Emailing et authentification : protégez votre marque et améliorez votre délivrabilité

L’authentification a été l’un des sujets majeurs lors de la dernière conférence du M3AAWG (Messaging, Malware and Mobile Anti-Abuse Working Group) à San Francisco en février dernier. Derrière ce terme générique se cachent plusieurs normes qui permettent d’identifier l’expéditeur, par l’adresse IP ou le contenu du message. Autant de règles à respecter si l’on veut protéger sa marque et améliorer sa délivrabilité.

Par Mathieu Bourdin, Expert Délivrabilité du groupe NP6

Les MSP (Mail Service Providers ou fournisseurs de services de messagerie) tels que Google (Gmail), Microsoft (Outlook), AOL ou La Poste ont insisté pour que l’email soit authentifié, autrement dit que l’on puisse en vérifier la source. Si l’email est un média de plus en plus important (96% des internautes consultent leur boîte principale au moins une fois par jour, selon l’étude Email Marketing Attitude 2015 du Sncd), il repose sur des normes anciennes. Le SMTP (Simple Mail Transfer Protocol), qui date de 1982, a été volontairement voulu le plus ouvert possible pour être facile à implémenter. Plus de 30 ans plus tard, on se retrouve avec un média stratégique (l’email) qui repose sur un standard vulnérable.

Parmi ces menaces, on en retrouve deux principales, qui n’ont pas mis longtemps à apparaître : le spam et le phishing. Le premier spam date de 1978 (soit 4 ans avant l’établissement de la norme SMTP), tandis que le premier phishing (ou hameçonnage) est apparu au milieu des années 1990 avec le logiciel AOHell. Avec l’explosion du nombre de connectés, ces abus deviennent de plus en plus couteux et néfastes, quant à l’image de marque notamment (comme avec le cas des emails frauduleux EDF en 2014 qui sont parvenues à voler des coordonnées bancaires aux clients).

Pour limiter le spam, les messageries utilisent le principe de la réputation, qui va définir la délivrabilité d’un expéditeur. Selon ses pratiques, un expéditeur va être plus ou moins bien considéré par les MSP. Ainsi, il ne reste à la messagerie qu’à mettre une limite minimale de réputation pour filtrer les emails entrants. Ce système implique que l’expéditeur puisse être identifié et que l’on ne puisse pas usurper sa réputation.

Le DNS, au coeur de l’authentification

Le DNS (Domain Name System), est le serveur qui contient la « carte d’identité » d’un domaine et qui permet de diriger l’information au bon endroit. Visibles par tous, les données DNS vont renseigner sur les adresses responsables, celles à contacter en cas de problème, les serveurs où sont hébergés les sites de l’expéditeur, et les normes auxquelles répond ce domaine… En personnalisant son domaine d’envoi des emailings, l’expéditeur est donc en mesure de disposer de ses propres infos d’authentification.

Deux données, toujours contenues dans un email, permettent d’identifier l’expéditeur :

  • l’adresse IP : Il s’agit d’une adresse attribuée à tout appareil connecté à un réseau. Différents formats sont actuellement utilisés : IPV4, norme déjà ancienne et dont la pérennité n’est pas assurée car le nombre d’adresses possible est aujourd’hui atteint, et IPV6, défini plus récemment qui permet un nombre si important d’adresses qu’il devient impossible de s’en servir dans le filtrage.
  • le domaine : Ici le format est complètement ouvert et permet un nombre infini de possibilités.

Ces deux éléments peuvent être « spoofés », autrement dit imités ou usurpés. Il faut donc s’assurer de leur authenticité.

Les normes d’authentification

Les protocoles d’authentification dont disposent les MSP s’appuient sur le DNS, et sont de type « TXT », mais restent souvent obscures de par leur syntaxe. Parmi ces différents outils, on trouve :

  • SPF

Le SPF ou Sender Policy Framework sert à authentifier une adresse IP. Datant de 2007, c’est aujourd’hui le standard le plus reconnu. Le principe : chaque domaine dispose de son infrastructure, publiée par le DNS. Il doit donc pouvoir indiquer quelles adresses IP peuvent envoyer des emails en son nom. Il peut aussi autoriser des envois depuis d’autres domaines si ceux-ci disposent de leur SPF (« include »). Enfin, l’administrateur peut indiquer si les messages d’origines différentes peuvent être acceptés ou rejetés.

