L’e-mail reste le canal de communication le plus important pour les entreprises suisses, et en m\u00eame temps l’une des cibles d’attaque les plus pris\u00e9es. Le phishing, le Business Email Compromise (BEC) et l’usurpation d’e-mail causent des milliards de d\u00e9g\u00e2ts dans le monde. La bonne nouvelle : avec les trois standards DNS que sont SPF, DKIM et DMARC, l’usurpation d’e-mail peut \u00eatre efficacement emp\u00each\u00e9e. La mauvaise nouvelle : de nombreuses PME n’ont pas configur\u00e9 ces standards, ou les ont configur\u00e9s de mani\u00e8re incorrecte.<\/p>\n
L’usurpation d’e-mail (email spoofing) signifie qu’un attaquant envoie des e-mails qui semblent provenir de votre domaine. L’exp\u00e9diteur affiche \u00ab info@votreentreprise.ch \u00bb, mais l’e-mail provient d’un serveur totalement \u00e9tranger. Sans mesures de protection appropri\u00e9es, il n’existe aucun moyen technique pour le destinataire de d\u00e9tecter la falsification.<\/p>\n
Les cons\u00e9quences peuvent \u00eatre graves :<\/p>\n
En Suisse, le BACS (Bureau f\u00e9d\u00e9ral de la cybers\u00e9curit\u00e9, anciennement NCSC) observe depuis des ann\u00e9es une augmentation des attaques BEC ciblant sp\u00e9cifiquement les PME suisses. Les montants des dommages vont de quelques milliers \u00e0 plusieurs centaines de milliers de francs par incident.<\/p>\n
SPF est le plus simple des trois standards. Un enregistrement SPF est une entr\u00e9e DNS (enregistrement TXT) qui d\u00e9finit quels serveurs sont autoris\u00e9s \u00e0 envoyer des e-mails au nom de votre domaine.<\/p>\n
Un enregistrement SPF typique ressemble \u00e0 ceci :<\/p>\n
v=spf1 include:_spf.google.com include:spf.hostpoint.ch ip4:203.0.113.5 -all<\/strong><\/p>\n Cet enregistrement dit : \u00ab Seuls Google Workspace, les serveurs de messagerie Hostpoint et le serveur avec l’IP 203.0.113.5 sont autoris\u00e9s \u00e0 envoyer des e-mails pour ce domaine. Tous les autres sont rejet\u00e9s. \u00bb<\/p>\n Erreurs SPF fr\u00e9quentes :<\/p>\n DKIM va un pas plus loin que SPF : il signe chaque e-mail sortant avec une cl\u00e9 cryptographique. Le serveur destinataire v\u00e9rifie la signature \u00e0 l’aide d’une cl\u00e9 publique, \u00e9galement enregistr\u00e9e comme enregistrement DNS.<\/p>\n DKIM offre deux avantages par rapport \u00e0 SPF :<\/p>\n La mise en place de DKIM n\u00e9cessite la collaboration avec le fournisseur de messagerie : le fournisseur g\u00e9n\u00e8re la paire de cl\u00e9s, signe les e-mails sortants et fournit la cl\u00e9 publique qui doit \u00eatre enregistr\u00e9e comme enregistrement DNS.<\/p>\n DMARC est la pi\u00e8ce d\u00e9cisive du puzzle. Il d\u00e9finit ce qui doit se passer avec les e-mails qui \u00e9chouent \u00e0 la fois SPF et DKIM, et fournit des rapports \u00e0 ce sujet.<\/p>\n Un enregistrement DMARC ressemble \u00e0 ceci :<\/p>\n v=DMARC1; p=reject; rua=mailto:dmarc@votreentreprise.ch; ruf=mailto:dmarc@votreentreprise.ch; adkim=s; aspf=s<\/strong><\/p>\n Les param\u00e8tres les plus importants :<\/p>\n Le guide suivant d\u00e9crit la mise en place chez les h\u00e9bergeurs suisses les plus courants.<\/p>\n Avant d’apporter des modifications, v\u00e9rifiez l’\u00e9tat actuel de vos enregistrements DNS. Un scanner DNS automatis\u00e9 montre imm\u00e9diatement si SPF, DKIM et DMARC sont pr\u00e9sents et correctement configur\u00e9s. De nombreuses PME d\u00e9couvrent \u00e0 cette occasion que SPF existe mais est incorrect, ou que DMARC manque compl\u00e8tement.<\/p>\n Listez tous les services qui envoient des e-mails via votre domaine :<\/p>\n Chez Hostpoint :<\/strong> Connectez-vous au Control Panel, naviguez vers \u00ab Domains \u00bb puis votre domaine puis \u00ab DNS-Editor \u00bb. Cr\u00e9ez un enregistrement TXT pour le domaine principal avec la valeur SPF. Hostpoint utilise typiquement : include:spf.hostpoint.ch<\/strong><\/p>\n Chez Infomaniak :<\/strong> Sous \u00ab Web & Domain \u00bb puis \u00ab DNS Zone \u00bb puis \u00ab Ajouter un enregistrement \u00bb. Infomaniak utilise : include:_spf.infomaniak.ch<\/strong><\/p>\n Chez cyon :<\/strong> Sous \u00ab my.cyon.ch \u00bb puis \u00ab Domains \u00bb puis \u00ab DNS\/Nameserver \u00bb. cyon utilise : include:spf.cyon.ch<\/strong><\/p>\n L’activation de DKIM d\u00e9pend fortement du fournisseur :<\/p>\n Commencez toujours en mode surveillance (p=none) pour voir quels e-mails passent SPF et DKIM et lesquels \u00e9chouent.<\/p>\n Cr\u00e9ez un enregistrement TXT pour _dmarc.votredomaine.ch<\/strong> avec la valeur :<\/p>\n v=DMARC1; p=none; rua=mailto:dmarc@votredomaine.ch<\/strong><\/p>\n Laissez ce mode actif pendant 2 \u00e0 4 semaines et analysez les rapports re\u00e7us. Les rapports montrent quels serveurs envoient des e-mails pour votre domaine et si ceux-ci passent SPF\/DKIM. Vous identifiez ainsi si des serveurs manquent encore dans l’enregistrement SPF avant de passer \u00e0 \u00ab quarantine \u00bb ou \u00ab reject \u00bb.