Sommaire
La sécurité et la réception des emails sont principalement assurées par des règles DNS spécifiques à votre domaine. Ces règles garantissent non seulement la bonne réception des emails, mais elles protègent également contre les spams et l’usurpation d’identité.
MX : Serveur de réception des emails
Pour que votre domaine puisse recevoir des emails, une entrée de type MX doit être présente dans la Zone DNS du domaine. L’enregistrement MX correspond au serveur SMTP de réception des emails et pointe toujours vers un nom de domaine (nom canonique) et non une adresse IP.
Exemple:
Si votre domaine est monsite.tld et que vos emails sont hébergés chez LRob sur le serveur ds.lrob.net, voici un exemple d’enregistrement :
mail A 138.201.17.216
MX 0 mail.monsite.tld
Cet enregistrement MX assure que tous les emails destinés à monsite.tld seront envoyés au serveur mail.monsite.tld.
Sécurité des emails
Bien que l’universalisation des normes de sécurité des emails soit difficile, plusieurs standards sont aujourd’hui largement adoptés pour :
- Réduire la réception de spams
- Limiter l’usurpation d’identité
Voici les principaux standards que vous pouvez mettre en place.
FQDN, HELO, rDNS
Le HELO est le message de présentation envoyé par un serveur SMTP lors de l’envoi d’un email. Pour être considéré comme légitime, le HELO doit respecter ces critères :
- Il doit être un FQDN (nom de domaine complet) valide, pointant vers l’adresse IP du serveur SMTP.
- Le FQDN doit correspondre au reverse DNS (rDNS) de l’adresse IP du serveur SMTP.
- Le rDNS ne doit pas être sous la forme par défaut (ex. IPReversed.provider.tld), car cela indique souvent un serveur non sécurisé ou un botnet émettant du spam.
Nos serveurs LRob sont configurés pour rejeter les emails avec un HELO incorrect, car c’est une norme de base à respecter pour tout envoi d’email. Si vous recevez des emails bloqués pour cette raison, nous pouvons, en dernier recours, whitelister l’expéditeur, mais cela désactive toute vérification de l’authenticité du serveur émetteur, ce qui est fortement déconseillé.
SPF (Sender Policy Framework)
Le SPF est un mécanisme de sécurité qui permet de définir quels serveurs sont autorisés à envoyer des emails pour un domaine donné. Cela se fait par une entrée TXT dans la zone DNS du domaine. Le SPF aide à prévenir l’usurpation d’identité en garantissant que seuls les serveurs autorisés peuvent envoyer des emails au nom de votre domaine.
Fonctionnement de SPF
Lorsqu’un serveur de réception reçoit un email de votre domaine, il vérifie la présence d’une règle SPF dans la zone DNS du domaine émetteur :
- Si la zone DNS contient une règle SPF valide et respectée, l’email est accepté.
- Si aucune règle SPF n’est présente, l’email peut passer, mais a plus de chances d’être marqué comme spam.
- Si la règle SPF n’est pas respectée, l’email peut être rejeté (selon le paramètre -all) ou marqué comme spam (~all).
Règle SPF de LRob
La règle SPF par défaut pour les domaines hébergés chez LRob est la suivante :
v=spf1 +mx include:_spf.lrob.net -all
Erreurs SPF courantes
- Créer plusieurs entrées SPF : Il ne doit y avoir qu’une seule règle SPF par domaine. Si vous en avez plusieurs, cela peut causer des erreurs de lecture aléatoires par les serveurs destinataires.
- Utiliser le mauvais serveur SMTP : Vous devez utiliser un serveur SMTP autorisé dans votre règle SPF. Si vous utilisez un autre serveur, vos emails seront certainement rejetés.
DKIM (DomainKeys Identified Mail)
Le DKIM est un standard qui permet de signer numériquement les emails envoyés depuis votre domaine. Cette signature est vérifiée par les serveurs destinataires grâce à une clé publique inscrite dans votre zone DNS, garantissant ainsi l’intégrité et l’authenticité du message.
Activer DKIM via Plesk
- Rendez-vous dans votre Panneau de contrôle Plesk.
- Allez dans la section Adresses email, puis Paramètres de la messagerie.
- Cochez la case « Utiliser le système anti-spam DKIM pour signer les mails sortants ».
- Cliquez sur OK.
Cela activera automatiquement la signature DKIM pour vos emails ainsi que l’entrée DNS correspondante.
DMARC (Domain-based Message Authentication)
Le DMARC est une norme complémentaire à SPF et DKIM qui permet de définir une politique en cas de non-respect de ces deux normes. Le DMARC permet de choisir l’action à mener (rejeter, marquer comme spam, etc.) si un email échoue aux vérifications SPF ou DKIM.
Exemple de règle DMARC
Voici la règle DMARC par défaut dans la zone DNS de LRob :
"v=DMARC1; p=reject; sp=reject; aspf=s; rua=mailto:dmarcreport@lrob.fr; ruf=mailto:dmarcreport@lrob.fr; rf=afrf; pct=100; ri=172800
Cette règle :
- Rejette les emails qui ne respectent pas la politique SPF.
- Permet une tolérance en cas de problème avec DKIM.
- Empêche l’envoi d’emails depuis des sous-domaines non autorisés.
- Envoie des rapports de rejets à l’adresse dmarcreport@lrob.fr.
Les blacklists
Les blacklists sont des listes publiques recensant les adresses IP associées à l’envoi de spams. Si l’IP d’un serveur SMTP expéditeur est inscrite sur l’une de ces listes, il est probable que ses emails soient rejetés par les serveurs destinataires.