Sécurité

Plonger dans DMARC : peut-il vraiment mettre fin au spam, ou au moins au phishing ? – ExtrêmeTech

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

En tant qu’éditeur d’une newsletter sur la photographie et destinataire de messages de spam apparemment sans fin, j’ai plus d’une raison de m’intéresser à toute nouvelle technique de lutte contre le spam. Après les résultats assez décevants des efforts initiaux de l’industrie – Sender Policy Framework (SPF) et Domain Keys Identified Mail (DKIM), l’annonce de DMARC (Domain-based Message Authentication, Reporting, and Conformance) a été à juste titre accueillie avec scepticisme. Mis à part les gros titres élogieux répétant les promesses des promoteurs des spécifications, il n’y a pas eu beaucoup d’informations réelles rapportées à ce sujet. Je me suis donc plongé dans la recherche et la mise en œuvre, afin de pouvoir vous expliquer comment cela fonctionne et ce qu’il peut et ne peut pas faire pour vous.

À la lecture des rapports de presse initiaux – citant des citations élogieuses de sponsors DMARC, dont PayPal et Microsoft – DMARC ressemblait à un tout nouvel arsenal dans la guerre contre le spam, et un coup fatal à la forme spécifique de spam connue sous le nom de phishing, d’où le courrier prétend provenir. un expéditeur de confiance comme [INSERT BANK NAME HERE], mais vient vraiment du Nigeria ou d’un autre endroit hors de portée du DOJ. Aucun des articles n’en dit beaucoup sur Pourquoi DMARC réussirait là où SPF et DKIM n’avaient pas réussi, j’ai donc décidé de creuser davantage et d’implémenter DMARC sur mon propre serveur de messagerie pour juger des résultats. La première chose que j’ai apprise est que DMARC dépend entièrement de SPF et DKIM, donc un récapitulatif de leur fonctionnement s’impose.

SPF et DKIM : les outils d’aujourd’hui dans la guerre contre le spam

Tableau des spamsEn plus de divers outils collaboratifs et basés sur l’IA pour détecter le spam à partir du contenu des messages et des campagnes pour arrêter les principaux spammeurs, il existe deux outils principaux utilisés par les hébergeurs de messagerie et les FAI pour tenter de minimiser le spam, et en particulier le phishing : SPF et DKIM. SPF est plus ancien et plus simple. Il tente de résoudre un problème simple dans le protocole de messagerie Internet (SMTP) – que tout expéditeur de courrier peut prétendre envoyer du courrier à partir de n’importe quel autre expéditeur de courrier – simplement en définissant un indicateur ou un en-tête sur son message. Cette bizarrerie est nécessaire car souvent la machine qui finit par envoyer un e-mail (peut-être un serveur de messagerie au fond des entrailles de Google ou de Yahoo) n’est pas la même que celle qui l’a créé (une boutique branchée envoyant une newsletter, ou votre entreprise qui utilise Google Apps , par exemple). Mais SMTP ne peut pas dire si c’est vous ou un prince nigérian qui envoie ce courrier au sujet de votre dernière aubaine ou agression, prétendant être de vous, vraiment.

Psssssst :  Une femme filme sa nouvelle caméra connectée à Internet en chuchotant "Bonjour"

Avec SPF, pour éviter d’être usurpés, les domaines ajoutent simplement un enregistrement de texte DNS (TXT) – ou un véritable enregistrement SPF plus récent – énumérant les serveurs de messagerie autorisés à envoyer du courrier en leur nom. Ils peuvent les lister par domaine ou adresse IP. Le domaine peut en outre indiquer ce que le destinataire doit faire avec le courrier ne provenant pas de l’un des serveurs de messagerie répertoriés. Il peut recommander que le courrier soit rejeté ou qu’il soit accepté (bien qu’il soit vraisemblablement traité avec une suspicion considérable par les filtres anti-spam en aval).

La vertu du FPS est sa simplicité. Toute personne ayant accès à ses enregistrements DNS peut l’implémenter en quelques minutes. Et comme le DNS est difficile à falsifier, les enregistrements SPF sont fiables. En principe, une large adoption du SPF était censée éliminer le phishing et réduire le spam global. Bien sûr, cela suppose que les spammeurs n’utilisent pas leurs propres domaines. S’ils le font, ils peuvent simplement ajouter un enregistrement SPF s’autorisant. Ou les spammeurs utilisent souvent des comptes sur des domaines autrement fiables (comme les grands fournisseurs de messagerie Web, les serveurs piratés ou les relais de messagerie ouverts) pour contourner la protection SPF. Cela réduit l’utilité de « liste blanche » de SPF, puisque le simple fait d’avoir un enregistrement SPF valide ne signifie pas grand-chose sur la légitimité de l’expéditeur.

