Fonctionnement des vérifications de l’expéditeur
Les vérifications de l’expéditeur sont utilisées pour vérifier l’authenticité de la provenance d’un message.
Cette section aborde les types de vérifications de l’expéditeur que Sophos Email Security utilise pour vous protéger contre les emails illégitimes.
Retrouvez plus de renseignements sur l’ordre dans lequel les vérifications sont effectuées dans différents scénarios sur Séquence de vérifications de l’expéditeur.
Remarque
Cette section explique brièvement le fonctionnement des vérifications de l’expéditeur. Toutefois, elle n’inclut pas d’informations détaillées sur la création des enregistrements DNS (DMARC, DKIM, SPF) mais essentiellement sur le traitement des messages entrants.
SPF
Sender Policy Framework (SPF) vous permet de vérifier que la messagerie entrante provient d’une adresse IP ou d’un hôte d’envoi autorisé par les administrateurs du domaine d’envoi.
L’expéditeur crée un enregistrement SPF qui indique les hôtes, les adresses IP et les sous-réseaux autorisés à envoyer des messages pour leur domaine.
En cas de réception d’un email par Sophos Email Security, l’adresse du serveur de messagerie d’expédition est vérifiée puis comparée aux expéditeurs autorisés dans l’enregistrement SPF. En cas de non correspondance, la vérification SPF échoue.
DKIM
DomainKeys Identified Mail (DKIM) est utilisé pour autoriser un email en vérifiant sa signature numérique qui associe un nom de domaine à l’email.
L’expéditeur décide de la partie de l’email qu’il veut signer (en-tête et/ou corps du message) puis il configure son serveur de messagerie pour créer un hachage de ces parties. Le hachage est ensuite chiffré avec sa clé privée. Il publie un enregistrement DKIM qui contient la clé publique utilisée pour déchiffrer la signature.
Lorsque Sophos Email Security voit qu’un email a une signature DKIM, il effectue une recherche DNS pour trouver l’enregistrement DKIM correspondant au domaine d’envoi. Il utilise la clé publique pour déchiffrer la signature numérique et obtenir sa valeur de hachage. Il prend ensuite les éléments du message qui ont été signés et crée son propre hachage qu’il compare avec le hachage déchiffré. En cas de non correspondance, la vérification DKIM échoue.
Voir DKIM.
DMARC
DMARC (Domain-based Message Authentication, Reporting and Conformance) utilise DKIM et SPF pour valider l’authenticité d’un email.
L’expéditeur crée un enregistrement DMARC qui demande au destinataire d’effectuer des vérifications DMARC et qui contient des informations sur la marche à suivre en cas d’échec des vérifications DMARC.
À la réception d’un email, Sophos Email Security procède à la vérification DNS pour retrouver l’enregistrement DMARC du domaine indiqué dans l’adresse (en-tête) « De » des emails. L’enregistrement DMARC demande au destinataire (dans ce cas, Sophos Email Security) de vérifier DMARC et lui indique la marche à suivre en cas d’échec des vérifications DMARC. L’option par défaut de Sophos Email Security pour les messages qui ne passent pas les vérifications DMARC est Conforme à la stratégie de l’expéditeur. Ceci signifie que le traitement du message dépend de ce que est défini dans l’enregistrement DMARC. Le domaine indiqué dans l’adresse « De » est comparé aux informations des enregistrements SPF et DKIM pour vérifié que les domaines correspondent. Pour passer une vérification DMARC, le message doit être validé et aligné sur les vérifications SPF ou DKIM :
- Pour SPF, le domaine indiqué dans l’adresse (enveloppe) MESSAGE DE doit correspondre aux adresses IP ou sous-réseaux indiqués dans l’enregistrement SPF. DMARC vérifie ensuite l’adresse MESSAGE DE en la comparant à l’adresse « De » pour garantir qu’elles correspondent.
- Pour DKIM, la signature doit être validée et le domaine indiqué sur l’adresse « De » doit correspondre au domaine utilisé pour créer la signature indiquée dans l’enregistrement DNS.
Voir DMARC.
Anomalies d’en-tête
La vérification des anomalies d’en-tête vous protège contre les emails d’usurpation des expéditeurs envoyés depuis votre domaine.
Elle identifie un email qui semble provenir de votre propre domaine alors qu’il vient d’un domaine externe en comparant l’en-tête De de l’email avec l’adresse DE dans l’enveloppe.
- Si le domaine de l’adresse De appartient au même client que le domaine du destinataire, le message est considéré comme un faux.
- Si l’adresse De dans l’en-tête est différente de l’adresse DE dans l’enveloppe, le message est considéré comme un faux.
Remarque
L’en-tête doit correspondre aux critères ci-dessus pour déclencher la vérification des anomalies d’en-tête.