Fonctionnement des vérifications de l’expéditeur

Les vérifications de l’expéditeur sont utilisées pour vérifier l’authenticité de la provenance d’un message.

Cette section aborde les types de vérifications de l’expéditeur que Sophos Email utilise pour vous protéger contre les emails illégitimes.

Remarque : Cette section explique brièvement le fonctionnement des vérifications de l’expéditeur. Toutefois, elle n’inclut pas d’informations détaillées sur la création des enregistrements DNS (DMARC, DKIM, SPF) mais essentiellement sur le traitement des messages entrants.

SPF

Sender Policy Framework (SPF) vous permet de vérifier que la messagerie entrante provient d’une adresse IP ou d’un hôte d’envoi autorisé par les administrateurs du domaine d’envoi.

L’expéditeur crée un enregistrement SPF qui indique les hôtes, les adresses IP et les sous-réseaux autorisés à envoyer des messages pour leur domaine.

En cas de réception d’un email par Sophos Email, l’adresse du serveur de messagerie d’expédition est vérifiée puis comparée aux expéditeurs autorisés dans l’enregistrement SPF. En cas de non correspondance, la vérification SPF échoue.

DKIM

DomainKeys Identified Mail (DKIM) est utilisé pour autoriser un email en vérifiant sa signature numérique qui associe un nom de domaine à l’email.

L’expéditeur décide de la partie de l’email qu’il veut signer (en-tête et/ou corps du message) puis il configure son serveur de messagerie pour créer un hachage de ces parties. Le hachage est ensuite chiffré avec sa clé privée. Il publie un enregistrement DKIM qui contient la clé publique utilisée pour déchiffrer la signature.

Lorsque Sophos Email voit qu’un email a une signature DKIM, il effectue une recherche DNS pour trouver l’enregistrement DKIM correspondant au domaine d’envoi. Il utilise la clé publique pour déchiffrer la signature numérique et obtenir sa valeur de hachage. Il prend ensuite les éléments du message qui ont été signés et crée son propre hachage qu’il compare avec le hachage déchiffré. En cas de non correspondance, la vérification DKIM échoue.

DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance) utilise DKIM et SPF pour valider l’authenticité d’un email.

L’expéditeur crée un enregistrement DMARC qui demande au destinataire d’effectuer des vérifications DMARC et qui contient des informations sur la marche à suivre en cas d’échec des vérifications DMARC.

À la réception d’un email, Sophos Email procède à la vérification DMARC pour retrouver l’enregistrement de du domaine indiqué dans l’adresse (en-tête) « De » des emails. L’enregistrement DMARC demande au destinataire (dans ce cas, Sophos Email) de vérifier DMARC et lui indique la marche à suivre en cas d’échec des vérifications DMARC. L’option par défaut de Sophos Email pour les messages qui ne passent pas les vérifications DMARC est Conforme à la stratégie de l’expéditeur. Ce qui signifie que le traitement du message dépend de ce que est défini dans l’enregistrement DMARC. Le domaine indiqué dans l’adresse de est comparé aux informations des enregistrements SPF et DKIM pour vérifier que les domaines correspondent. Pour passer une vérification DMARC, le message doit être validé et aligné sur les vérifications SPF ou DKIM :

  • Pour SPF, le domaine indiqué dans l’adresse (enveloppe) MESSAGE DE doit correspondre aux adresses IP ou sous-réseaux indiqués dans l’enregistrement SPF. DMARC vérifie ensuite l’adresse MESSAGE DE en la comparant à l’adresse de pour garantir qu’elles correspondent.
  • Pour DKIM, la signature doit être validée et le domaine indiqué sur l’adresse de doit correspondre au domaine utilisé pour créer la signature indiquée dans l’enregistrement DNS.

Anomalies d’en-tête

La vérification des Anomalies d’en-tête vous protège contre les emails d’usurpation des expéditeurs envoyés depuis votre domaine.

Elle identifie un email qui semble provenir de votre propre domaine alors qu’il vient d’un domaine externe en comparant l’en-tête de de l’email avec l’adresse MESSAGE DE dans l’enveloppe.

  • Si le domaine de l’adresse de appartient au même client que le domaine du destinataire, le message est considéré comme un faux.
  • Si l’adresse de dans l’en-tête est différentes de l’adresse MESSAGE DE dans l’enveloppe, le message est considéré comme un faux.
Remarque : L’en-tête doit correspondre aux critères ci-dessus pour déclencher la vérification Anomalies d’en-tête.