Planifier la mise en œuvre du service de messagerie

Planifier - Messagerie

Nous venons de publier un dossier complet relatif à la sécurisation de la messagerie électronique, principalement destiné à l’entreprise. Composé de 6 volets dont celui-ci, mini guide pour planifier la mise en œuvre du service de messagerie, il convient d’utiliser son contenu comme une sorte de « check list » permettant d’évaluer votre service existant.

Planifier la mise en œuvre du service de messagerie

Lors de la phase consistant à planifier la mise en œuvre d’un service de messagerie électronique, certains éléments de conformité vis-à-vis des spécifications standardisées (IETF, RFC) vont avoir une incidence importante sur le bon fonctionnement du service et l’image qu’il peut rendre vis-à-vis de ses tiers ou de ses utilisateurs.

Planifier les enregistrements WHOIS

Les enregistrements WHOIS, souvent peu complets, sont vérifiés en détails par les gestionnaires des principales Blacklists d’Internet (DNSBL, CBL, Spamhaus, Senderbase, …). Ces Blacklists sont utilisées par la plupart des solutions antispam du marché. Ainsi une non-conformité vis-à-vis de ces standards peut conduire à un blacklistage et donc nuire au bon acheminement des messages légitimes.Messagerie - Whois

Les données WHOIS doivent préciser l’adresse e-mail Abuse@ correspondante au domaine ainsi qu’un maximum d’informations de contact. Ils doivent également être maintenus à jour en cas de changement.

Les données doivent impérativement être valides et vérifiables, notamment en ce qui concerne :

  • La localisation géographique de l’entreprise
  • La personne responsable du domaine
  • Ses coordonnées de contact

En effet, les gestionnaires de Blacklists peuvent vérifier en détail l’intégralité des informations WHOIS, dans le but de détecter des domaines non légitimes, potentiellement utilisés dans des cas de malveillance. Il doit donc être possible (ou à minima « sembler possible ») d’entrer en contact avec les contacts référencés dans les bases WHOIS.

Planifier d’avoir recours à des boîtes aux lettres de type Abuse@domaine

Ces boîtes permettent aux tiers et à l’ensemble des utilisateurs d’Internet victimes d’abus et de contenus illicites (message indésirable, phishing, malware, …) d’envoyer une plainte sous forme d’email.

Ces boîtes sont ainsi des supports de détection de l’ensemble des éventuels problèmes remontés par les acteurs d’Internet et permettent ainsi de les corriger au plus vite.

Ces boîtes doivent impérativement exister, et être consultées le plus régulièrement possible.

En effet, la non-existence de l’une de ces boîtes (ou des deux) est à elle seule un critère de Blacklistage.

De plus, certains gestionnaires de Blacklists (DNSBL) envoient des messages sur ces boîtes et demandent d’en confirmer la lecture en cliquant sur un lien. Si rien n’est fait dans un temps imparti, le score du domaine visé se dégrade au sein de la DNSBL et peut ainsi conduire à un Blacklistage

Planifier une stratégie d’enregistrements DNSMessagerie DNS

Les enregistrements DNS doivent également être réalisés méthodiquement et adresser principalement les points suivants :

  • L’adresse IP d’un service de messagerie doit posséder un enregistrement inverse (Reverse DNS) de type « FQDN » (Fully Qualified Domain Name, de la forme « nom-serveur.domaine.com »). Ce FQDN doit lui-même porter l’adresse IP initiale dans son enregistrement DNS principal.
  • Le FQDN d’un service de messagerie doit être exactement le même que le nom d’hôte spécifié dans la séquence « HELO » lors de l’envoi d’un message depuis ce serveur.
  • Le nom de domaine ainsi présent dans les FQDN des services de messagerie (et dans leur messages HELO) doit impérativement posséder un enregistrement DNS de type MX associé. L’objectif étant de démontrer que le domaine n’est pas uniquement utilisé pour envoyer des e-mails mais qu’il présente également la possibilité d’en recevoir.
  • De plus, cet enregistrement MX doit pointer vers un (ou plusieurs) enregistrement(s) de type FQDN qui doivent chacun renvoyer vers une adresse IP unique et précisée (champ A de l’enregistrement DNS).

Ces quatre points sont systématiquement contrôlés par l’ensemble des solutions antispam du marché lors de la réception d’un message, et une partie significative du scoring (score de confiance) attribué à un message est basé sur ces éléments. Ils sont généralement simples à mettre en œuvre conformément aux standards, et ainsi permettre de « marquer des points ».

Cas particulier des enregistrements DNS « SPF »

De plus en plus fréquemment, les entreprises font usage de solutions applicatives totalement externalisées (applications SaaS). Ces solutions doivent souvent envoyer des messages vers vos utilisateurs en se faisant passer pour des utilisateurs internes à votre organisation, appartenant à votre domaine (ce que l’on pourrait appeler des « usurpations légitimes d’identité »)

Les enregistrements SPF (Sender Policy Framework) permettent de déclarer des adresses (ou plages d’adresses de serveurs de messagerie externes autorisés à recourir à ce type de principes. Vous pourrez alors paramétrer vos outils antispam pour rejeter toute tentative d’usurpation provenant de serveurs non déclarés dans les enregistrements SPF de votre domaine.

Messagerie - Enregistrements SPF

Lire le dossier complet

No votes yet.
Please wait...
A propos Sylvain Pilette 7 Articles
Professionnel passionné en sécurité de l’information depuis plus de 12 ans, Sylvain a su faire évoluer son savoir-faire au sein d’environnements clients aux enjeux et problématiques riches et variés (industrie, télécoms, défense, transports, services), en mettant l’accent sur la qualité du service rendu, la créativité, le pragmatisme et la rationalité économique dans les solutions proposées. Son engagement, son sens du service et sa volonté entrepreneuriale l’ont conduit à participer à la création de LINEON, avec un leitmotiv : la satisfaction client http://www.lineon.fr
Contact : Site web

Be the first to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée.


*