La faille de sécurité de SMTP qui existe depuis 1982

Le protocole SMTP, qui se charge d'envoyer vos mails, a été créé en 1982. Et malheureusement, ce protocole qui est toujours en vigeur de nos jours, comporte une grosse faille de sécurité : Il ne vérifie pas l'adresse mail de l'expéditeur. Aucune authentification, aucune vérification par un tiers de confiance, rien du tout ! Par conséquent, avec le protocole SMTP, il est possible d'envoyer un mail provenant de n'importe quel domaine, y compris votre domaine à vous, ou d'un domaine qui n'existe même pas ! Cela s’appelle du spoofing dans notre jargon de cybersécurité, et c'est fortement utilisé par les cybercriminels pour envoyer du spam ou du phishing.

Pour empêcher cela, il faudrait être sûr que l'expéditeur soit légitime. Mais comment faire ?

Une solution tout simple serait d'associer votre nom de domaine aux serveurs de mails qui sont les seuls autorisés à envoyer un mail en votre nom.

Et c'est précisément là que le SPF intervient. Le SPF permet dire "Pour mon nom de domaine, voici les serveurs de mails qui peuvent envoyer un mail en mon nom".

Si je ne crée pas de SPF, qu'est ce que je risque ?

Sans SPF, certains correspondants ne recevrons pas vos mails, ou ils tomberont dans le dossier "SPAM". C'est notamment le cas lorsque vos destinataires utilisent Gmail. Mais pas que ! Certains de nos clients ont aussi eu des problèmes avec Microsoft ou Yahoo et avec certains serveurs de mails de leurs correspondants.

Généralement, c'est assez compliqué de prendre conscience des conséquence de l'absence du SPF. Car quand on envoie un mail, on part du postulat qu'il arrivera à destination. Mais si votre interlocuteur ne regarde pas sa boite des SPAM ou s'il ne prend pas le temps de vous avertir, alors vous avez le problème, mais vous n'en êtes pas conscient.

Donc, si un de vos correspondants vous informe que votre mail est tombé dans sa boite SPAM, commencez par vérifier si vous avez un SPF et s'il est conforme à ce qu'on attend de lui.

Depuis la fin des années 2010 de plus en plus d'entreprises vérifient que vous avez un SPF bien configuré. Son utilisation devient donc une recommandation forte, sinon une obligation si vous souhaitez que vos mails arrivent toujours à destination.

Comment installer un SPF ?

Un SPF ne nécessite pas d'installation matérielle.

Un SPF est juste un champ texte de votre nom de domaine qui indique une liste des serveurs mails, avec un format un peu particulier.

Vous avez toutes les informations concernant le format du SPF dans la RFC numéro 7208 "Sender Policy Framework (SPF) for Authorizing Use of Domains in Email, Version 1".

Attention néanmoins à ne pas créer plus de problèmes lors de la publication du SPF ! Il ne faut pas vous tromper sur le format, ni les IP à inclure sinon vous ferez plus de mal que de bien à vos envois de mails.

Nous pouvons vous aider avec un accompagnement personnalisé lors de la création ou de la modification de votre SPF et nous vous encourageons à nous contacter pour parler ensemble de votre besoin.

Les limites du SPF

Le SPF ne vérifie pas l'authenticité de l'expéditeur, mais celui du nom de domaine. Un cybercriminel qui arriverait à pirater un serveur de mail pourrait envoyer des mails au nom du domaine de la victime.

Le SPF ne protège pas contre le cybersquatting. Un cybercriminel peut très bien prendre un nom de domaine très très proche du vôtre, créer le SPF pour son domaine, et vous cibler avec une campagne de phishing ou de désinformation.

Le SPF n'est pas le seul critère à prendre en compte lors d'un problème d'envoi de mails. Si vos mails n'arrivent pas toujours chez vos correspondants, ou s'ils tombent dans les SPAM, ou si vous avez souvent des mails de retours d'erreur, il serait judicieux faire appel à l'expertise de SecuriteInfo.com. Nous sommes en mesure de vous aider sur ce sujet délicat à démêler.

Tags

CYBERSÉCURITÉ DNS TECHNOLOGIES WEB SPAM

Inscription à notre lettre d'information

Inscrivez-vous à notre lettre d'information pour vous tenir au courant de nos actualités et de nos dernières trouvailles.

SecuriteInfo.com est une entreprise française de cybersécurité. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...