Etes vous bien préparés au SPAM

spamLa sécurité d’un système est impactée par le plus faible de ses maillons, nous le savons tous. Alors pourquoi ne prend-on pas plus au sérieux la sécurité des courriels échangés, base de productivité de nombreuses activités des entreprises aujourd’hui ?

Le courriel, que nous utilisons tous les jours pour nos usages aussi bien professionnels que personnels, est un outil indispensable. Même s’il véhicule un grand nombre de messages futiles ou pas du tout adaptés à ce type de transport, la messagerie se doit de fonctionner en permanence. Nous avons notre client de messagerie ouvert sur notre écran d’ordinateur et, lorsque nous ne sommes pas devant ce dernier, le smartphone prend le relais. C’est ainsi. Alors pourquoi les entreprises n’investissent-elles pas un peu plus dans ce service ? La sécurisation de l’infrastructure est maîtrisée, le mail fonctionne la plupart du temps, mais la gestion de la sécurisation de l’acheminement n’est pas un sujet très commun dans les DSI et c’est bien dommage.

On peut distinguer deux flux principaux, l’envoi de courriel pour lequel la principale difficulté est le dépôt en boîte (et pas en SPAM) et la réception du courriel pour laquelle la principale difficulté est de ne pas avoir de SPAM ou de virus. Il existe donc de nombreux mécanismes permettant aussi bien de se protéger que d’améliorer la déliverabilité en boite de réception et parmi ceux-ci on trouve souvent les 2 compères que sont SPF et DKIM. Le premier permet d’annoncer la liste des adresses IP susceptibles d’envoyer du courriel pour un domaine de messagerie particulier, le second signe numériquement tous les messages envoyés de façon à empêcher l’usurpation.

On peut mettre en place ces systèmes sur la partie filtrage, à l’entrée du système de messagerie donc, et également sur la sortie pour assurer ses correspondants de sa bonne foi. Faire l’un sans l’autre est possible, mais surtout il est indispensable de bien faire les choses sur la partie sortante sous peine de se faire filtrer ses courriels. Dans le doute, mieux vaut encore de ne pas avoir d’enregistrement SPF qu’un enregistrement mal configuré, personne à cette heure n’activant de filtrage strict (et c’est bien dommage pour la lutte contre le SPAM).

Sur le papier, rien de plus simple. La mise en œuvre est facile pour SPF et relativement peu complexe pour DKIM. Un bon accompagnement sera peut-être nécessaire, mais pas de difficulté majeure. Pas compliqué non plus de mettre en place le filtrage sur l’entrée afin de filtrer les SPAM (pas les virus en revanche), souvent une case à cocher dans son outil ou son système de filtrage de courriel.

Lors d’une récente migration pour l’un de nos clients, nous avons remarqué la quantité importante de mails rejetés pour cause de SPF ou de DKIM mal configurés. Bien sûr, le filtrage supprime bien toutes les sources illégitimes, c’est l’objectif, mais la proportion de courriels légitimes rejetés est très grande. Ceci est tout simplement du à un paramétrage erroné de la part des émetteurs quant à leurs adresses IP ou leur signature DKIM. Etonnant, non ? Et problématique en plus : le business s’attend à recevoir des messages qui, pour des raisons de configuration de l’émetteur n’arriveront pas et vous vous retrouvez rapidement au milieu. A partir de là, deux solutions se présentent : tenter d’éduquer les émetteurs et je vous souhaite bon courage ou alors faire des trous dans votre sécurité de filtrage de courriel. A n’en pas douter, on vous soufflera dans l’oreillette que la seconde solution est la bonne et que vous pourrez alors vous occuper de la première sur votre temps libre.

Pour avoir tenté d’éduquer quelques correspondants sur les bienfaits du SPF lors de formations et de conférences, j’en avais tout simplement oublié de leur dire à quel point il était important de faire en sorte que ces mesures de sécurité soient suivies dans le temps. Le piège le plus grand est l’utilisation par service en mode Cloud d’une adresse d’émission utilisant votre domaine de courriel. Ceci est souvent fait par un de vos collaborateurs qui, sans vous en informer, va souscrire à un service, configurer une adresse qui lui semble bonne et souhaiter recevoir des courriels depuis une adresse IP inconnue par votre déclaration SPF. Dans ce type de service on trouve de tout, de l’agence d’envoi de courriel marketing ou transactionnel, des gestionnaires de contenu, des solutions de réseau sociaux privés qui envoient des notifications à la place des utilisateurs…  L’analyse de courriel perdu n’est pas triviale, et le lien avec la configuration du SPF l’est encore moins. Il faut donc être très vigilant et veiller à ce que les fournisseurs de service n’utilisent pas votre adresse ou alors disposent d’enregistrements SPF spécifiques que vous pourrez intégrer au vôtre pour ainsi éviter les problèmes.

Autre source de problèmes : le changement de fournisseur internet. Si votre système de messagerie est autonome et envoie directement les courriels, changer de fournisseur vous fera probablement changer d’adresse IP publique, il faudra donc remettre à jour votre enregistrement SPF. Pas de changement en revanche pour le DKIM.

Alors, à vos DNS et vérifiez que votre enregistrement SPF inclut bien l’ensemble des sources de courriels pour votre entreprise sous peine de filtrage par vos clients, prospects ou partenaires. Second axe, éduquez vos utilisateurs pour qu’ils vous informent de leurs choix de prestataires et d’offres Cloud. Et n’hésitez pas à faire des tests, de nombreux outils existent sur Internet pour valider la conformité de son envoi de courriel, vos correspondants pourront aussi vous aider. Finalement, ils ne sont probablement pas meilleurs que vous.

Et aussi

  • 1 octobre 2013 Quelle heure est-il ? De nos jours, on ne se pose plus de question pour avoir l’heure. Tous nos systèmes connectés nous présentent une horloge, que ce soit notre PC, nos téléphones multiples, qu’ils soient fixes, de bureau ou mobiles, notre box à la maison, notre réfrigérateur en sera surement bientôt capable. Mais alors pourquoi tous ces systèmes ne sont-ils pas à l’heure ? Cette question est plus […]
  • 9 mai 2014 SLA « 100% » Nouvel article dans la série : surveillance des réseaux et services Dans les négociations commerciales, il y a toujours un décalage certain entre le discours des brochures « Datacenter Tier-3 » « architecture hautement redondante » Etc. Et le moment des engagements sur les chiffres de disponibilité, SLA et éventuellement pénalités. Le problème est foncièrement […]
  • 15 mai 2014 Un service SaaS qui a du mal à ternir la charge Nouvel article dans la série : surveillance des réseaux et services Vous avez choisi de basculer vers une messagerie en mode SaaS. L’offre commerciale était alléchante et les performances bonnes lors de la phase de sourcing. Les mois passent avec les déploiements au siège puis sur site distants. Et les utilisateurs commencent à se plaindre. Le service est « lent », avec rapport de […]