[Définition] SPF : Sender Policy Framework

SPF

Sender Policy Framework (SPF) est un système de validation d’e-mail conçu pour limiter le spam et principalement l’usurpation d’identité en vérifiant l’adresse IP de l’expéditeur (du relais qui transmet l’email).

SPF permet à l’administrateur d’un domaine de déclarer les serveurs mail (par leurs IP ou par leurs noms d’hôte) autorisés à envoyer (ou relayer) des mails pour le nom de domaine concerné. Pour cela l’administrateur du domaine va créer un champs DNS (TXT) dans lequel il spécifie les serveurs mails autorisés.

A la réception d’un mail, le serveur de destination va faire une requête DNS pour récupérer les enregistrements SPF associés au domaine de l’expéditeur et vérifier si le relai qui lui transmet le mail est autorisé à le faire.

De part son principe SPF n’est pas un système de lutte contre le spam (même si les informations recueillies peuvent êtres utiles) car un spam peut avoir des enregistrements SPF valides.

SPF, Sender Policy Framework, est définie par l’ietf dans la  RFC 4408.

DMARC : Un nouveau standard pour lutter contre le phishing

DMARC graphique logo

DMARC (Domain-based Message Authentication, Reporting and Conformance) est né de la collaboration de nombreux acteurs majeurs d’internet. Son but de de définir un nouveau standard pour lutter contre les mails de phishing.

Qui est derriere DMARC ?

Le consortium qui travaille depuis 18 mois sur cette nouvelle spécification est initialement  constitué des acteurs suivant :

  • Agari
  • American Greetings
  • AOL
  • Bank of America
  • Cloudmark
  • Comcast
  • Facebook
  • Fidelity Investments
  • Google
  • LinkedIn
  • Microsoft
  • PayPal
  • Return Path
  • The Trusted Domain Project
  • Yahoo!

En quoi consiste DMARC ?

DMARC est avant tout une spécification, permettant aux expéditeurs et aux destinataires de mail d’échanger des informations. L’authentification de l’expéditeur se base sur deux techniques déjà éprouvées : SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail).

Concernant l’expéditeur :

  • Il va signaler que son domaine utilise les systèmes d’authentification SPF et DKIM.
  • Il va spécifier une adresse e-mail de feedback qui va permettre de lui signifier des problèmes concernant les mails liés à son domaine (légitimes ou pas).
  • Il va définir la politique à appliquer si un mail reçu de son domaine échoue aux tests d’authentification SPF et/ou DKIM.
    Il y à trois actions possibles:

    1. Report : L’expediteur est prévenu du problème via son adresse de feedback.
    2. Quarantaine : Le mail est mis en quarantaine.
    3. Rejet : Le mail est rejeté.

Concernant le destinataire :

  • De part la déclaration faite par l’expéditeur, il va savoir de façon certaine si le domaine utilise des processus d’authentification  SPF et DKIM.
  • Il va pouvoir tester les mails reçu pour contrôler que les enregistrements et signatures SPF et DKIM sont valides.
  • Il va savoir quoi faire du mail (report, quarantaine ou rejet) si les tests SFP et DKIM échouent.
  • Il va savoir comment fournir un feedback à l’expéditeur en cas de problème avec des mails de son domaine.

DMARC annonce t’il la fin du phishing ?

Dans ce domaine comme ailleurs il n’y a pas de balle en argent.
Cette méthodologie ne va pas éliminer le phishing car un mail de phishing peut parfaitement répondre aux spécification de DMARC. Par exemple l’attaquant peut trés bien utiliser un nom de domaine qui va ressembler au domaine à attaquer (ma-banque.com pour mabanque.com par exemple) et le configurer pour qu’il suive les recommandations DMARC.

Ce n’est pas pour autant un coup d’épée dans l’eau, DMARC est un outils supplementaire qui va fournir des informations utiles pour la classification des e-mails, mais à lui seul il ne sera pas suffisant pour éradiquer le phishing.