Comment protéger votre boite mail contre les tentatives de Spoofing

Les E-mails de Spoofing sont des E-mails dont l’adresse de l’expéditeur a été contrefaite par le véritable expéditeur. Vous pouvez, par exemple, être contacté par quelqu’un affirmant avoir reçu un message de votre part, alors que vous ne lui avez rien envoyé. Vous pouvez trouver de plus amples informations sur le spoofing sur cette page.

Bien qu’il n’existe pas vraiment de solutions pour empêcher le spoofing, vous pouvez utiliser certains outils permettant à vos destinataires de vérifier qu’un E-mail reçu a bien été envoyé par vous. Pour ce faire vous ajoutez un certain type d’enregistrements DNS au nom de domaine utilisé par votre adresse E-mail. Cet enregistrement confirme au serveur recevant l’E-mail ce qu’il doit vérifier pour valider l’E-mail comme authentique. Le serveur de réception peut ensuite décider ce qu’il fait de l’E-mail en question si les vérifications échouent.

Ces outils dépendent entièrement des capacités du serveur de réception à être en mesure de vérifier les enregistrements DNS concernés. Cette vérification est faite généralement automatiquement par le serveur de réception avant que l’E-mail n’arrive dans la boite du destinataire. Tous les serveurs de réception n’effectuent pas ces vérifications, il est donc toujours possible que votre adresse E-mail soit usurpée. Néanmoins d’autres destinataires plus soucieux de la sécurité apprécieront d’avoir la possibilité de vérifier l’authenticité de vos E-mails.

DKIM

DKIM, ou Domainkeys Identified Mail (Mail Identifié par Clés de Domaine), vous permet d’attacher une signature à votre E-mail montrant que cet E-mail est autorisé par le domaine. Le destinataire peut automatiquement vérifier cette signature via une clé publique que vous aurez publié via les enregistrements DNS de votre nom de domaine. Cette signature permet aussi de vérifier que l’E-mail, ainsi que les éventuels fichiers joints n’ont pas été modifiés entre l’envoi et la réception.

Les E-mails envoyés via les serveurs Gandimail sont compatibles avec les signatures DKIM. Pour les boites mails dont le domaine et le service mail sont hébergés par Gandi et si le domaine concerné utilise LiveDNS, vous pouvez activer DKIM via votre compte, en suivant ces étapes :

  1. Connectez-vous à votre compte Gandi, puis rendez-vous dans la rubrique « NOM DE DOMAINE » » via le menu de gauche.

  2. Cliquez sur le nom de domaine gérant le ou les E-mails concernés.

  3. Cliquez sur l’onglet « Boites et redirections Mails ».

  4. Dans le bloc « Paramètres et sécurité » cliquez sur « Modifier 🖉 ».

  5. Activez l’interrupteur en dessous de Signature DKIM.

  6. Cliquez sur « Mettre à jour ».

Vous pouvez aussi le faire manuellement en ajoutant les lignes suivantes dans vos enregistrements DNS .

gm1._domainkey 10800 IN CNAME   gm1.gandimail.net.
gm2._domainkey 10800 IN CNAME   gm2.gandimail.net.
gm3._domainkey 10800 IN CNAME   gm3.gandimail.net.

Ces trois enregistrements CNAME sont nécessaires en cas de régénération de clés.

Enregistrement SPF

SPF (pour Sender Policy Framework ou Cadre de Stratégie de l’Expéditeur) est un type spécifique d’enregistrement DNS de type TXT ajouté aux enregistrements DNS de votre nom de domaine qui partage publiquement les adresses IP autorisées à utiliser ce nom de domaine pour envoyer des E-mails. Cela permet au destinataire de vérifier automatiquement si l’adresse IP du serveur d’envoi d’un E-mail affirmant provenir de votre adresse fait bien partie des adresses IP autorisées par le domaine.

Si vous envoyez des E-mails depuis les serveurs Gandimail, ou si vous avez un site hébergé sur un Hébergement Web Gandi qui envoie des E-mails, vous pouvez utiliser des enregistrements SPF. Si votre adresse E-mail est hébergée par un service de mail externe, vous devrez contacter directement votre fournisseur pour de plus amples informations.

Note

Les Limitations techniques du service Gandimail s’appliquent toujours.

L’enregistrement Hébergement Web est à utiliser uniquement si vous prévoyez d’envoyer des E-mails via un site internet hébergé sur un hébergement Gandi (via un formulaire de contact, par exemple).

Si vous envoyez des E-mails depuis un domaine utilisant les serveurs Gandimail, ajoutez l’enregistrement suivant :

@ 10800 IN TXT "v=spf1 include:_mailcust.gandi.net ?all"

Si vous avez un site hébergé chez Gandi qui envoie des E-mails, ajoutez l’enregistrement suivant :

@ 10800 IN TXT "v=spf1 include:_spf.gpaas.net ?all"

Enfin si vous envoyez des E-mails via un domaine et un Hébergement Web Gandi, ajoutez l’enregistrement suivant :

@ 10800 IN TXT "v=spf1 include:_mailcust.gandi.net include:_spf.gpaas.net ?all"

Important

Il ne peut y avoir qu’un seul enregistrement SPF, si vous devez préciser plusieurs services mail (service de newsletter par exemple) il sera nécessaire d’ajouter ce dernier au SPF existant.

Par exemple si vous utilisez les serveurs mail Gandi et des vos serveurs propres, votre enregistrement pourrait ressembler à cela :

@ 10800 IN TXT "v=spf1 include:_mailcust.gandi.net include:_spf.example.com ip4:217.70.176.0/21 ip6:2001:4b98:c::/48 ip4:217.70.184.158 ip4:217.70.185.10 ip4:217.70.186.165 ip4:155.133.132.131 ip4:155.133.138.131 ptr ?all"

DMARC

DMARC (ou Domain-based Message Authentication, Reporting and Conformance, en FR : Authentification, Rapports et Confirmité des Messages, basé sur le Domaine) vous permet de publier un enregistrement DNS spécifique pour votre nom de domaine indiquant que vous avez implémenté les protocoles DKIM et SPF (il est donc inutile sans ces derniers) et fourni une recommandation sur ce qui doit être fait si un E-mail ne passe pas les vérifications. Cela aide aussi les destinataires à vous rapporter les E-mails reçus depuis votre nom de domaine, incluant si les dits E-mails ont passé ou non les vérifications fournies.

Pour utiliser DMARC vous devez ajouter l’enregistrement suivant à votre domaine. Remplacez le « user@​domain.tld » avec l’adresse E-mail à laquelle vous souhaitez recevoir les rapports des serveurs mail de réception.

_dmarc 10800 IN TXT "v=DMARC1; p=reject; rua=mailto:user@​domain.tld"

La valeur « p » dans cet exemple signifie « rejeter ». Les trois options disponibles sont : « none » (aucune action spéciale effectuée, mais vous recevez quand même les rapports), « quarantine » (quarantaine, l’E-mail est considéré comme suspect et devrait être placé dans un dossier « spam » ou un équivalent pour le courrier non fiable) et « reject » (rejeter, l’E-mail doit être rejeté et ne pas être délivré).

Attention

Si vous utilisez l’option « reject » vous courrez le risque que des E-mails redirigés ne soient pas délivrés, selon les circonstances. Par exemple, si une personne physique a mis en place une redirection Gandimail de manière à ce que tous les E-mails arrivant soient redirigés vers une adresse E-mail extérieure à Gandi, il y a un risque que les E-mails redirigés soient rejetés par le destinataire final.

Vous pouvez trouver de plus amples informations sur DMARC sur le site officiel DMARC (en anglais)