DKIMDMARCSPF

Un message réussit à la vérification SPF/DKIM mais échoue-t-il à la vérification DMARC ?

By september 24, 2020februari 19th, 2021No Comments

DMARC introduit le concept d ‘« Identifier Alignment » (alignement des identifiants) dans le monde du courrier électronique. Le concept est nécessaire car SPF et DKIM sont des technologies autonomes capables d’associer un domaine à un courriel.

Quand un récepteur utilise SPF, le récepteur examine le domaine trouvé dans le RFC5321.MailFrom pour savoir où chercher un enregistrement SPF. L’adresse RFC5321.MailFrom est l’entité qui est transmise dans le cadre de la commande « MAIL FROM » pendant la conversation SMTP. Pour rendre les choses encore plus compliquées, cette adresse est également appelée « adresse de renvoi », « adresse enveloppe », « adresse SPF », ou  « ReturnPath »  (parce qu’elle est copiée par le destinataire du courriel dans le contenu des messages électroniques en tant qu’en-tête « ReturnPath: »!) Lorsqu’un contrôle SPF est effectué avec succès, les destinataires reçoivent un « Authenticated Identifier » qui est le domaine du RFC5321.MailFrom.

DKIM est similaire en ce sens qu’il génère également un « Authenticated Identifier » (identifiant authentifié) ou ID de domaine. Cependant, l’ID de DKIM provient de la balise «  d= » qui fait partie de chaque signature DKIM.

Dans le monde de DMARC, chaque identifiant authentifié doit être pertinent pour le domaine que le DMARC examine, c’est-à-dire le domaine qui se trouve dans l’en-tête From: d’un courriel.

L’alignement des identificateurs est donc le processus qui consiste à vérifier que les domaines authentifiés par SPF et DKIM sont pertinents pour le domaine trouvé dans l’en-tête From: d’un courriel.

Pour ceux qui débutent avec DMARC, ce concept est souvent déroutant.

L’alignement des identificateurs est nécessaire car, de nos jours, n’importe qui peut définir SPF et DKIM pour n’importe quel message électronique. Supposons qu’un criminel tente d’usurper le nom de domaine bank.com et crée le domaine criminal.net pour ce faire afin de mettre en place SPF et DKIM. Si SPF et DKIM passent tous deux la vérification, cela ne veut pas dire que l’authentification a un rapport avec bank.com.

De plus, les destinataires de courriers électroniques ne peuvent pas tenir d’énormes listes reliant les domaines de messagerie entre eux ; ils doivent traiter les courriers électroniques le plus rapidement possible sans avoir à relever les subtiles nuances entre les domaines. Par exemple, si votre fournisseur de courrier électronique utilise « banknewsletter.com » pour que SPF DKIM envoient des messages au nom de bank.com, l’infrastructure de la partie destinataire du courrier électronique sur Internet ne peut pas déterminer si banknewsletter.com est légitime ou s’il s’agit d’un site d’hameçonnage soigneusement créé, et s’il est détenu et géré par la même entité que bank.com.

L’alignement des identificateurs est donc la manière dont les technologies de vérification du courrier électronique existantes sont rendues pertinentes pour le contenu d’un courrier électronique.