Skip to content

Expliquez comment SPF, DKIM et DMARC fonctionnent ensemble pour empêcher l'usurpation d'e-mail.

Réponse courte

SPF publie quelles IP peuvent envoyer du courrier pour un domaine. DKIM ajoute une signature cryptographique pour que le destinataire puisse vérifier que le message n'a pas été altéré et provient bien du domaine. DMARC relie les résultats SPF/DKIM à l'en-tête From: visible via l'« alignement », dit aux destinataires quoi faire en cas d'échec (none/quarantine/reject) et envoie des rapports. SPF et DKIM seuls ne protègent pas le From que voit l'utilisateur — c'est DMARC qui l'impose.

L'e-mail a été conçu sans authentification de l'expéditeur, si bien que n'importe qui peut falsifier l'adresse From:. SPF, DKIM et DMARC sont trois couches publiées dans le DNS qui, ensemble, permettent à un serveur destinataire de décider si un courrier prétendant venir de votre domaine est légitime. Les recruteurs veulent savoir que vous comprenez qu'elles sont complémentaires, et non interchangeables.

SPF — qui est autorisé à envoyer

Le Sender Policy Framework est un enregistrement DNS TXT listant les adresses IP et hôtes autorisés à envoyer du courrier pour un domaine. Le destinataire vérifie l'IP du serveur émetteur par rapport à l'enregistrement. SPF valide le domaine de l'enveloppe (return-path), pas l'en-tête que voit l'utilisateur, et il se casse au transfert parce que l'IP relayante change.

DKIM — le message a-t-il été altéré

DomainKeys Identified Mail signe des en-têtes sélectionnés et le corps avec une clé privée ; la clé publique vit dans le DNS. Le destinataire vérifie la signature, prouvant que le message est non altéré et réellement associé au domaine signataire. Comme la signature voyage avec le message, DKIM survit généralement au transfert.

DMARC — le relier au From visible

DMARC est la colle. Il exige qu'un résultat SPF ou DKIM réussi s'aligne avec le domaine de l'en-tête From: visible — comblant la faille où SPF/DKIM passent pour un domaine contrôlé par l'attaquant alors que l'utilisateur voit le vôtre. Il publie aussi une politique (p=none, quarantine ou reject) indiquant aux destinataires quoi faire en cas d'échec, et produit des rapports agrégés pour voir qui envoie en votre nom.

Pourquoi c'est important

Une réponse propre : SPF = IP autorisées, DKIM = signature d'intégrité, DMARC = alignement + application + visibilité. Mentionnez que p=none ne bloque rien mais donne le reporting nécessaire pour monter en toute sécurité vers reject. Cette progression est exactement ce que les équipes bleues déploient en pratique.

Questions de suivi probables

  • Que signifie l'« alignement » DMARC et pourquoi SPF/DKIM peuvent-ils passer alors que DMARC échoue ?
  • Pourquoi une politique DMARC p=none est-elle inutile pour bloquer mais reste-t-elle précieuse ?
  • Comment DKIM survit-il à un e-mail transféré alors que SPF se casse souvent ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.