 

  • DKIM

Le protocole DKIM ou DomainKeys Indentified Mail, issu de technologies différentes au départ créées par Yahoo ! (DomainKeys) et Cisco (Identified Internet Mail), permet de s’assurer que le contenu n’a pas été modifié entre son envoi et sa réception, grâce notamment à une clé de cryptage placée dans l’en-tête du message. Avec le DKIM, le MSP peut également vérifier que le message provient bien du domaine expéditeur. C’est un standard plus récent, supporté par les webmails nord-américains mais encore peu utilisé par les fournisseurs d’accès à Internet français.

 

  • DMARC

Le protocole DMARC ou Domain-based Message Authentification, Reporting and Conformance repose sur les deux normes précédentes, et permet aux expéditeurs de mieux protéger leurs utilisateurs. Il permet de signaler au domaine destinataire ce qu’il doit faire si les normes SPF ou DKIM sont en échec. Un domaine qui publie un DMARC peut facilement contrôler ce qui est envoyé en son nom et être alerté en cas de phishing, indique aux destinataires la politique à suivre en cas de non authentification, et apporte une garantie supplémentaire quant à l’origine des emails aux MSP.

Pour pouvoir être utilisé, le DMARC comporte une condition : les domaines doivent être « alignés ». Le domaine expéditeur doit être le même domaine ou un sous-domaine que celui utilisé pour signer l’email.

Pourquoi doit-on s’authentifier

Premier intérêt à s’authentifier : se protéger en tant qu’annonceur. Ce dernier ne peut plus laisser n’importe qui utiliser sa marque (cad son domaine), et s’exposer au risque de phishing, aux fuites de données (spear-fishing) ou aux risques liés à la réputation (par rapport notamment aux affiliés, partenaires…). En authentifiant ses envois, l’expéditeur rassure également ses clients et peut conserver, au gré de l’évolution de son système, sa réputation.

Autre intérêt : gagner des bonus sur certains domaines. En effet, aujourd’hui, les principaux services de messagerie (M.A.G.Y. pour Microsoft, AOL, Google, Yahoo !) récompensent les expéditeurs qui authentifient leurs emails de la manière la plus poussée possible. Il peut s’agir de :

  • Bonus dans le calcul de réputation (M.A.G.Y)
  • Mise à disposition d’outils pour suivre sa réputation (Gmail, SNDS)
  • Affichage d’éléments marketings supplémentaires (logos sur Yahoo)
  • Non affichage de mises en garde sur l’origine du message (Gmail, Microsoft)

Certains MSP accordent des petits bonus directement visibles des utilisateurs. Ainsi, l’application mobile Yahoo! Mail sur Android permet d’afficher le logo de la marque à côté du nom de l’expéditeur si celle-ci est authentifiée (cf image plus haut). A contrario, ne pas le faire revient à s’exposer à des points de malus sur sa réputation.

Pour les messageries les plus avancées, l’objectif déclaré est de parvenir rapidement à un taux de 100% d’authentification, autrement dit que 100% des messages qui arrivent dans la boîte de réception soient authentifiés. Les messages non authentifiés issus d’IP V6 seront refusés, et les domaines non authentifiés recevront un malus de réputation. De plus certains n’hésitent pas pour certains messages même arrivés en inbox à désactiver certains éléments (liens, images…) si ceux-ci ne sont pas authentifiés convenablement.

Authentification : les 5 points clés à retenir

1) Authentifier vos envois vous protège des menaces extérieures

2) L’authentification n’est pas un système anti-spam (la preuve : les puissants réseaux de botnets russes ou chinois savent parfaitement s’authentifier avec les dernières normes !)

3) Envoyer des emails sans authentification devient difficile

4) Envoyer des emails sans authentification deviendra impossible (vous pourrez en envoyer mais n’aurez aucune garantie qu’ils arrivent dans la boîte de réception du destinataire. Il faut donc prendre en compte l’authentification dès maintenant !)

5) Avant de déployer la norme DMARC, auditez toutes vos sources de mails (plus l’entité va être grande, plus il y aura de sous-traitants, plus il faudra passer du temps pour vérifier vos sources d’emails. Il faut donc y penser en amont)

 

Les demandes de normes d’authentification sont gratuites. MailPerformance implémente ces différentes normes d’authentification sur tous les domaines utilisés pour les envois, qu’ils soient personnalisés ou génériques. Dans le cas d’un domaine personnalisé vous avez en plus l’assurance de bénéficier d’une réputation expéditeur que vous êtes le seul à pouvoir influencer.

Vous avez des questions sur l'authentification de vos emails ?