Protection du serveur de messagerie de votre petite entreprise : de DNSSEC à DMARC, DKIM et SPF
Introduction
En tant que propriétaire de petite entreprise, la sécurisation de votre serveur de messagerie doit être une priorité absolue. Les cybercriminels ciblent constamment les serveurs de messagerie pour accéder à des informations sensibles, distribuer des logiciels malveillants ou commettre des fraudes. La mise en œuvre de DN.-É.SEC, DMUNERC, DKIM et FPS peut vous aider à protéger votre serveur de messagerie et à maintenir l'intégrité de vos communications professionnelles. Dans cet article, nous allons explorer ces mesures de sécurité et discuter des pièges du transfert de publipostage qui pourraient entraîner des résultats SPF faussement positifs.
- DN.-É.SEC : extensions de sécurité du système de noms de domaine
DNSSEC est un protocole de sécurité essentiel qui assure l'authentification et l'intégrité du système de noms de domaine (DNS). Il garantit que les informations que vous recevez des serveurs DNS sont authentiques et non altérées. En implémentant DNSSEC, vous pouvez protéger votre serveur de messagerie contre l'empoisonnement du cache DNS et d'autres attaques basées sur DNS.
Pour activer DNSSEC :
- Contactez votre bureau d'enregistrement de domaine et demandez-lui d'activer DNSSEC pour votre domaine.
- Générez une paire de clés, composée d'une clé privée et d'une clé publique.
- Créez un enregistrement DS pour votre domaine et soumettez-le à votre registraire de domaine.
- DMUNERC : authentification, rapport et conformité des messages basés sur le domaine
DMARC est un protocole d'authentification des e-mails qui aide à protéger votre domaine contre les utilisations non autorisées, telles que le phishing et l'usurpation d'identité. Cela fonctionne en vérifiant que le domaine de l'expéditeur a publié des enregistrements SPF et DKIM, et en indiquant aux serveurs de réception comment gérer les e-mails non authentifiés.
Pour mettre en œuvre DMARC :
- Publiez un enregistrement SPF pour votre domaine.
- Configurez la signature DKIM pour votre serveur de messagerie.
- Créez un enregistrement de politique DMARC dans les paramètres DNS de votre domaine, en spécifiant le niveau d'application et les options de rapport.
- DKIM : Courrier identifié par DomainKeys
DKIM est une méthode d'authentification des e-mails qui utilise des signatures cryptographiques pour vérifier l'authenticité d'un e-mail. En signant vos e-mails sortants avec une clé privée, vous pouvez prouver que le message a été envoyé depuis votre domaine et n'a pas été altéré pendant le transit.
Pour activer DKIM :
- Générez une paire de clés DKIM pour votre domaine.
- Ajoutez la clé publique aux enregistrements DNS de votre domaine en tant qu'enregistrement SMS.
- Configurez votre serveur de messagerie pour signer les messages sortants avec la clé privée.
- SPF : cadre de la politique de l'expéditeur
SPF est une norme d'authentification des e-mails qui permet aux propriétaires de domaines de spécifier les adresses IP autorisées à envoyer des e-mails en leur nom. Cela permet d'éviter que votre domaine ne soit utilisé dans des campagnes de spam et de phishing.
Pour implémenter SPF :
- Créez un enregistrement SPF pour votre domaine dans les paramètres DNS, répertoriant les adresses IP autorisées.
- Configurez votre serveur de messagerie pour vérifier les enregistrements SPF des messages entrants et rejeter les expéditeurs non autorisés.
- Pièges du transfert de publipostage et faux positifs SPF
Le transfert de courrier direct peut parfois provoquer des faux positifs SPF. Lorsqu'un e-mail est transféré, l'adresse IP de l'expéditeur d'origine est conservée, ce qui oblige le serveur de réception à vérifier l'enregistrement SPF de l'expéditeur d'origine. Si l'adresse IP du serveur de transfert n'est pas autorisée dans l'enregistrement SPF de l'expéditeur d'origine, l'e-mail peut être marqué comme ayant échoué.
Pour éviter ce problème :
- Utilisez un service de transfert de courrier prenant en charge SRS (Sender Rewriting Scheme) pour réécrire le chemin de retour, en vous assurant que les vérifications SPF sont effectuées correctement.
