Expliquez comment SPF, DKIM et DMARC fonctionnent ensemble pour empêcher l'usurpation d'e-mail.
Réponse courte
SPF publie quelles IP peuvent envoyer du courrier pour un domaine. DKIM ajoute une signature cryptographique pour que le destinataire puisse vérifier que le message n'a pas été altéré et provient bien du domaine. DMARC relie les résultats SPF/DKIM à l'en-tête From: visible via l'« alignement », dit aux destinataires quoi faire en cas d'échec (none/quarantine/reject) et envoie des rapports. SPF et DKIM seuls ne protègent pas le From que voit l'utilisateur — c'est DMARC qui l'impose.
L'e-mail a été conçu sans authentification de l'expéditeur, si bien que n'importe qui peut falsifier l'adresse From:. SPF, DKIM et DMARC sont trois couches publiées dans le DNS qui, ensemble, permettent à un serveur destinataire de décider si un courrier prétendant venir de votre domaine est légitime. Les recruteurs veulent savoir que vous comprenez qu'elles sont complémentaires, et non interchangeables.
SPF — qui est autorisé à envoyer
Le Sender Policy Framework est un enregistrement DNS TXT listant les adresses IP et hôtes autorisés à envoyer du courrier pour un domaine. Le destinataire vérifie l'IP du serveur émetteur par rapport à l'enregistrement. SPF valide le domaine de l'enveloppe (return-path), pas l'en-tête que voit l'utilisateur, et il se casse au transfert parce que l'IP relayante change.
DKIM — le message a-t-il été altéré
DomainKeys Identified Mail signe des en-têtes sélectionnés et le corps avec une clé privée ; la clé publique vit dans le DNS. Le destinataire vérifie la signature, prouvant que le message est non altéré et réellement associé au domaine signataire. Comme la signature voyage avec le message, DKIM survit généralement au transfert.
DMARC — le relier au From visible
DMARC est la colle. Il exige qu'un résultat SPF ou DKIM réussi s'aligne avec le domaine de l'en-tête From: visible — comblant la faille où SPF/DKIM passent pour un domaine contrôlé par l'attaquant alors que l'utilisateur voit le vôtre. Il publie aussi une politique (p=none, quarantine ou reject) indiquant aux destinataires quoi faire en cas d'échec, et produit des rapports agrégés pour voir qui envoie en votre nom.
Pourquoi c'est important
Une réponse propre : SPF = IP autorisées, DKIM = signature d'intégrité, DMARC = alignement + application + visibilité. Mentionnez que p=none ne bloque rien mais donne le reporting nécessaire pour monter en toute sécurité vers reject. Cette progression est exactement ce que les équipes bleues déploient en pratique.
Questions de suivi probables
- Que signifie l'« alignement » DMARC et pourquoi SPF/DKIM peuvent-ils passer alors que DMARC échoue ?
- Pourquoi une politique DMARC p=none est-elle inutile pour bloquer mais reste-t-elle précieuse ?
- Comment DKIM survit-il à un e-mail transféré alors que SPF se casse souvent ?