Comment protéger votre boite mail contre les tentatives de Spoofing

Les emails de Spoofing sont des emails dont l’adresse de l’expéditeur a été contrefaite par le véritable expéditeur. Vous pouvez, par exemple, être contacté par quelqu’un affirmant avoir reçu un message de votre part, alors que vous ne lui avez rien envoyé. Vous pouvez trouver de plus amples informations sur le spoofing sur cette page.

Bien qu’il n’existe pas vraiment de solutions pour empêcher le spoofing, vous pouvez utiliser certains outils permettant à vos destinataires de vérifier qu’un email reçu a bien été envoyé par vous. Pour ce faire vous ajoutez un certain type d’enregistrements DNS au nom de domaine utilisé par votre adresse email. Cet enregistrement confirme au serveur recevant l’email ce qu’il doit vérifier pour valider l’email comme authentique. Le serveur de réception peut ensuite décider ce qu’il fait de l’email en question si les vérifications échouent.

Ces outils dépendent entièrement de capacités du serveur de réception à être en mesure de vérifier les enregistrements DNS concernés. Cette vérification est faite généralement automatiquement par le serveur de réception avant que l’email n’arrive dans la boite du destinataire. Tous les serveurs de réception n’effectuent pas ces vérifications, il est donc toujours possible que votre adresse email soit usurpée. Néanmoins d’autres destinataires plus soucieux de la sécurité apprécieront d’avoir la possibilité de vérifier l’authenticité de vos emails.

DKIM

DKIM, ou Domainkeys Identified Mail (Mail Identifié par Clés de Domaine), vous permet d’attacher une signature à votre email montrant que cet email est autorisé par le domaine. Le destinataire peut automatiquement vérifier cette signature via une clé publique que vous aurez publié via les enregistrements DNS de votre nom de domaine. Cette signature permet aussi de vérifier que l’email, ainsi que les éventuels fichiers joints n’ont pas été modifiés entre l’envoi et la réception.

Les emails envoyés via les serveurs Gandimail sont compatibles avec les signatures DKIM. Pour les boites mails dont le domaine et le service mail sont hébergés par Gandi, vous pouvez activer DKIM via votre compte, en suivant ces étapes :

  1. Connectez-vous à votre compte Gandi, puis rendez-vous dans la rubrique « NOM DE DOMAINE » » via le menu de gauche.
  2. Cliquez sur le nom de domaine gérant le ou les emails concernés.
  3. Cliquez sur l’onglet « Boites et redirections Mails ».
  4. Dans le bloc « Paramètres et sécurité » cliquez sur « Modifier 🖉 ».
  5. Activez l’interrupteur en dessous de Signature DKIM.
  6. Cliquez sur « Mettre à jour ».

Vous pouvez aussi le faire manuellement en ajoutant les lignes suivantes dans vos enregistrements DNS .

gm1._domainkey 10800 IN CNAME   gm1.gandimail.net.
gm2._domainkey 10800 IN CNAME   gm2.gandimail.net.
gm3._domainkey 10800 IN CNAME   gm3.gandimail.net.

Ces trois enregistrements CNAME sont nécessaires en cas de régénération de clés.

Enregistrement SPF

SPF (pour Sender Policy Framework ou Cadre de Stratégie de l’Expéditeur) est un type spécifique d’enregistrement DNS de type TXT ajouté aux enregistrements DNS de votre nom de domaine qui partage publiquement les adresses IP autorisées à utiliser ce nom de domaine pour envoyer des emails. Cela permet au destinataire de vérifier automatiquement si l’adresse IP du serveur d’envoi d’un email affirmant provenir de votre adresse fait bien partie des adresses IP autorisées par le domaine.

Si vous envoyez des emails depuis les serveurs Gandimail, ou si vous avez un site hébergé sur une instance Simple Hosting Gandi qui envoie des emails, vous pouvez utiliser des enregistrements SPF. Si votre adresse email est hébergée par un service de mail externe, vous devrez contacter directement votre fournisseur pour de plus amples informations.

Note

Les Limitations techniques du service Gandimail s’appliquent toujours.

L’enregistrement Simple Hosting est à utiliser uniquement si vous prévoyez d’envoyer des emails via un site web hébergé sur une instance Gandi (via un formulaire de contact, par exemple).

Si vous envoyez des emails depuis un domaine utilisant les serveurs Gandimail, ajoutez l’enregistrement suivant :

@ 10800 IN TXT "v=spf1 include:_mailcust.gandi.net ?all"

Si vous avez un site hébergé chez Gandi qui envoie des emails, ajoutez l’enregistrement suivant :

@ 10800 IN TXT "v=spf1 include:_spf.gpaas.net ?all"

Enfin si vous envoyez des emails via un domaine et un hébergement Simple Hosting Gandi, ajoutez l’enregistrement suivant :

@ 10800 IN TXT "v=spf1 include:_mailcust.gandi.net include:_spf.gpaas.net ?all"

Important

Il ne peut y avoir qu’un seul enregistrement SPF, si vous devez préciser plusieurs services mail (service de newsletter par exemple) il sera nécessaire d’ajouter ce dernier au SPF existant.

DMARC

DMARC(ou Domain-based Message Authentication, Reporting and Conformance, en FR : Authentification, Rapports et Confirmité des Messages, basé sur le Domaine) vous permet de publier un enregistrement DNS spécifique pour votre nom de domaine indiquant que vous avez implémenté les protocoles DKIM et SPF (il est donc inutile sans ces derniers) et fourni une recommandation sur ce qui doit être fait si un email ne passe pas les vérifications. Cela aide aussi les destinataires à vous rapporter les emails reçus depuis votre nom de domaine, incluant si les dits emails ont passé ou non les vérifications fournies.

Pour utiliser DMARC vous devez ajouter l’enregistrement suivant à votre domaine. Remplacez le « user@domain.tld » avec l’adresse email à laquelle vous souhaitez recevoir les rapports des serveurs mail de réception.

_dmarc 10800 IN TXT "v=DMARC1; p=reject; rua=mailto:user@domain.tld"

La valeur « p » dans cet exemple signifie « rejeter ». Les trois options disponibles sont : « none » (aucune action spéciale effectuée, mais vous recevez quand même les rapports), « quarantine » (quarantaine, l’email est considéré comme suspect et devrait être placé dans un dossier « spam » ou un équivalent pour le courrier non fiable) et « reject » (rejeter, l’email doit être rejeté et ne pas être délivré).

Attention

Si vous utilisez l’option « reject » vous courrez le risque que des emails redirigés ne soient pas délivrés, selon les circonstances. Par exemple, si une personne physique a mis en place une redirection Gandimail de manière à ce que tous les emails arrivant soient redirigés vers une adresse email extérieure à Gandi, il y a un risque que les emails redirigés soient rejetés par le destinataire final.

Vous pouvez trouver de plus amples informations sur DMARC sur le site officiel DMARC (en anglais)