<\/p>\n Une fois que vous avez v\u00e9rifi\u00e9 que toutes les sources d’e-mails l\u00e9gitimes sont correctement authentifi\u00e9es, renforcez progressivement la politique DMARC :<\/p>\n Veillez \u00e0 continuer de surveiller les rapports rua pour d\u00e9tecter les probl\u00e8mes rapidement.<\/p>\n L’exp\u00e9rience tir\u00e9e de centaines d’analyses DNS r\u00e9v\u00e8le des sch\u00e9mas d’erreurs typiques :<\/p>\n V\u00e9rifier manuellement les enregistrements SPF, DKIM et DMARC est faisable pour un domaine. Mais la plupart des PME exploitent plusieurs domaines : le domaine principal, une variante .com, \u00e9ventuellement un domaine produit ou le domaine d’une filiale. Chaque domaine n\u00e9cessite ses propres enregistrements, et chaque modification de la configuration de messagerie (nouveau fournisseur de newsletter, nouveau CRM) requiert des ajustements.<\/p>\n Les scanners DNS automatis\u00e9s v\u00e9rifient r\u00e9guli\u00e8rement tous les domaines d’une entreprise et signalent :<\/p>\n La mise en place de SPF, DKIM et DMARC n’est pas un projet titanesque. Pour une PME typique avec un domaine et un fournisseur de messagerie, la configuration est r\u00e9alisable en quelques heures. L’effort est sans commune mesure avec la protection que ces mesures offrent.<\/p>\n Liste de priorit\u00e9s :<\/p>\n L’usurpation d’e-mail est un probl\u00e8me r\u00e9solu, du moins techniquement. SPF, DKIM et DMARC offrent ensemble une protection efficace contre la falsification d’exp\u00e9diteur. Ce qui manque, c’est la mise en oeuvre syst\u00e9matique. De nombreuses PME suisses laissent leur infrastructure de communication la plus importante sans protection, alors que la solution est disponible et gratuite.<\/p>\n ExposIQ v\u00e9rifie automatiquement la configuration de s\u00e9curit\u00e9 e-mail de vos domaines dans le cadre de chaque scan : SPF, DKIM, DMARC, enregistrements MX et DNSSEC. Les erreurs de configuration sont clairement identifi\u00e9es et prioris\u00e9es. Le tout combin\u00e9 avec plus de 35 moteurs de scan suppl\u00e9mentaires pour la s\u00e9curit\u00e9 r\u00e9seau, web et infrastructure. H\u00e9berg\u00e9 en Suisse, conforme \u00e0 la nLPD, \u00e0 partir de CHF 99 par mois. En savoir plus sur exposiq.ch<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":" L’e-mail reste le canal de communication le plus important pour les entreprises suisses, et en m\u00eame temps l’une des cibles d’attaque les plus pris\u00e9es. Le phishing, le Business Email Compromise (BEC) et l’usurpation d’e-mail causent des milliards de d\u00e9g\u00e2ts dans le monde. La bonne nouvelle : avec les trois standards DNS que sont SPF, DKIM … Lire plus<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"rank_math_focus_keyword":"configurer spf dkim dmarc","rank_math_title":"S\u00e9curit\u00e9 e-mail : configurer correctement SPF, DKIM et DMARC","rank_math_description":"L'usurpation d'e-mail est un vecteur d'attaque majeur. SPF, DKIM et DMARC expliqu\u00e9s simplement avec guide \u00e9tape par \u00e9tape.","rank_math_robots":"","rank_math_canonical_url":"","rank_math_primary_category":"","footnotes":""},"categories":[8],"tags":[],"class_list":["post-1165","post","type-post","status-publish","format-standard","hentry","category-it-sicherheit","generate-columns","tablet-grid-50","mobile-grid-100","grid-parent","grid-33"],"_links":{"self":[{"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/posts\/1165","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/comments?post=1165"}],"version-history":[{"count":0,"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/posts\/1165\/revisions"}],"wp:attachment":[{"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/media?parent=1165"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/categories?post=1165"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/tags?post=1165"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n
DKIM (DomainKeys Identified Mail)<\/h3>\n
\n
DMARC (Domain-based Message Authentication, Reporting and Conformance)<\/h3>\n
\n
Mise en place pas \u00e0 pas<\/h2>\n
\u00c9tape 1 : V\u00e9rifier l’\u00e9tat actuel<\/h3>\n
\u00c9tape 2 : Cr\u00e9er ou corriger l’enregistrement SPF<\/h3>\n
\n
\u00c9tape 3 : Activer DKIM<\/h3>\n
\n
\u00c9tape 4 : Configurer l’enregistrement DMARC<\/h3>\n
\u00c9tape 5 : Renforcer<\/h3>\n
\n
Erreurs fr\u00e9quentes et pi\u00e8ges<\/h2>\n
\n
V\u00e9rification automatis\u00e9e : pourquoi la v\u00e9rification manuelle ne passe pas \u00e0 l’\u00e9chelle<\/h2>\n
\n
Ce que les PME suisses devraient faire maintenant<\/h2>\n
\n
Conclusion<\/h2>\n