Authentification des emails


Authentifier les emails comporte évidemment l’authentification de ses émetteurs  soit par  des systèmes tels que Sender Policy Framework (SPF), Caller-ID (Microsoft), Sender-ID (convergence de SPF et Caller-ID), DomainKeys (Yahoo)  ou  DKIM.  Ce sont ces systèmes qui identifient les hôtes autorisés à envoyer des emails vers  un domaine précis pour ce même domaine.

Pour qu’un message soit plus crédible, on ajoute généralement d’un champ de type TXT sur le domaine émetteur. Ceci permet de définir la liste des émetteurs autorisés ou  publier une clé publique pour authentifier l’émetteur de chaque message.

Sender Policy Framework (SPF) se base sur l’analyse du domaine de l’émetteur extrait du message SMTP : « Mail From » à ne pas confondre avec « From » sur l’entête du message.  On lance ensuite une requête DNS de type TXT sur le domaine à authentifier afin d’obtenir la liste des serveurs autorisés à envoyer des mails et comparer  avec l’IP émettrice.

Avec le  domaine suivant « domaine.tld IN TXT « v=spf1 mx ~all » », le champ TXT suffit à identifier un serveur  MX.

L’identification de l’adresse IP par la syntaxe : « v=spf1 ip4:192.168.0.1/32 ~all » présente déjà un inconvénient sur le forwarding d’email : le serveur peut être faussée car n’est pas forcément  le serveur  de l’émetteur d’origine du message.

Un produit de Microsoft, Sender-ID combine la technique SPF et Caller-ID. Il consiste à vérifier en plus du « MAIL FROM » de SPF l’entête « From » du message.  Il détermine l’adresse mail de l’expéditeur par  « Purported Responsible Address »  ou la notion du PRA.

Par la commande « SUBMITTER »  dans le protocole SMTP, le problème du Forwarding de message est résolu par SenderID.

Le système de Yahoo  «  DomainKeys » consiste à signer chacun des emails envoyés par une clé privée qui sera rendu publique par DNS et permettre aux serveurs destinataires de vérifier  l’authenticité du message.

A l’entête des emails est ajouté un champ « DomainKey-Signature » démontant plusieurs éléments :
a) l’algorithme de chiffrement utilisé
b) la signature du message
d) le domaine concerné
s) le sélecteur qui lui-même permet de travailler sur nombreux  clefs.

Par exemple : l’extraction de  « DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws; s=s1024; d=yahoo.com; h=X-YMail-OSG:Received:Date:From:Subject:To:Message-ID; b=cuXRK(…)vazo=; »

On peut rechercher des informations sur la clé publique et vérifier l’authenticité du mail sur  « s1024._domainkey.yahoo.com » mentionné dans l’entrée S dans l’extraction précédente.

DKIM ou DomainKeys Identified Mail est à la fois DomainKey (Yahoo) et Identified Internet Mail (Cisco).  Il adopte le même principe que DomainKey par la signature des messages envoyés par un chiffrement asymétrique, la publication d’une clé publique  via DNS  laissant au serveur de messagerie  le processus de signature.   Pour ce dernier système mentionné, le signataire n’est pas forcément l’émetteur, le champs de signature est auto-signé et peut avoir une durée de validité.

Ces techniques d’authentification ont ses limites car les serveurs ou domaine des Spammeurs, peuvent très bien répondre aux normes demandées par les serveurs destinataires qui considéreront les Spams comme mails sollicités. D’autre part, ces technologies ne sauraient être efficace que si tout le monde les utiliserait contre les Spams,  mais les hébergeurs refusent  d’ajouter le champ TXT  sur un domaine, il en résulte alors que ses utilisateurs ne seront pas efficacement protégés des Spams. Ces techniques  viennent à l’aide aux autres solutions anti-spam déjà utilisées et contre le spoofing d’adresses email.

Pour poursuivre : Article très complet sur les technologies antispam incluant les systèmes par authentification

Publicités

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

Créez un site Web ou un blog gratuitement sur WordPress.com.

Retour en haut ↑

%d blogueurs aiment cette page :