Appelez-nous : 1.888.484.7266
Vircom logo
Essais gratuits
Vircom logo
ESSAIS GRATUITS

3 étapes essentielles pour configurer le FPS pour votre courriel professionnel afin d’éviter les attaques d’usurpation d’identité et d’hameçonnage

SHARE WITH YOUR NETWORK!

Table of Contents

3 étapes essentielles pour configurer le FPS pour votre courriel professionnel afin d’éviter les attaques d’usurpation d’identité et d’hameçonnage

Je suppose que vous savez déjà ce qu’est le SPF (Sender Policy Framework) et que vous savez à quel point il est suffisamment important pour que vous puissiez le configurer correctement. Si ce n’est pas le cas, je vous suggère de lire cet article sur les bases du dossier SPF. Une bonne configuration des enregistrements SPF peut protéger votre domaine contre l’usurpation de courriel.

Étape 1 – Identifiez tous les endroits où vous envoyez des courriels en votre nom

Interne Systèmes :

• Tout serveur de messagerie que vous utilisez et qui enverra du courrier de yourdomain.com.
• Toutes les passerelles anti-pourriel qui pourraient également envoyer des courriels en votre nom, y compris les notifications de retour.
• Toute page Web ou site Web avec un petit MTA (agent de transfert de messages) qui pourrait envoyer du courrier en votre nom.
• N’oubliez pas les systèmes d’alerte et de surveillance qui pourraient envoyer du courrier de alerts@yourdomain.com par exemple.

Notez les adresses IP publiques que ces systèmes enverront des courriels en votre nom.

Externe Systèmes :

• La plupart des entreprises externalisent maintenant plusieurs de leurs opérations, comme par exemple les CRM (exemple : Microsoft Dynamics, SalesForce, etc..). Cela signifie que ces systèmes enverront très probablement des courriels au nom de votre entreprise. Habituellement, ils ont déjà un FPS déclaré pour leurs MTA, donc tout ce que vous avez à faire est d’« inclure » leur enregistrement SPF dans votre dossier SPF. Il est préférable de vérifier auprès du service particulier, du service d’assistance ou de la base de connaissances, car certaines entreprises peuvent avoir un enregistrement SPF distinct pour leur courriel interne de l’entreprise et les MTA utilisés pour envoyer du courrier au nom de leurs clients.

Une fois que vous avez identifié les adresses IP publiques et les services que votre entreprise utilise pour envoyer des courriels en votre nom, vous devez configurer un enregistrement SPF pour votre domaine.

Pour les besoins de cet article, nous utiliserons ce qui suit. Notre entreprise hypothétique (ModusStuff Inc) avec le domaine de modusstuff.com possède trois serveurs, et ils utilisent les services de Constant Contact (pour envoyer des infolettres mensuelles à leurs clients).

Serveur de messagerie 1 – 101.10.10.20

Serveur de messagerie 2 – 101.10.10.21

Passerelle des pourriels – 67.96.24.10

Le FPS de Constant Contact est constantcontact.com

Notez qu’il est très important que vous identifiiez TOUS les systèmes qui pourraient envoyer du courrier au nom de vos domaines avant de mettre en œuvre un enregistrement SPF, sinon les serveurs de messagerie sur Internet qui reçoivent des courriels pour votre domaine commenceront à envoyer des courriels ou à envoyer des messages à leur quarantaine de pourriels.

Étape 2a – Configuration de votre serveur DNS (pour l’utilisation d’une résolution externe)

Nous utiliserons Microsoft DNS pour cet exemple.

Tout d’abord, allez dans votre zone de domaine

FPS

Créer un nouvel enregistrement TXT pour le domaine (dans ce cas, modusstuff.com)

Cliquez avec le bouton droit de la souris sur la zone de domaine que vous souhaitez modifier.

Cliquez sur « Autre nouveau dossier ».

L’enregistrement SPF empêche l’usurpation d’identité

À l’aide de la barre de défilement, faites défiler jusqu’à TEXTE (TXT) et cliquez sur « CRÉER ENREGISTREMENT »

FPS 3

Dans la partie TEXTE, collez la chaîne SPF que vous avez créée et cliquez sur OK.

