Aller au contenu

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=email-message-authentication

Authentification de message

L’authentification de message vous permet de vérifier si un email a bien été envoyé par l’expéditeur indiqué. Sophos Email utilise DMARC, SPF et DKIM pour effectuer ces vérifications.

Les vérifications de l’authentification de message sont effectuées par ordre d’apparition dans votre stratégie Email Security. Si la première échoue, les autres authentifications ne seront pas effectuées. Voir Fonctionnement de l’authentification des messages.

Retrouvez plus de renseignements sur l’ordre dans lequel les authentifications sont effectuées dans différents scénarios sur Séquence d’authentification des messages.

Nous vous recommandons de définir chaque catégorie d’authentification de message sur Quarantaine.

Vous pouvez remplacer l’authentification de message en autorisant des domaines et adresses email dans la Liste d’autorisation de messages entrants.

Pour chaque authentification de message, vous pouvez choisir d’envoyer des messages qui ne parviennent pas dans la Quarantaine de l’utilisateur final.

Avertissement

Si vous êtes abonné à Sophos EMS et que celui-ci est configuré derrière votre outil de sécurité de la messagerie principal tiers, Sophos pourrait recevoir des emails modifiés. Par conséquent, les vérifications DKIM pourraient échouer et l'alignement DMARC pourrait ne pas fonctionner correctement. Un échec de vérification DKIM ou DMARC ne signifie pas nécessairement que l'email représente un risque de sécurité.

Configurer l’authentification des messages

Pour configurer l’authentification des messages, procédez comme suit :

  1. Dans votre stratégie Email Security, allez dans Paramètres > Messages entrants > Authentification.

  2. Activez les vérifications DMARC, SPF et DKIM selon les besoins.

    Remarque

    Par défaut, la vérification DMARC est activée, et Défaillance matérielle est défini sur Conforme à la stratégie de l’expéditeur.

  3. Cliquez sur Ajouter une règle pour configurer les types d'échec et choisir l'action pour chaque vérification.

    Retrouvez plus de renseignements sur les types d’échec et les actions disponibles sur DMARC, SPF, et DKIM.

    L’ajout d’autres types d'échec DMARC n’est pas actuellement disponible pour tous les clients.

  4. Enregistrez la stratégie.

Les nouveaux paramètres d'authentification s'appliquent à tous les emails entrants. Les conditions ajoutées sont vérifiées de haut en bas, et la première correspondance est appliquée.

DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance) est une stratégie d’authentification de la messagerie et un protocole d’édition de rapports. Elle est basée sur les protocoles DKIM et SPF pour détecter et empêcher l’usurpation de la messagerie. Vous pouvez contrôler ce qui arrive aux messages qui ne passent pas les vérifications DMARC.

Défaillance matérielle : Cet échec se produit lorsqu’un message échoue la vérification DMARC parce que ni SPF ni DKIM ne sont alignées. Par défaut, cette option est définie sur Conforme à la stratégie de l’expéditeur.

L’alignement SPF est vérifié entre le domaine figurant dans le champ « header-from » et le domaine figurant dans le champ « envelope-from ». La conformité DKIM est vérifiée pour le d=domain dans la signature DKIM par rapport au domaine dans le champ « header-from ».

Vous pouvez également configurer votre stratégie Email Security pour qu’elle vérifie les types d'échec DMARC.

Les options ci-dessous ne sont pas encore disponibles pour tous les clients.

Vous pouvez configurer les options suivantes :

  • p=aucun : Cette option vous permet d’agir en cas d’échec DMARC lorsque la stratégie de l’expéditeur est définie sur none.

    Remarque

    Il est utile d'ajouter ce type d'échec uniquement lorsque l'option Défaillance matérielle est définie sur Conforme à la stratégie de l’expéditeur. Lorsque vous êtes Conforme à la stratégie de l’expéditeur et que l’expéditeur a défini la stratégie sur aucune (p=none), aucune action d’échec ne pourra être effectuée si la vérification DMARC échoue pour le message de l'expéditeur.

  • Incompatible : Cette défaillance se produit lorsqu'aucun enregistrement DMARC n'existe pour le domaine d'envoi. Ce type de défaillance se rapporte uniquement au mode passerelle.

  • M365 bestguesspass : Ce type d'échec se rapporte uniquement au mode de flux de courrier M365. Retrouvez plus de renseignements sur la manière dont M365 évalue « bestguesspass » dans la documentation M365.
  • Défaillance temporaire : Cet échec se produit lorsque la recherche de l’enregistrement DMARC dans le DNS (Domain Name Server) répond par une défaillance temporaire. Cette erreur peut se résoudre d'elle-même sans aucune intervention.
  • Défaillance permanente : Cette défaillance se produit lorsque l'enregistrement DMARC du domaine retourné par la recherche DNS ne peut pas être correctement interprété. Cette erreur peut être résolue par le propriétaire de l'enregistrement DNS.

Pour chaque type de défaillance, vous pouvez appliquer une action comme suit :

  • Conforme à la stratégie de l’expéditeur : ce qui arrive au message dépend de ce que l’expéditeur a indiqué dans la stratégie DMARC. Il s’agit de la valeur par défaut.

    Remarque

    Cette action s'applique uniquement en cas de Défaillance matérielle.

  • Marquer la ligne d’objet : Sophos Email ajoute un identifiant à la ligne d’objet du message pour indiquer qu’il s’agit d’un message usurpé.

