Documentation de Maildrop

Authentification des emails

Si vous envoyez de emails en utilisant votre propre nom de domaine, mettre en place l'authentification des emails est indispensable.
Vous pouvez voir ça comme une signature numérique pour votre domaine, mise en place pour protéger votre marque, votre identité numérique, vos contenus et votre réputation. Il sera plus difficile pour des pirates de prétendre qu'ils envoient des emails de votre part ou de votre marque (phising), et il est plus probable que vos emails légitimes atteignent la boîte de réception de vos contacts.

Cette page explique les différentes façons d'authentifier vos emails et leur incidence sur les emails que vous envoyez. Si vous voulez seulement mettre en place l'authentification sur votre domaine, lisez cet article.

Les méthodes d'authentifications

Il existe trois méthodes utilisées pour l'authentification des emails, toutes basées sur les enregistrements DNS TXT:

  • DKIM (DomainKeys Identified Mail)
  • SPF (Sender Policy Framework)
  • DMARC (Domain-based Message Authentication, Reporting, and Conformance)

Bien sûr, le mieux est de mettre en place DKIM, SPF et DMARC, mais ça n'est pas toujours faisable, notamment à cause de la technicité de la mise en place.

  • Si vous envoyez des emails en utilisant votre propre domaine, configurez au minimum DKIM.
  • Si vous entrez dans l'une ou l'autre des catégories suivantes, nous conseillons également de mettre en place SPF et DMARC avec un alignement strict du domaine).
    • Vous êtes une grande entreprise soucieuse de la sécurité.
    • Vous envoyez des emails au sujet de transactions financières.
    • Vous gérez les emails d'une marque connue qui doit faire l'objet d'une protection.

DKIM

DKIM vérifie que le contenu d'un email n'a pas été altéré avant d'atteindre le destinataire. Il le fait en générant un code, appelé hachage, qui représente divers éléments d'un email, comme son contenu et certaines entêtes, dont le champ From. Ce hachage est ensuite chiffré à l'aide d'une clé privée et ajouté aux en-têtes de l'email au moment de l'envoi par le serveur de messagerie sortant.

Lorsqu'un serveur de messagerie entrant reçoit l'email, il vérifie les en-têtes de l'email pour voir si DKIM est présent. Si tel est le cas, il génère son propre hachage des éléments de courrier électronique correspondants (contenu, champ FROM, etc.). Le serveur recherche ensuite le domaine fourni dans la signature DKIM et interroge le DNS de ce domaine pour la clé publique nécessaire pour déchiffrer le hachage. Si le hachage déchiffré de l'en-tête de l'email correspond au hachage du serveur des champs appropriés dans l'email reçu, l'email passe le test DKIM avec succès.

Maildrop hache les champs d'en-tête et le corps des emails, ce qui permet non seulement de confirmer qu'un email provient de la personne dont il dit qu'il provient, mais que le contenu n'a pas été modifié depuis son envoi.

SPF

SPF permet de publier la liste des adresses IP autorisées à envoyer des emails pour un nom de domaine spécifique. Par défaut, Maildrop vous fournit un enregistrement SPF, autorisant les domaines par lesquels nous envoyons des emails. Les emails envoyés avec les paramètres SPF par défaut peuvent toujours passer DMARC, à condition que vous configuriez également DKIM pour votre domaine.

DMARC

DMARC vise à empêcher les hameçonneurs, les spammeurs et autres acteurs illégitimes de d'usurper un domaine d'envoi et de se faire passer pour quelqu'un d'autre. C'est ce qu'on appelle l'usurpation d'identité.

Quand un serveur de messagerie entrant le prend en charge, DMARC donne au propriétaire d'un domaine d'envoi un certain contrôle sur ce qui se passe lorsque ce serveur reçoit un email falsifié - ne faites rien, bloquez-le (rejetez) ou envoyez-le en spam / courrier indésirable (mise en quarantaine).

Un e-mail passe DMARC si:

  • Il passe DKIM ou SPF.
  • Le domaine utilisé dans l'adresse From correspond au domaine utilisé dans les enregistrements DKIM ou SPF.

Même si un email passe DMARC, ce n'est pas une garantie qu'il se retrouvera dans la boîte de réception. Un email sera toujours soumis à d'autres vérifications, comme la recherche de contenu de spam ou des vérifications de la réputation de l'expéditeur, avant d'atteindre sa destination finale.

Avant de mettre en place DMARC, commencez par configurer et vérifier que DKIM et SPF aligné sur le domaine d'envoi fonctionnent comme prévu.