Un enregistrement SPF peut être aussi simple que example.com. IN TXT "v=spf1 a mx -all" qui permet uniquement aux hôtes avec un enregistrement MX (Mail eXchange) pour example.com d’envoyer du courrier pour example.com, et tous les autres courriers doivent être rejetés.

Psssssst :  Yahoo, AOL Email maintenant scanné pour la publicité ciblée

Un problème évident avec une politique SPF stricte est qu’elle peut rendre la vie difficile aux utilisateurs mobiles et en déplacement. Par exemple, si un employé souhaite envoyer un e-mail à partir d’un ordinateur ou d’un téléphone mobile partagé à l’aide d’un serveur qui n’appartient pas à l’entreprise, il ne pourra pas utiliser son adresse e-mail professionnelle. Cela peut en fait être un résultat souhaité pour l’entreprise, mais peut causer beaucoup de confusion pour les employés. Un problème similaire peut survenir pour ceux qui ont des adresses e-mail « portables » à vie, souvent données aux anciens ou aux membres de l’organisation, et utilisées sur de nombreux FAI différents.

Dans mon cas, j’ai implémenté SPF il y a quelques années sur notre serveur de messagerie, en espérant que cela permettrait à nos abonnés de recevoir davantage de nos newsletters. Pour être honnête, nous n’avons détecté aucune augmentation du nombre de courriers reçus, ce qui indique l’un des problèmes avec SPF – il n’inclut aucun retour d’information sur son fonctionnement ou son efficacité. L’un des objectifs de DMARC est de résoudre ce problème.

DKIM : anti-hameçonnage de haute technologie

SPF fonctionne très mal avec le courrier transféré. Parce que tout ce qu’il fait est de vérifier l’expéditeur immédiat d’un message, une fois que le message a été transféré, il n’y a plus de moyen de savoir si le message d’origine est authentique ou frauduleux. Cela crée un énorme trou à exploiter pour les spammeurs, en prétendant avoir transféré des messages provenant de domaines légitimes. SPF est également entravé par la nécessité d’autoriser explicitement les serveurs de messagerie à agir au nom d’un domaine, un problème pour les grandes organisations susceptibles d’ajouter et de déplacer fréquemment des serveurs de messagerie. SPF n’est pas non plus très granulaire, ne fonctionnant qu’au niveau du domaine, ce qui le rend un peu vague pour les grands FAI avec des millions de clients. DKIM a été conçu pour résoudre ces problèmes.

Avec DKIM, le réel le message est signé numériquement avec la moitié privée d’une paire de clés unique générée pour un domaine. La moitié publique est stockée dans un enregistrement DNS, de sorte que tout destinataire peut vérifier l’enveloppe du message et l’expéditeur d’origine. Le message n’est pas crypté – pour la compatibilité avec les destinataires non DKIM – mais la signature vérifie que l’expéditeur et le contenu sont inchangés. DKIM aborde le problème de transfert de front, mais au prix de la complexité. L’expéditeur et le destinataire doivent tous deux mettre des bibliothèques de signatures numériques et des vérificateurs dans leur pipeline de messagerie pour que cela fonctionne. De nombreux grands expéditeurs de courrier et FAI le feront pour vous, mais les sites plus petits peuvent être confrontés à des problèmes informatiques.

Psssssst :  Un collège canadien expulse un étudiant pour enquête de sécurité White Hat

Un exemple d’en-tête DKIM ressemble à ceci :

DKIM-Signature a=rsa-sha1; q=dns;
     d=example.com;
     i=user@eng.example.com;
     s=jun2005.eng; c=relaxed/simple;
     t=1117574938; x=1118006938;
     h=from:to:subject:date;
     b=dzdVyOfAKCdLXdJOc9G2q8LoXSlEniSb
     av+yuU4zGeeruD00lszZVoG4ZHRNiYzR

Notez que la clé publique du domaine example.com est visible pour tout destinataire de courrier à utiliser pour vérifier l’origine d’un message électronique.

Presque tout le monde s’accorde à dire que si SPF et DKIM fonctionnaient vraiment et que leur mise en œuvre garantissait la réception d’e-mails légitimes, ils valaient le travail dont ils ont besoin. Malheureusement, les deux normes sont en réalité des trous noirs. Un site les met en œuvre et s’assoit et attend de voir s’ils peuvent déterminer s’ils fonctionnent. Il n’y a vraiment pas de moyen simple de savoir s’ils ont un effet. C’est là qu’intervient le nouveau DMARC.

Page suivante: DMARC : Entendre une voix dans le désert

Bouton retour en haut de la page