Les emails restent l’un des vecteurs les plus utilisés pour les attaques informatiques, qu’il s’agisse de phishing, de spam ou d’usurpation d’identité. Historiquement, les protocoles SPF et DKIM ont été adoptés pour authentifier les expéditeurs et limiter les fraudes. Pourtant, face à la sophistication croissante des attaques, ces solutions ne garantissent plus une sécurité complète.
SPF et DKIM : comment ces protocoles protègent vos emails
SPF (Sender Policy Framework) permet de vérifier que l’adresse IP d’un serveur expéditeur est autorisée à envoyer des emails pour un domaine donné. Cela aide à réduire l’usurpation d’adresse.
DKIM (DomainKeys Identified Mail) ajoute une signature cryptographique aux emails, permettant au serveur récepteur de confirmer que le message n’a pas été modifié et qu’il provient bien du domaine indiqué.
Ces deux protocoles ont largement contribué à réduire le spam et les tentatives de phishing basiques, en renforçant la fiabilité des expéditeurs.
Pourquoi SPF et DKIM ne suffisent plus ?
Malgré leur efficacité initiale, SPF et DKIM présentent des limites face aux menaces modernes :
- Absence de vérification du contenu : un email peut être authentifié mais contenir du phishing ou des liens malveillants.
- Faux positifs ou défaillances techniques : certaines configurations erronées ou défaillantes peuvent laisser passer des emails malveillants.
- Usurpation plus sophistiquée : les attaquants utilisent des techniques comme le spoofing de sous-domaines ou des compromis de serveurs légitimes, échappant aux vérifications SPF et DKIM.
Ainsi, se reposer uniquement sur ces deux protocoles ne protège pas contre les attaques avancées et peut donner une fausse impression de sécurité.
Les nouvelles mesures pour renforcer la sécurité des emails
Pour compléter SPF et DKIM, plusieurs stratégies et technologies sont aujourd’hui recommandées :
- DMARC (Domain-based Message Authentication, Reporting & Conformance) : ce protocole permet de définir comment les serveurs récepteurs doivent traiter les emails échouant aux vérifications SPF et DKIM, et fournit des rapports sur les tentatives d’usurpation.
- Filtrage avancé et analyse du contenu : les solutions modernes détectent les liens malveillants, les pièces jointes suspectes et le phishing basé sur le contenu.
- Authentification multi-facteur et protection des boîtes mail : même si un email légitime est compromis, l’accès au compte est protégé.
- Sensibilisation des utilisateurs : former les équipes à identifier les emails suspects reste indispensable pour réduire le risque humain.
Ces mesures permettent de protéger les communications tout en limitant la propagation des menaces.
A LIRE AUSSI Shadow IT : comment détecter les applications non déclarées dans l’entreprise ?
Cas concrets : attaques contournant SPF et DKIM
Plusieurs incidents récents montrent que les attaques peuvent passer malgré SPF et DKIM :
- Des campagnes de phishing utilisant des sous-domaines proches du domaine original pour tromper les filtres.
- Des emails envoyés depuis des serveurs compromis mais légitimes, validés par SPF et DKIM.
- Des attaques ciblées combinant emails et réseaux sociaux, rendant la simple authentification insuffisante.
Ces exemples illustrent l’importance de mettre en place des protections complémentaires pour sécuriser les échanges électroniques.