Aide en ligne d'ESET

Recherche Français canadien
Sélectionnez le sujet

SPF et DKIM

SPF (Sender Policy Framework) et DomainKeys Identified Mail (DKIM) sont des méthodes de validation qui vérifient que les courriels entrants provenant de domaines spécifiques sont autorisés par le propriétaire de ce domaine. Cela permet de protéger les destinataires contre la réception de messages envoyés avec une identité usurpée. ESET Mail Security uses utilise également l'évaluation DMARC (Domain-based Message Authentication, Reporting and Conformance) pour améliorer encore le SPF et le DKIM.

SPF

Une vérification SPF vérifie qu’un courriel a été envoyé par un expéditeur légitime. Une recherche DNS des enregistrements SPF du domaine de l'expéditeur est effectuée afin d'obtenir une liste d'adresses IP. Si l'une des adresses IP provenant des enregistrements SPF correspond à l'adresse IP réelle de l'expéditeur, le résultat de la vérification SPF est Réussite. Si l'adresse IP réelle de l'expéditeur ne correspond pas, le résultat est Échec. Il faut cependant noter que tous les domaines n'ont des enregistrements SPF spécifiés dans le DNS. Si aucun enregistrement SPF n'existe dans le DNS, le résultat est Non disponible. Des dépassements de délai peuvent se produire occasionnellement pour les requêtes DNS, auquel cas le résultat est également N'est pas disponible.

DKIM

est utilisé par les organisations pour empêcher la mystification des courriels grâce à l'ajout d'une signature numérique aux en-têtes des messages sortants selon la norme DKIM. Cela implique l'utilisation d'une clé de domaine privé pour chiffrer les en-têtes de courriels sortant de vos domaines et l'ajout d'une version publique de la clé aux enregistrements DNS du domaine. ESET Mail Security peut alors extraire la clé publique pour déchiffrer les en-têtes entrants et vérifier que le message provient réellement de votre domaine et que son en-tête n'a pas été modifié en cours de route.


note

Exchange Server 2010 et les versions antérieures ne sont pas entièrement compatibles avec DKIM, car les en-têtes inclus dans les messages entrants signés numériquement peuvent être modifiés pendant la validation DKIM.

DMARC

DMARC se base sur les deux mécanismes existants, SPF et DKIM. Vous pouvez utiliser les règles de protection du transport du courriel pour évaluer les actions Résultat DMARC et Appliquer la politique DMARC.

ARC

Le protocole ARC (Authenticated Received Chain) fournit une « chaîne de possession » authentifiée pour un message, permettant à chaque entité qui gère le message de voir quelles entités l’ont traité auparavant et quelle était l’évaluation de l’authentification du message à chaque étape. ARC relève le défi des serveurs de messagerie intermédiaires brisant les méthodes d’authentification traditionnelles telles que SPF ou DKIM en modifiant le message électronique.

ARC permet aux gestionnaires de messagerie Internet de joindre des assertions d’évaluation de l’authentification des messages à des messages individuels. Au fur et à mesure que les messages traversent les gestionnaires de messagerie Internet compatibles ARC, des assertions ARC supplémentaires peuvent être jointes aux messages pour former des ensembles ordonnés d’assertions ARC qui représentent l’évaluation de l’authentification à chaque étape des chemins de traitement des messages.

Les gestionnaires de messagerie Internet compatibles ARC peuvent traiter des ensembles d’assertions ARC pour éclairer les décisions de disposition des messages, identifier les gestionnaires de messagerie Internet qui pourraient casser les mécanismes d’authentification existants et transmettre les évaluations d’authentification d’origine au-delà des limites de confiance.

Consultez la rubrique Cas d’utilisation de l’ARC pour plus d’informations sur l’ARC et les cas d’utilisation de la gestion des messages qu’il traite.

Accepter les signatures ARC

L’entité ARC est activée par défaut. ESET Mail Security La protection anti-traitement évalue les en-têtes ARC dans le cadre de règles définies pour SPF, DKIM, DMARC et uniquement dans les cas suivants :

Le résultat du SPF est FAIL, SOFTFAIL

Le résultat du DKIM est FAIL

Le résultat du DMARC est FAIL

Signataire ARC de confiance

Seules les signatures ARC de signataires de confiance sont acceptées. La liste des signataires de confiance par défaut est la suivante : google.com, gmail.com, googlegroups.com, messagingengine.com, fastmail.com, fastmail.fm, outlook.com, hotmail.com, office365.com, microsoft.com, yahoo.com, ymail.com, icloud.com, me.com, amazon.com, and aws.amazon.com.

Détection automatique des serveurs DNS

La détection automatique utilise les paramètres de votre carte réseau.

Adresse IP du serveur DNS

Si vous souhaitez utiliser des serveurs DNS précis pour SPF et DKIM, entrez l'adresse IP (au format IPv4 ou IPv6) du serveur DNS que vous souhaitez utiliser.

Délai de requête DNS (secondes)

Spécifiez un délai d’attente pour la réponse DNS.

Rejeter automatiquement les messages si la vérification SPF échoue

Si la vérification SPF échoue immédiatement, le courriel peut être rejeté avant qu'il ne soit téléchargé.


example

La vérification SPF est effectuée sur la couche SMTP. Cependant, il peut être rejeté automatiquement sur la couche SMTP ou lors de l'évaluation des règles.

Les messages rejetés ne peuvent pas être enregistrés dans le journal des événements lorsque vous utilisez le rejet automatique sur la couche SMTP. En effet, la journalisation est effectuée par une action de règle et le rejet automatique est effectué directement sur la couche SMTP qui se produit avant l'évaluation de la règle. Comme les messages sont rejetés avant l'évaluation des règles, il n'y a pas d'informations à consigner au moment de l'évaluation des règles.

Vous pouvez enregistrer les messages rejetés, mais uniquement si vous rejetez les messages par une action de règle. Pour rejeter les messages pour lesquelles la vérification SPF n'a pas réussi et journaliser ces messages rejetés, désactivez Rejeter automatiquement les messages si la vérification du SPF échoue et créez la règle suivante pour Protection du transport du courriel :

Condition

Type : Résultat SPF

Opération : est

Paramètre : Échec

Actions

Type : Rejeter le message

Type : Journaliser les événements

Utiliser le domaine Helo dans l’évaluation SPF

Cette caractéristique utilise le domaine HELO pour l’évaluation SPF. Si le domaine HELO n’est pas spécifié, le nom d’hôte de l’ordinateur est utilisé à la place.

Utiliser l'entête Expéditeur : si COURRIEL ENVOYÉ PAR est vide

L'en-tête MAIL FROM peut être vide; elle peut également contenir une identité usurpée. Lorsque cette option est activée, et que MAIL FROM est vide, le message est téléchargé et l'entête From: est utilisée à la place.

Ignorer automatiquement la mise en liste grise si la vérification SPF a réussi

Il n'y a aucune raison d'utiliser la mise en liste grise pour un message en cas de réussite de la vérification SPF.

Réponse de rejet SMTP

Vous pouvez spécifier un code de réponse, un code d'état et un message de réponse, qui définissent la réponse de refus temporaire SMTP envoyée au serveur SMTP si un message est refusé. Vous pouvez écrire un message de réponse en respectant le format suivant :

Code de réponse

Code d'état

Message de réponse

550

5.7.1

La vérification SPF a échoué