- Ajoutez l'adresse IP du serveur de transfert à l'enregistrement SPF de l'expéditeur d'origine, si vous en avez le contrôle.
Conclusion
La protection du serveur de messagerie de votre petite entreprise est cruciale dans le paysage numérique d'aujourd'hui. En mettant en œuvre DNSSEC, DMARC, DKIM et SPF, vous pouvez améliorer considérablement la sécurité de votre messagerie et protéger votre entreprise contre les cybermenaces. Soyez prudent avec le transfert de publipostage et prenez les mesures nécessaires pour éviter les faux positifs SPF. Avec ces mesures en place, vous pouvez protéger vos communications par e-mail et vous concentrer sur la croissance de votre entreprise.
Avant de plonger dans l'implémentation de chaque protocole de sécurité, il est essentiel de comprendre leur syntaxe. Le tableau suivant fournit un exemple de syntaxe pour les enregistrements DNSSEC, DMARC, DKIM et SPF. Veuillez noter qu'il ne s'agit que d'exemples et que vous devez remplacer les espaces réservés par votre domaine, vos adresses IP et vos clés publiques réels. De plus, vous devrez peut-être ajuster les valeurs TTL (durée de vie) selon vos besoins. Une fois que vous êtes familiarisé avec la syntaxe, vous pouvez commencer à configurer les enregistrements DNS de votre domaine pour améliorer la sécurité de votre serveur de messagerie.
| Protocole de sécurité | Exemple de syntaxe |
|---|---|
| DNSSEC | exemple.com. 86400 IN DS 12345 8 2 0234567890UNEBCDEF1234567890UNEBCDEF1234567890 |
| DMARC | _dmarc . exemple .com . 86400 IN SMS "v=DMUNERC1 ; p=rejeter ; exporter=mailto:reports@example.com" |
| DKIM | selector._domainkey.example.com. 86400 IN SMS "v=DKIM1; k=rsa; p=PUBLIC_KEY_HERE" |
| SPF | exemple.com. 86400 IN SMS "v=spf1 mx a:mail.example.com ip4:192.0.2.1 -all" |
*Veuillez noter qu'il s'agit d'exemples de syntaxes et que vous devez remplacer les espaces réservés par votre domaine, vos adresses IP et vos clés publiques réels. Vous devrez peut-être également ajuster les valeurs TTL (durée de vie) selon vos besoins.
Vous trouverez ci-dessous un tableau qui répertorie divers enregistrements DN.-É. et leur exemple de syntaxe. Ces enregistrements sont utilisés à différentes fins, comme faire pointer votre domaine vers un serveur Web, un serveur de messagerie ou vérifier la propriété du domaine.
| Type d'enregistrement DN.-É. | Exemple de syntaxe | But |
|---|---|---|
| A | exemple.com. 86400 DUNEN.-É. UN 192.0.2.1 | Mappe un domaine à une adresse IPv4 |
| UNEUNEUNEUNE | exemple.com. 86400 EN UNEUNEUNEUNE 2001:0db8:85a3:0000:0000:8a2e:0370:7334 | Mappe un domaine à une adresse IPv6 |
| CNUNEME | www.example.com. 86400 IN CNUNEME example.com. | Crée un alias pour un autre domaine |
| MX | exemple.com. 86400 IN MX 10 mail.example.com. | Spécifie le serveur de messagerie pour un domaine |
| TXT | exemple.com. 86400 IN SMS "v=spf1 mx a:mail.example.com ip4:192.0.2.1 -all" | Stocke des informations textuelles à diverses fins |
| VRS | _sip._tcp.exemple.com. 86400 IN VRS 0 5 5060 sipserver.example.com. | Fournit des informations sur les services disponibles |
| NS | exemple.com. 86400 IN N.-É. ns1.example.com. | Délègue une zone DNS pour utiliser des serveurs de noms spécifiques |
| RTP | 1.2.0.192.in-addr.arpa. 86400 IN RTP example.com. | Associe une adresse IP à un domaine (DNS inversé) |
| SOA | exemple.com. 86400 IN SOA ns1.exemple.com. hostmaster.exemple.com. (série, rafraîchir, réessayer, expirer, minimum) | Contient des informations administratives sur une zone DNS |