Proposition de fiche technique :

L’authentification du domaine de messagerie repose sur des standards techniques tels que SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) et DMARC (Domain-based Message Authentication, Reporting and Conformance). Ces mécanismes permettent de vérifier que les e-mails envoyés depuis un domaine sont légitimes et n’ont pas été usurpés.

Ils protègent :
- le propriétaire du nom de domaine
- les utilisateurs contre le spam, le phishing et les fraudes par usurpation d’identité.

Un domaine correctement authentifié renforce la confiance des destinataires, améliore la délivrabilité des messages, et contribue à la réputation globale du site.

#Sécurité #Confiance #Délivrabilité

Objectif

- Protéger les utilisateurs contre les courriels frauduleux ou usurpés
- Améliorer la délivrabilité des emails légitimes (newsletters, confirmations, alertes)
- Renforcer la réputation et la fiabilité du domaine émetteur
- Réduire le risque que les emails soient classés comme spam
- Respecter les exigences des principaux fournisseurs de messagerie
- Surveiller les emails envoyés avec le nom de domaine

Mise en œuvre

- SPF : Ajouter un enregistrement TXT dans le DNS du domaine listant les serveurs autorisés à envoyer des mails pour ce domaine.
- DKIM : Configurer la signature cryptographique des emails émis via une clé privée, et publier la clé publique dans le DNS du domaine.
- DMARC : Définir une politique (none, quarantine, reject) et spécifier une adresse de retour pour les rapports, via un enregistrement DNS.

Exemples :

- SPF : v=spf1 include:_spf.example.com ~all
- DKIM : Publication d’un enregistrement TXT sous selector._domainkey.example.com
- DMARC : v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@example.com

Contrôle

Pour chaque domaine utilisé pour l'envoi d’emails :

- Utiliser des outils de test de configuration DNS (ex : https://mxtoolbox.com, https://dmarcian.com)
- Vérifier que les enregistrements SPF, DKIM et DMARC sont présents et correctement configurés
- Analyser les en-têtes des e-mails reçus pour confirmer la bonne application des signatures
- S’assurer que les politiques définies (notamment DMARC) sont cohérentes avec les pratiques d’envoi du site

Autre proposition pour essayer de la faire passer car elle est importante
{Le domaine de messagerie est authentifié}

Pas de formulation simple pour l'instant, technos qui peuvent évoluer, recommandation.

La formulation semble peu claire pour l'instant :


{Les enregistrements du domaine de messagerie sont définis}

Ou mieux :

{Les domaines de messagerie sont configurés}

La proposition est utile. En revanche, je suis gêné par la mention des technologies dans la règle elle-même.
Je suis aussi gêné par le etc.
SI on devait la garder il faudrait la reformuler :

{Les enregistrements DNS correspondant au nom de domaine sont définis}

Et dans la fiche, une liste limitative d'enregistrements.
SPF, DMARC, DKIM

Un peu de culture, je cite Google => Ces enregistrements DNS (Sender Policy Framework, Domain-based Message Authentication Reporting and Conformance, DomainKeys Identified Mail, etc.) sont des protocoles de sécurité essentiels pour la messagerie électronique.

Ils permettent de vérifier l'authenticité des expéditeurs et de protéger les domaines contre le spam, le phishing et d'autres attaques. SPF vérifie l'adresse IP de l'expéditeur, DKIM ajoute une signature numérique à l'e-mail, et DMARC permet de définir une politique pour gérer les e-mails qui échouent aux vérifications SPF et DKIM.

Ensemble, SPF, DKIM et DMARC offrent une défense robuste contre les attaques de phishing, le spam et l'usurpation d'identité, améliorant la confiance dans la messagerie et la réputation des domaines.

Bref, un risque à éviter de prendre :)

https://www.cloudflare.com/fr-fr/learning/email-security/dmarc-dkim-spf/