SFR implémente DKIM pour authentifier les messages entrants

Depuis vendredi 30 novembre dernier, SFR authentifie les messages entrants grâce à la technologie DKIM. Pour le moment, les messages non-authentifié ou mal authentifié ne subissent pas de traitement particulier.

En regardant les en-têtes des messages envoyés à SFR, on constate l’apparition de l’en-tête Authentication-Results comprenant le résultat du test d’authentification ainsi que l’analyse de la politique ADSP publié par le propriétaire du domaine.

Je rappelle que l’authentification DKIM est basé sur une technologie de chiffrement des en-tête grâce à un système de clé privée / clé publique, la clé privé étant utilisée par le MTA de l’expediteur pour signer le message lors de l’envoi et la clé publique diffusée dans un enregistrement DNS et utilisée pour authentifier le message lors de sa réception.

Exemple d’enregistrement clé publique DKIM pour le domaine facebookmail.com :

dlnw$ dig s1024-2011-q2._domainkey.facebookmail.com TXT +short
« k=rsa; t=s; h=sha256; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDLWnmo7aFBKfL4+mogTe/cXx6D4M
UF7VUM9O+nmXAcUP6jJh1RDgZuSJ/KKxo+KMpDiF5xnawr4p3N4eFruSZWFB1vtHgDiy3iPk
e/u0lmXB2PDQphFRJU4Raghm9e2duPfuSExbvSu9COWIoaz1vH/T+8zc0vuonClGuPfxoqhQID
AQAB »

ADSP est aussi un enregistrement DNS, placé sous l’enregistrement DKIM du domaine, et destiné à communiquer publiquement la politique de signature du domaine en question.

L’enregistrement ADSP peut prendre 3 valeurs :

all : tout les emails envoyés pour ce domaine sont signés.
discardable : tout les emails envoyés pour ce domaine sont signés, et si un message arrive non signés ou avec une signature non valide, le propriétaire du domaine encourage le destinataire à rejeter celui-ci.
unkown : tout ou partie des messages envoyés par ce domaine sont signés.
Etant donné l’actualité agité autour de DKIM, il est important de préciser que SFR authentifie tous les messages signés, quelque soit l’algorithme utilisé pour le cryptage et la longueur de la clé.

Pour le moment, l’authentification DKIM chez SFR est en mode écoute, cela signifie qu’aucune politique de filtrage n’est appliqué aux messages non-authentifié. Au début de l’année prochaine, SFR tiendra compte de la signature ADSP et appliquera ça propre politique aux messages non signés.

Mais concrètement, qu’est ce que cela apporte à l’écosystème email ?

Pour les marques, une signature DKIM valide et une politique ADSP stricte aura pour effet de protéger les domaines de la marque du phishing.

Pour les expéditeurs d’emails, cela signifie que DKIM prend une place un peu plus importante et qu’il est aujourd’hui indispensable de proposer à ses clients d’authentifier ses emails grâce à cette norme.

Pour SFR, c’est une façon de rendre les boites aux lettres de leurs abonnés plus sûre, en utilisant les possibilités technologiques modernes tout en s’affichant comme un ISP responsable et coopératif dans l’écosystème email.

Share this

Les commentaires sont fermés.

Vous trouverez ci-dessous une liste d’articles tout aussi intéressants classés par catégorie.