SPF et DKIM
SPF (Sender Policy Framework) et DomainKeys Identified Mail (DKIM) sont des méthodes de validation qui vérifient que les courriels entrants provenant de domaines spécifiques sont autorisés par le propriétaire de ce domaine. Cela permet de protéger les destinataires contre la réception de messages envoyés avec une identité usurpée. ESET Mail Security uses utilise également l'évaluation DMARC (Domain-based Message Authentication, Reporting and Conformance) pour améliorer encore le SPF et le DKIM.
SPF
Une vérification SPF vérifie qu’un courriel a été envoyé par un expéditeur légitime. Une recherche DNS des enregistrements SPF du domaine de l'expéditeur est effectuée afin d'obtenir une liste d'adresses IP. Si l'une des adresses IP provenant des enregistrements SPF correspond à l'adresse IP réelle de l'expéditeur, le résultat de la vérification SPF est Réussite. Si l'adresse IP réelle de l'expéditeur ne correspond pas, le résultat est Échec. Il faut cependant noter que tous les domaines n'ont des enregistrements SPF spécifiés dans le DNS. Si aucun enregistrement SPF n'existe dans le DNS, le résultat est Non disponible. Des dépassements de délai peuvent se produire occasionnellement pour les requêtes DNS, auquel cas le résultat est également N'est pas disponible.
DKIM
est utilisé par les organisations pour empêcher la mystification des courriels grâce à l'ajout d'une signature numérique aux en-têtes des messages sortants selon la norme DKIM. Cela implique l'utilisation d'une clé de domaine privé pour chiffrer les en-têtes de courriels sortant de vos domaines et l'ajout d'une version publique de la clé aux enregistrements DNS du domaine. ESET Mail Security peut alors extraire la clé publique pour déchiffrer les en-têtes entrants et vérifier que le message provient réellement de votre domaine et que son en-tête n'a pas été modifié en cours de route.
|
Exchange Server 2010 et les versions antérieures ne sont pas entièrement compatibles avec DKIM, car les en-têtes inclus dans les messages entrants signés numériquement peuvent être modifiés pendant la validation DKIM. |
DMARC
DMARC se base sur les deux mécanismes existants, SPF et DKIM. Vous pouvez utiliser les règles de protection du transport du courriel pour évaluer les actions Résultat DMARC et Appliquer la politique DMARC.
Détection automatique des serveurs DNS
La détection automatique utilise les paramètres de votre carte réseau.
Adresse IP du serveur DNS
Si vous souhaitez utiliser des serveurs DNS précis pour SPF et DKIM, entrez l'adresse IP (au format IPv4 ou IPv6) du serveur DNS que vous souhaitez utiliser.
Délai de requête DNS (secondes)
Spécifiez un délai d’attente pour la réponse DNS.
Rejeter automatiquement les messages si la vérification SPF échoue
Si la vérification SPF échoue immédiatement, le courriel peut être rejeté avant qu'il ne soit téléchargé.
|
La vérification SPF est effectuée sur la couche SMTP. Cependant, il peut être rejeté automatiquement sur la couche SMTP ou lors de l'évaluation des règles. Les messages rejetés ne peuvent pas être enregistrés dans le journal des événements lorsque vous utilisez le rejet automatique sur la couche SMTP. En effet, la journalisation est effectuée par une action de règle et le rejet automatique est effectué directement sur la couche SMTP qui se produit avant l'évaluation de la règle. Comme les messages sont rejetés avant l'évaluation des règles, il n'y a pas d'informations à consigner au moment de l'évaluation des règles. Vous pouvez enregistrer les messages rejetés, mais uniquement si vous rejetez les messages par une action de règle. Pour rejeter les messages pour lesquelles la vérification SPF n'a pas réussi et journaliser ces messages rejetés, désactivez Rejeter automatiquement les messages si la vérification du SPF échoue et créez la règle suivante pour Protection du transport du courriel : Condition •Type : Résultat SPF •Opération : est •Paramètre : Échec Actions •Type : Rejeter le message •Type : Journaliser les événements |
Utiliser le domaine Helo dans l’évaluation SPF
Cette caractéristique utilise le domaine HELO pour l’évaluation SPF. Si le domaine HELO n’est pas spécifié, le nom d’hôte de l’ordinateur est utilisé à la place.
Utiliser l'entête Expéditeur : si COURRIEL ENVOYÉ PAR est vide
L'en-tête MAIL FROM peut être vide; elle peut également contenir une identité usurpée. Lorsque cette option est activée, et que MAIL FROM est vide, le message est téléchargé et l'entête From: est utilisée à la place.
Ignorer automatiquement la mise en liste grise si la vérification SPF a réussi
Il n'y a aucune raison d'utiliser la mise en liste grise pour un message en cas de réussite de la vérification SPF.
Réponse de rejet SMTP
Vous pouvez spécifier un code de réponse, un code d'état et un message de réponse, qui définissent la réponse de refus temporaire SMTP envoyée au serveur SMTP si un message est refusé. Vous pouvez écrire un message de réponse en respectant le format suivant :
Code de réponse |
Code d'état |
Message de réponse |
|---|---|---|
550 |
5.7.1 |
La vérification SPF a échoué |