Intro :
Je commencerai l’introduction de ce 3ème article sur SPF par quelques chiffres :
- Quasiment 1 entreprise sur 2 du CAC40 utilise un enregistrement SPF avec un qualifieur “-all” (niveau de sécurité le plus élevé pour SPF) !
- Seulement 23% des entreprises du TOP 100 E-Commerce utilisent également un qualifieur “-all” !
Au final, peu d’entreprises franchissent le cap de durcir leur politique de sécurité SPF sur leur domaine. Quand on connait l’impact du spam et du phishing sur les entreprises, il serait peut-être temps de changer la donne et de protéger plus efficacement chaque domaine avec un niveau de sécurité élevé sur tous les systèmes d’authentification disponibles. C’est dans ce but que j’ai décidé d’écrire ce nouvel article.
Protéger son domaine et lutter contre le spam et le phishing
Sur la dernière étude “State of the phish 2020” réalisée par Proofpoint (entreprise Leader de la sécurisation des flux emails dans les grandes entreprises), 55% des entreprises ont subi au moins une attaque de phishing en 2019. Ce chiffre montre bien qu’aucune société n’est à l’abri un jour de voir son nom de domaine utilisé par un tiers pour envoyer du spam (on a connu ça à une époque) ou de voir collecter les données personnelles de ses clients…
Outre le fait de protéger son identité de marque, sécuriser son nom de domaine permettra également de protéger ses employés et ses clients/prospects d’éventuelles attaques de spam/phishing (sans oublier le fait qu’il est également important de former vos équipes à identifier ces spam/phishing pour éviter de tomber dans le panneau).
Il ne faut pas oublier que l’enregistrement SPF n’est valable que sur le domaine où il est implémenté, ainsi si vous utilisez des sous-domaines, il faudra le déployer partout. Pensez toujours qu’un domaine (ou sous-domaine) non protégé sera vulnérable aux attaques de spam et de phishing.
Avantage et inconvénient du qualifieur “-all”
Comme je l’ai mentionné dans mon premier article sur SPF, il existe 4 qualifieurs qui permettront de définir la règle qui sera appliquée par le FAI/Webmail :
- ~ : Echec léger (softFail)
- – : Echec (Fail)
- + : Valide (Pass)
- ? : Neutre (Neutral – None)
Celui qui nous intéresse ici est le qualifieur “-all” qui va permettre en cas d’échec de SPF de voir l’e-mail rejeté (dans le cas où le FAI/Webmail sache bien interpréter SPF) et donc de se prémunir de livrer un courrier illégitime chez vos employés/clients/prospects.
Ce qualifieur vous apportera un bel avantage… mais aussi un inconvénient de taille :
(+) Si une personne mal intentionnée essaie d’envoyer des e-mails à partir de votre domaine avec une IP non déclarée dans l’enregistrement SPF de votre domaine, sa tentative sera un échec.
Besoin d'aide ?
Lire du contenu ne fait pas tout. Le mieux, c’est d’en parler avec nous.
(-) Si vous avez oublié de déclarer une IP dans votre enregistrement SPF, tout e-mail légitime envoyé avec cette IP ne sera pas délivré.
Définir un plan de déploiement pour passer SPF à “-all”
Même si le risque d’oublier une IP est réel et peut avoir lieu, il peut être limité en adoptant un plan de déploiement afin de monter graduellement le niveau de sécurité de votre enregistrement SPF sans vous faire gronder par le directeur Marketing.
- Étape 1 : Listing de toutes les IP (ou sources) utilisées par le domaine.
- Étape 2 : Intégration de SPF avec le qualifieur “~all” (SoftFail) + intégration de DMARC pour le suivi.
- Étape 3 : Monitoring accru de tous les rapports DMARC reçus des FAI/Webmails pour vérifier si une ou plusieurs IP n’ont pas été oubliées. Ce monitoring peut durer plusieurs semaines/mois (tout va dépendre de votre fréquence d’envoi).
- Étape 4 : Correction de l’enregistrement SPF (si une IP a été oubliée)
- Étape 5 : Upgrade de l’enregistrement SPF avec le passage du qualifieur à “-all” (Fail).
- Étape 6 : Monitoring de tous les rapports DMARC reçus des FAI/Webmails pour vérifier que tout est ok + détection du trafic illégitime.
On ne va pas se voiler la face. DMARC ici sera votre meilleur ami/allié pour être sûr de ne rien oublier. Si vous ne l’avez pas encore paramétré sur votre domaine racine, n’hésitez pas à consulter l’article que j’avais écrit sur le sujet.
Conclusion
Sur le papier, il n’y a rien de compliqué et pourtant peu le font… Est-ce dû à une question de priorité (tâche détectée comme mineure par rapport aux autres projets de l’entreprise), de connaissances techniques (la DSI ne connait pas le sujet et donc on botte en touche), de temps (la DSI est sous l’eau) ? N’hésitez pas à donner votre avis dans les commentaires.
J’espère que cette série de 3 articles sur SPF vous aidera à mieux comprendre, cerner et donner l’envie de vous plonger dedans si ce n’est pas encore le cas.
Article #1 : Qu’est-ce que SPF ? Configuration, vérification et monitoring. Article #2 : 10 conseils à mettre en place dans sa configuration SPF…