Comment SPF/DKIM peut-il passer, et DMARC échouer ?
DMARC introduit le concept d'« alignement des identifiants » dans le monde de l'e-mail. Ce concept est nécessaire car SPF et DKIM sont des technologies autonomes capables d'associer un domaine à un e-mail.
Lorsqu'un destinataire utilise SPF, il examine le domaine trouvé dans le RFC5321.MailFrom pour savoir où chercher un enregistrement SPF. L'adresse RFC5321.MailFrom est l'entité transmise dans le cadre de la commande « MAIL FROM » lors de la conversation SMTP. Pour compliquer les choses, cette adresse est également appelée « adresse de rebond », « adresse d'enveloppe », « adresse SPF » ou adresse « Return-Path » (car elle est copiée dans le contenu des messages électroniques en tant qu'en-tête Return-Path: par le destinataire de l'e-mail !). Lorsqu'une vérification SPF est effectuée avec succès, le destinataire obtient un « identifiant authentifié » qui est le domaine du RFC5321.MailFrom.
DKIM est similaire en ce sens qu'il génère également un « identifiant authentifié ». Cependant, l'identifiant de DKIM provient de la balise « d= » qui fait partie de chaque signature DKIM.
Dans le monde DMARC, tout identifiant authentifié doit être pertinent par rapport au domaine que DMARC examine, et il s'agit toujours du domaine trouvé dans l'en-tête From: d'un e-mail.
L'alignement des identifiants est donc le processus de vérification visant à s'assurer que les domaines authentifiés par SPF et DKIM sont pertinents par rapport au domaine trouvé dans l'en-tête From: d'un e-mail.
Ceux qui découvrent DMARC trouvent souvent ce concept déroutant.
L'alignement des identifiants est nécessaire car n'importe qui peut déployer SPF et DKIM pour n'importe quel e-mail aujourd'hui. Si un criminel tente d'usurper bank.com et configure un domaine criminal.net pour mettre en place SPF et DKIM, le simple fait que SPF et DKIM passent ne signifie pas que l'authentification a quoi que ce soit à voir avec bank.com.
De même, les destinataires d'e-mails ne peuvent pas maintenir d'énormes listes associant les domaines d'e-mails entre eux — ils doivent traiter les e-mails aussi rapidement que possible sans essayer de démêler les subtiles nuances entre les domaines. Par exemple, si votre fournisseur de services de messagerie utilise « banknewsletter.com » pour SPF et DKIM tout en envoyant au nom de bank.com, l'infrastructure de réception d'e-mails d'Internet n'a aucune idée si banknewsletter.com est légitime, un site de phishing soigneusement créé, ou s'il est détenu et exploité par la même entité que bank.com.
L'alignement des identifiants est la manière dont les technologies d'authentification d'e-mails existantes sont rendues pertinentes par rapport au contenu d'un e-mail.
Nous sommes là pour vous aider
Avec une équipe d'experts en sécurité e-mail et une mission visant à rendre l'e-mail et Internet plus fiables grâce à la sécurité des domaines, dmarcian est là pour aider à évaluer le catalogue de domaines d'une organisation, et à implémenter et gérer DMARC sur le long terme.
Vous souhaitez poursuivre la conversation ? Rendez-vous sur le Forum dmarcian.
