

Ressources

Voici quelques liens pour approfondir le sujet :

 



Vous souhaitez en savoir plus ?