  • Quarantaine : le message est mis en quarantaine.

    Remarque

    Si vous sélectionnez Inclure dans la quarantaine de l’utilisateur final, vos utilisateurs peuvent vérifier, libérer ou supprimer des messages. Voir Quarantaine de l’utilisateur final.

  • Refuser : le message est refusé.

    Remarque

    Les en-têtes bruts ne sont pas disponibles pour les messages rejetés.

  • Distribuer : Le message passe à l’étape de contrôle suivante.

SPF

Sender Policy Framework (SPF) vous permet de vérifier que la messagerie entrante provient d’une adresse IP autorisée par les administrateurs du domaine d’envoi. Les messages de spam et de phishing (hameçonnage) utilisent régulièrement des adresses contrefaites.

Une Défaillance matérielle se produit lorsque l’adresse IP de l’expéditeur n’est pas répertoriée en tant qu’expéditeur autorisé. Pour s’assurer que seule l’adresse IP autorisée puisse envoyer des emails, l’expéditeur doit ajouter -all dans l’enregistrement SPF. Cette option est la vérification SPF par défaut pour laquelle vous pouvez configurer l’action d’échec.

Vous pouvez également configurer d’autres types de défaillance SPF telles que :

  • Défaillance logicielle : Se produit lorsque l’adresse IP de l’expéditeur n’est pas autorisée. Ceci pourrait être dû au fait que le propriétaire du domaine n’a pas défini de restriction définitive, ce qui aurait pour conséquence un plus grand « échec ». Pour s’assurer que seule l’adresse IP autorisée puisse envoyer des emails, mais pas définitivement, l’expéditeur doit ajouter ~all dans l’enregistrement SPF.
  • Neutre : Se produit lorsque le domaine de l’expéditeur indique explicitement qu'il n’est pas en mesure de confirmer si l’adresse IP de l’expéditeur est autorisée ou non, en sélectionnant ?all dans l’enregistrement SPF. Dans ce cas, les emails provenant de n’importe quelle adresse IP donnent un résultat neutre.
  • Incompatible : Se produit lorsque l’expéditeur n’a pas configuré l’enregistrement SPF.
  • Défaillance temporaire : Se produit en raison d’une erreur temporaire, généralement due au DNS, lors de la vérification. Cette erreur peut se résoudre d’elle-même sans aucune intervention de l’opérateur DNS.
  • Défaillance permanente : Se produit lorsque les enregistrements publiés du domaine ne peuvent pas être interprétés correctement. Ceci indique une erreur qui nécessite l’intervention de l’opérateur DNS.

Pour chaque type de défaillance, vous pouvez appliquer une action comme suit :

  • Marquer la ligne d’objet : Sophos Email ajoute un identifiant à la ligne d’objet du message pour indiquer qu’il s’agit d’un message usurpé. Il s’agit de la valeur par défaut.

  • Quarantaine : le message est mis en quarantaine.

    Remarque

    Si vous sélectionnez Inclure dans la quarantaine de l’utilisateur final, vos utilisateurs peuvent vérifier, libérer ou supprimer des messages. Voir Quarantaine de l’utilisateur final.

  • Refuser : le message est refusé.

    Remarque

    Les en-têtes bruts ne sont pas disponibles pour les messages rejetés.

  • Distribuer : Le message passe à l’étape suivante.

DKIM

DKIM (DomainKeys Identified Mail) est une norme d’authentification fiable utilisée pour signer et valider un message en fonction du domaine de l’expéditeur. Vous pouvez contrôler ce qui arrive aux messages qui ne passent pas les vérifications DKIM.

Une Défaillance matérielle se produit lorsque le DKIM est configuré, que la signature DKIM se trouve dans l’email et que le DNS répond correctement, mais que la vérification du DKIM ne réussit pas. Cette option est la vérification DKIM par défaut pour laquelle vous pouvez configurer l’action d’échec.

Vous pouvez également configurer d’autres types de défaillance DKIM telles que :

  • Incompatible : Se produit lorsque l’expéditeur n’a pas configuré DKIM ou que la clé DKIM publiée par l’expéditeur dans l’enregistrement DNS n’est pas valide.
  • Défaillance temporaire : Se produit en raison d’une erreur temporaire, généralement due au DNS, lors de la vérification. Cette erreur peut se résoudre d’elle-même sans aucune intervention de l’opérateur DNS.
  • Défaillance permanente : Se produit lorsque les enregistrements publiés du domaine ne peuvent pas être interprétés correctement. Ceci indique une erreur qui nécessite l’intervention de l’opérateur DNS.

Pour chaque type de défaillance, vous pouvez appliquer une action comme suit :

  • Marquer la ligne d’objet : Sophos Email ajoute un identifiant à la ligne d’objet du message pour indiquer qu’il s’agit d’un message usurpé. Il s’agit de la valeur par défaut.

  • Quarantaine : le message est mis en quarantaine.

    Remarque

    Si vous sélectionnez Inclure dans la quarantaine de l’utilisateur final, vos utilisateurs peuvent vérifier, libérer ou supprimer des messages. Voir Quarantaine de l’utilisateur final.

  • Refuser : le message est refusé.

    Remarque

    Les en-têtes bruts ne sont pas disponibles pour les messages rejetés.

  • Distribuer : Le message passe à l’étape suivante.