V=spf1 ip4:101.10.10.20 ip4:101.10.10.21 ip4:67.96.24.10 include:constantcontact.com -all
Voici le résultat :

FPS 4

Notez que « -all » à la fin de la ligne.

« -all » signifie un échec dur. Vous recommandez aux serveurs de messagerie sur Internet d’interpréter l’enregistrement SPF comme un échec grave, ce qui signifie généralement de rejeter les messages qui ne proviennent pas de vos adresses IP autorisées.

Si vous le changez en « ~all », c’est un échec en douceur. La plupart des MTA/filtres sur Internet attribueront un score de pourriel à une vérification SPF échouée et augmenteront le spam des messages provenant d’IP non autorisées.

Nous vous recommandons d’utiliser d’abord un échec souple pour voir comment les choses se passent, puis de passer à un échec grave.

Étape 2b – Configuration avec un service DNS Web (p. ex., DYNDNS)

Notez que la plupart des services DNS basés sur le Web diffèrent, ce n’est donc qu’un exemple.

Connectez-vous à votre compte avec votre service DNS Web

Rendez-vous à l’endroit où vous gérez votre service de zone DNS

FPS 5

Cliquez sur « AJOUTER un enregistrement TXT en bas »

Dans l’enregistrement TXT, nous mettons essentiellement ceci dans :

V=spf1 ip4:101.10.10.20 ip4:101.10.10.21 ip4:67.96.24.10 include:constantcontact.com -all

FPS 6

Cliquez sur Créer un dossier.

Voici le résultat :

Les enregistrements SPF empêchent l’usurpation d’identité

Étape 3 – Assurez-vous que les changements ont pris effet

Notez que la propagation des changements peut prendre quelques heures.

Ouvrir une invite DOS

Type : ipconfig /flushdns

Cela videra votre cache DNS local.

Tapez : nslookup – 8.8.4.4 <entrez>

Cela effectuera une recherche à l’aide des serveurs DNS de Google. Il est généralement préférable de vérifier à l’aide d’un DNS externe que d’utiliser votre propre DNS interne qui pourrait avoir un résultat différent. Le DNS de Google est un bon serveur de référence.

Type : set query=TXT

Type : modusstuff.com

Le résultat devrait ressembler à ceci :

Protection contre l’usurpation de courriels au moyen d’enregistrements SPF

Si ce n’est pas le cas, soit le changement n’est pas encore entré en vigueur, soit vous n’avez pas validé le changement dans votre serveur DNS ou quelque chose d’autre s’est produit.

En conclusion

Si vous êtes sérieux au sujet de la sécurité des courriels, le FPS n’est qu’une partie d’une stratégie plus complète. De nombreuses organisations complètent SPF, DKIM et DMARC avec une protection avancée comme Proofpoint Essentials. Cette solution offre une défense multicouche contre l’usurpation d’identité, l’hameçonnage et les logiciels malveillants, tout en intégrant une formation de sensibilisation des utilisateurs et une protection des liens en temps réel pour sécuriser vos courriels professionnels de bout en bout.

Contactez-nous si vous avez besoin d’aide. Nous aimons aider les administrateurs informatiques à configurer SPF et constatons que trop d’entre eux évitent de le faire ou le configurent incorrectement.

N’oubliez pas qu’un enregistrement SPF correctement configuré aidera à vous assurer que les spammeurs n’utiliseront pas votre nom de domaine pour prétendre envoyer des courriels en votre nom. Ils ne vous parodieront pas.

Table des matières

Explore our Advanced Email Security Solutions

Protect your clients and simplify your operations with reliable, scalable email security solutions. Get in touch today to learn how we can support your success.

CONTACT US
SHARE WITH YOUR NETWORK!
Picture of Yves Lacombe
Yves Lacombe
Yves is Technical Support Director at Vircom, and has been working in multiple capacities within the company over the past 2 decades. He's done everything from B2B support with larger clients, founding the spam and security teams, Tech Writing, tool writing, developing the modus Blockade solution, and built the early modusCloud prototype. His personal motto is “The buck stops here”. He's not kidding.
All Posts

Ready to See the Difference?
Discover our advanced security products today.

Get Quick Demo
Faire défiler vers le haut