Vérification de vos enregistrements DNS

Indiquez votre nom de domaine

Indiquez votre clef DKIM



DNS



MX




SPF


DKIM


DMARC




retour




Fonctionnement du mail, la métaphore postale.

Quand vous écrivez une lettre vous êtes celui qui envoie le message.

Pour un mail, on appelle ça le From du message (RFC5322.From), l’adresse e-mail visible dans votre webmail ou lecteur.

Quand vous glissez votre lettre dans une enveloppe, vous indiquez au dos l’adresse en cas d’erreur de distribution (NPAI).

Pour un mail, on appelle ça le From de l’enveloppe (RFC5321.MailFrom), cette adresse n’est pas visible mais figure dans les en-têtes masquées,

elle sert à recevoir les erreurs (bounce) mais également à transmettre le mail au serveur d’envoi.

Si vous êtes quelqu’un d’important, vous pouvez tamponner les rabats de l’enveloppe avec votre sceau,

ce qui prouvera que vous en êtes bien l’auteur et que l’enveloppe n’a pas été ouverte.

Pour un mail, on appelle ça la signature DKIM.



SPF

Vous devez indiquer tous vos canaux d’envoi.

Votre site est sur un serveur dédié, l’IP de ce serveur :

v=spf1 ip4:a.a.a.a ~all

et vos comptes mails sont chez OVH :

v=spf1 ip4:a.a.a.a include:mx.ovh.com ~all

vous envoyez aussi à partir de Gsuite

v=spf1 ip4:a.a.a.a include:mx.ovh.com include:_spf.google.com ~all



Le mécanisme « all » à la fin de l’enregistrement, indique que faire si le mail vient d’une adresse non listée.

all absent ou ?all (neutral) = pas d’indication, les autres serveurs peuvent envoyer en votre nom, pour test uniquement.

all ou +all (pass) = les autres serveurs sont autorisés, à proscrire.

-all (fail) = les autres serveurs sont refusés.

~all (fail) = les autres serveurs sont acceptés mais avec un tag négatif.



À ce jour, il faut utiliser le mécanisme ~all.

En utilisant -all, le mail va être rejeté au niveau SMTP si son adresse n’est pas listée,

ce qui ne permet pas de tester l’authentification DKIM.

C’est le cas pour les redirections (forward) et pour les requêtes DNS sans résultat (délai ou autre) :

avec -all, le mail est rejeté

avec ~all sans DKIM ou DKIM invalide, le mail est accepté avec un tag négatif

avec ~all et DKIM valide, le mail est accepté.



Le SPF est relié au From de l’enveloppe,

il indique si le mail a été envoyé par un serveur autorisé ou non.



La signature DKIM est relié au contenu du message,

il indique si celui-ci a été modifié ou non.

En cas de redirection, et donc de changement du From de l’enveloppe,

la signature DKIM reste (normalement) puisqu’elle fait partie des en-têtes.



DMARC

La Poste a apporté le courrier, ok,

le sceau était toujours entier, ok,

mais rien ne me dit que c’est bien untel qui a écrit ce courrier et non un usurpateur.

DMARC va ajouté des liens entre ces différentes méthodes d’authentification.

Il va relier le From de l’enveloppe avec le From du message, s’ils sont différents, il y a erreur.

Il va aussi relier le domaine de la signature DKIM avec le From du message, s’ils sont différents, il y a erreur.

Pour l’instant, il suffit qu’un de ces deux liens soit bon pour que le mail soit accepté.

On indique par la règle « p » ce qu’il faut faire en cas d’erreur :

p=none, on accepte le mail

p=quarantine, on met le mail en spam ou on le tag négativement

p=reject, on refuse le mail



SPOOFING USURPATION

Et pourquoi il ne faut pas utiliser les règles p=none ou sp=none de DMARC.

J’écris un mail avec comme From de l’enveloppe untel@untel.fr à partir du serveur a.a.a.a,

le SPF de untel.fr indique que a.a.a.a est autorisé à transmettre ses mails.

1ère authentification réussie.

Je signe le mail avec un DKIM au nom de untel.fr ou même deuxtel.fr,

la signature est bonne, le contenu n’a pas été modifié.

2ème authentification réussie.

Enfin, j’utilise president@elysee.fr comme From du message.

Si elysee.fr a une règle DMARC p=none, qui veut dire en clair,

ce n’est pas moi qui ai transmis ce mail, ce n’est pas moi qui l’ai signé,

mais peu m’importe, donc le mail est accepté, et je vais pouvoir spammer à loisir en son nom.



SPF DKIM et DMARC sont généralement interprétés comme étant des mécanismes pour que les mails arrivent bien,

en fait, c’est pour qu’ils n’arrivent pas, les spams en votre nom bien sûr.

J’ajoute que si votre règle est p=none et que les spammeurs utilisent votre nom,

votre réputation en prendra un coup, et si vous ne modifiez pas votre politique en quarantine ou reject,

des organisations comme Spamhaus https://www.spamhaus.org/ augmenterons votre note négative,

et un jour la plupart de vos mails seront refusés.

Dit autrement, si on spamme en votre nom mais que vous avez des règles restrictives (quarantine, reject),

vous ne risquez rien vu que vous indiquez ce qu’il y a à faire,

les serveurs de réception savent qu’il faut refuser ces mails,

les spammeurs n’atteignent pas leurs cibles.



CAS DES SOUS-DOMAINES

Il n’y a pas d’héritage du domaine vers le sous-domaine pour SPF et DKIM,

si vous voulez écrire à partir de untel@info.untel.fr, il vous faudra

un enregistrement SPF spécifique

une signature DKIM spécifique.

Par contre, il y a un héritage pour DMARC, s’il n’y a pas d’enregistrement spécifique,

la règle « sp= » du domaine parent sera appliquée et en son absence la règle « p= ».

Pour simplifier, il vaut mieux ajouter une règle sp=reject au DMARC du domaine principal,

et créer un enregistrement spécifique au besoin.



DMARC elysee.fr

p=quarantine; sp=none

donc...

on peut spammer à partir de untel@presidence.elysee.fr !


retour