Authentification de la messagerie

SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail) sont des méthodes de validation qui vérifient que les e-mails entrants provenant de domaines spécifiques sont autorisés par le propriétaire de ce domaine. Les destinataires sont ainsi protégés contre les messages électroniques falsifiés. ESET Mail Security utilise également l'évaluation DMARC (Domain-based Message Authentication, Reporting and Conformance) pour améliorer encore davantage SPF et DKIM.

SPF

Une vérification SPF permet de vérifier qu’un e-mail a été envoyé par un expéditeur légitime. Une recherche DNS des enregistrements SPF du domaine de l'expéditeur est effectuée afin d'obtenir une liste d'adresses IP. Si l'une des adresses IP des enregistrements SPF correspond à l'adresse IP de l'expéditeur, la vérification SPF est réussie. Si l'adresse IP de l'expéditeur ne correspond pas, la vérification a échoué. Tous les domaines n'ont toutefois pas d'enregistrements SPF définis dans DNS. Si DNS ne contient aucun enregistrement DNS, le résultat de la vérification n'est pas disponible. Une demande DNS peut occasionnellement expirer. Dans ce cas, le résultat n'est également pas disponible.

DKIM

Est utilisé par les organisations pour empêcher l'usurpation des messages électroniques en ajoutant une signature numérique aux en-têtes des messages sortants selon la norme DKIM. Cela implique l'utilisation d'une clé de domaine privée pour chiffrer les en-têtes sortants du domaine et l'ajout d'une version publique de la clé pour les enregistrements DNS du domaine. ESET Mail Security peut ensuite récupérer la clé publique pour déchiffrer les en-têtes entrants et vérifier que le message provient véritablement du domaine et que ses en-têtes n'ont pas été modifiés.

DMARC

DMARC s'appuie sur les mécanismes SPF et DKIM existants. Vous pouvez utiliser les règles de la protection du transport des messages pour évaluer le résultat DMARC et l'action Appliquer la stratégie DMARC.

ARC

Le protocole ARC (Authenticated Received Chain) fournit une « chaîne de possession » authentifiée pour un message, permettant à chaque entité qui gère le message de voir quelles entités l’ont traité auparavant et quelle était l’évaluation de l’authentification du message à chaque étape. ARC relève le défi des serveurs de messagerie intermédiaires brisant les méthodes d’authentification traditionnelles telles que SPF ou DKIM en modifiant le message électronique.

ARC permet aux gestionnaires de messagerie Internet de joindre des assertions d’évaluation de l’authentification des messages à des messages individuels. Au fur et à mesure que les messages traversent les gestionnaires de messagerie Internet compatibles ARC, des assertions ARC supplémentaires peuvent être jointes aux messages pour former des ensembles ordonnés d’assertions ARC qui représentent l’évaluation de l’authentification à chaque étape des chemins de traitement des messages.

Les gestionnaires de messagerie Internet compatibles ARC peuvent traiter des ensembles d’assertions ARC pour éclairer les décisions de disposition des messages, identifier les gestionnaires de messagerie Internet qui pourraient casser les mécanismes d’authentification existants et transmettre les évaluations d’authentification d’origine au-delà des limites de confiance.

Consultez la rubrique Cas d’utilisation de l’ARC pour plus d’informations sur l’ARC et les cas d’utilisation de la gestion des messages qu’il traite.

Accepter les signatures ARC

L’entité ARC est activée par défaut. ESET Mail Security La protection anti-traitement évalue les en-têtes ARC dans le cadre de règles définies pour SPF, DKIM, DMARC et uniquement dans les cas suivants :

•Le résultat du SPF est FAIL, SOFTFAIL

•Le résultat du DKIM est FAIL

•Le résultat du DMARC est FAIL

Signataire ARC de confiance

Seules les signatures ARC de signataires de confiance sont acceptées. La liste des signataires de confiance par défaut est la suivante : google.com, gmail.com, googlegroups.com, messagingengine.com, fastmail.com, fastmail.fm, outlook.com, hotmail.com, office365.com, microsoft.com, yahoo.com, ymail.com, icloud.com, me.com, amazon.com, and aws.amazon.com.

Détection automatique des serveurs DNS

La détection automatique utilise les paramètres de votre carte réseau.

Adresse IP du serveur DNS

Si vous souhaitez utiliser des serveurs DNS précis pour SPF et DKIM, entrez l'adresse IP (au format IPv4 ou IPv6) du serveur DNS que vous souhaitez utiliser.

Délai d'expiration des requêtes DNS (en secondes)

Spécifiez un délai d’expiration pour la réponse DNS.

Refuser automatiquement les messages en cas d'échec de la vérification SPF

Si la vérification SPF échoue immédiatement, un message électronique peut être refusé avant son téléchargement.

Utiliser le domaine Helo dans l’évaluation SPF

Cette fonctionnalité utilise le domaine HELO pour l’évaluation SPF. Si le domaine HELO n'est pas spécifié, le nom d’hôte de l'ordinateur est utilisé à la place.

Utiliser l'en-tête From : si MAIL FROM est vide

L'en-tête MAIL FROM peut être vide. Il peut être aussi falsifié. Lorsque cette option est activée et que MAIL FROM est vide, le message est téléchargé et l'en-tête From: est utilisé à la place.

Ignorer automatiquement la mise en liste grise en cas de réussite de la vérification SPF

Il n'y a aucune raison d'utiliser la mise en liste grise pour un message en cas de réussite de la vérification SPF.

Réponse de refus SMTP

Vous pouvez spécifier un code de réponse, un code d'état et un message de réponse, qui définissent la réponse de refus temporaire SMTP envoyée au serveur SMTP si un message est refusé. Vous pouvez saisir un message de réponse au format suivant :

˄˅