Comment SPF/DKIM peuvent-ils passer et DMARC échouer ?
DMARC introduit le concept d'"alignement de l'identifiant" dans le monde du courrier électronique. Ce concept est nécessaire car SPF et DKIM sont des technologies autonomes capables d'associer un domaine à un message électronique.
Lorsqu'un récepteur utilise le SPF, il examine le domaine trouvé dans le RFC5321.MailFrom pour savoir où chercher un enregistrement SPF. L'adresse RFC5321.MailFrom est l'entité qui est transmise dans le cadre de la commande "MAIL FROM" au cours de la conversation SMTP. Pour ne rien arranger, cette adresse est également appelée "adresse de rebond", "adresse de l'enveloppe", "adresse SPF" ou "adresse du chemin de retour" (car elle est copiée dans le contenu des messages électroniques en tant qu'en-tête ReturnPath : par le destinataire du message !) Lorsqu'une vérification SPF est effectuée avec succès, le destinataire reçoit un "Identifiant authentifié" qui est le domaine du RFC5321.MailFrom.
DKIM est similaire dans la mesure où il génère également un "identifiant authentifié". Toutefois, l'identifiant de DKIM provient de la balise "d=" qui fait partie de chaque signature DKIM.
Dans le monde de DMARC, tout identifiant authentifié doit être pertinent pour le domaine que DMARC examine, et c'est toujours le domaine trouvé dans l'en-tête From : d'un courriel.
L'alignement des identificateurs consiste donc à vérifier que les domaines authentifiés par SPF et DKIM correspondent au domaine figurant dans l'en-tête From : d'un courriel.
Les personnes qui ne connaissent pas DMARC trouvent souvent ce concept déroutant.
L'alignement des identifiants est nécessaire car n'importe qui peut aujourd'hui déployer SPF et DKIM pour n'importe quel élément du courrier électronique. Si un criminel essaie d'usurper bank.com et crée un domaine criminal.net pour mettre en place SPF et DKIM, ce n'est pas parce que SPF et DKIM passent tous les deux que l'authentification a quelque chose à voir avec bank.com.
De même, les récepteurs de courrier électronique ne peuvent pas maintenir d'énormes listes associant les domaines de courrier électronique. Ils doivent traiter le courrier électronique aussi rapidement que possible sans essayer de démêler les nuances subtiles entre les domaines. Par exemple, si votre fournisseur de services de messagerie utilise "banknewsletter.com" à la fois pour SPF et DKIM tout en envoyant des messages au nom de bank.com, l'infrastructure de réception des messages sur Internet n'a aucune idée si banknewsletter.com est légitime, s'il s'agit d'un site de phishing soigneusement créé ou s'il est détenu et exploité par la même entité que bank.com.
L'alignement des identifiants est la façon dont les technologies d'authentification des courriels existantes sont rendues pertinentes pour le contenu d'un courriel.
Nous sommes là pour vous aider
Avec une équipe d'experts en sécurité du courrier électronique et une mission visant à rendre le courrier électronique et l'Internet plus fiables grâce à la sécurité des domaines, dmarcian est là pour aider à évaluer le catalogue de domaines d'une organisation et à mettre en œuvre et gérer DMARC à long terme.
Vous voulez continuer la conversation ? Rendez-vous sur le forum dmarcien.
