1

Par Mathieu Bourdin

2

Expert délivrabilitémb@np6.com

I. Pourquoi l’authentification?

3

Des normes datées

4

•96% des internautes accordent une importance élevée aux emails

•Le SMTP, un des standards les plus anciens d’internet (1982)

•Le SMTP est volontairement le plus ouvert possible

•Un média stratégique reposant sur un standard vulnérable

Avec l’explosion du nombre de connectés, ces abus deviennent de plus en plus couteux et néfastes.

Pour protéger leurs utilisateurs les messageries veulent s’assurer de l’identité des expéditeurs.

L’enjeu de la sécurité

5

Deux abus principaux:- Le spam - Le phishing

Pour limiter le spam les messageries utilisent le principe de la réputation :

•Selon ses pratiques, un expéditeur est plus ou moins bien considéré

•La réputation peut évoluer dans le temps (dans les deux sens)

• Il ne reste à la messagerie qu’à mettre une limite minimale de réputation pour filtrer les emails entrants

Ce système implique que l’expéditeur puisse être identifié et que l’on ne puisse pas usurper se réputation

La réputation expéditeur

6

Le DNS est le serveur qui contient la

« carte d’identité » d’un domaine

Les normes d’authentification se sont naturellement positionnées sur les DNS:• Les DNS sont le passage obligé du trafic sur internet• Les données DNS sont visibles par tous

Cela implique que le domaine utilisé pour l’envoi doit être personnalisé

Le DNS, au cœur de l’authentification

7

II. Les normes d’authentification

8

Un email contient toujours deux données permettant d’identifier l’expéditeur:

•l’adresse IP : - IPV4:

- Format: 123.123.123.123- adresses possibles: 232 (4 294 967 296)

- IPV6:- Format: 2001:cdba:b63f:e052:235f:1234:3257:9652- Adresses possibles: 2128 (340 milliards de milliards de milliards… de

milliards)

•Le domaine :- Le format est complètement ouvert (example.tld)- nombre infini de possibilités.

Ces deux éléments peuvent être « spoofés » (imités/usurpés)Il faut donc s’assurer de leur authenticité

Comment identifier l’expéditeur?

9

SPF:v=spf1 a mx ip4:83.206.208.128/25 ip4:81.252.92.0/23 –all

DKIM: v=DKIM1;t=s;p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDuQpFKoTccr9tIDof3P+cwRnNOQtQQFHuA5ithVJhT8oSFqeU9QEmS6TOQoFYSqCrqjRKKwzqI8ANaa27Mn0fv1cUcc6yISDVBM9ZFHIYplQGSHkvM/zPSHiZI0AAgTvGrDWYoeEF812aqzHu+60dVQ1Sn0nCPaTUaCSlOnbNdWQIDAQAB

DMARC:v=DMARC1;p=reject;pct=100;rua=mailto:postmaster@dmarcdomain.com

Entrées DNS: la sainte trinité

10

Toutes ces entrées sont de type « TXT », mais leur syntaxereste souvent… obscure

Protocole: Sender Policy Framework (SPF)

• Chaque domaine dispose de son infrastructure, il doit donc pouvoir indiquer quelles adresses IP peuvent envoyer des emails en son nom

• Toutes les adresses IPs autorisées sont indiquées• Il peut aussi autoriser des envois depuis d’autres domaines si

ceux-ci disposent de leur SPF (« include »)• L’administrateur peut indiquer si les messages d’origines

différentes peuvent être acceptés ou rejetés.

C’est aujourd’hui le standard le plus largement reconnu

SPF: authentifier une adresse IP

11

Le protocole DKIM permet de s’assurer que le contenu n’a pas été modifié entre son envoi et sa réception

• Il repose sur des techniques d’encryption qui ont fait leurs preuves

• Il permet également de vérifier que le message provient bien du domaine expéditeur

•C’est un standard plus récent, supporté par les webmails mais encore peu utilisé par les FAI français.

DKIM: authentifier le contenu du message

12

Le protocole DMARC repose sur les deux standards précédents pour permettre aux expéditeurs de mieux protéger leurs utilisateurs.

Un domaine qui publie un DMARC :• Peut facilement contrôler ce qui est envoyé en son nom et

être alerté en cas de phishing• Indique aux destinataires la politique à suivre en cas de non

authentification• Apporte une garantie supplémentaire quant à l’origine des

emails aux services de messagerie.

La condition d’utilisation de DMARC est «d’aligner» les domaines: le domaine expéditeur doit être le même domaine ou un sous domaine de celui utilisé pour signer (DKIM) l’email

DMARC: reprendre en main sa réputation

13

III. Pourquoi et comment authentifier ?

14

Un annonceur ne peut plus laisser n’importe qui utiliser sa marque (c’est-à-dire son domaine):

• Risque de phishing• Exposition aux fuites de données (spear-phishing)• Risque pour la réputation (affiliation, partenaires etc…)

En authentifiant ses envois, l’expéditeur rassure également ses clients et peut conserver, au gré de l’évolution de son système, sa réputation.

Se protéger en tant qu’annonceur

15

Aujourd’hui, les principales messageries (M.A.G.Y) « récompensent » les expéditeursqui authentifient leurs emails :

• Bonus dans le calcul de réputation (M.A.G.Y)

• Mise à disposition d’outils pour suivre sa réputation (Gmail, SNDS)

• Affichage d’éléments marketings supplémentaires (logos sur Yahoo)

•Non affichage de mises en garde sur l’origine du message (Gmail, Microsoft)

Aujourd’hui : améliorer sa délivrabilité

16

L’objectif déclaré pour les messageries les plus avancées est de parvenir rapidement à un taux de 100% de messages authentifiés.

• Les messages non authentifiés issus d’IP V6 seront refusés• Les domaines non authentifiés recevront un malus de

réputation• Les messages non authentifiés verront, même en inbox, des

éléments désactivés (images, liens…)

Demain : garantir sa délivrabilité

17

1. Authentifier vos envois vous protège des menaces extérieures

2. L’authentification n’est pas un système anti-spam

3. Envoyer des emails sans authentification devient difficile

4. Envoyer des emails sans authentification deviendra impossible

5. Avant de déployer DMARC, auditez toutes vos sources de mails

5 points clés

18

NP6 sera présent au salon eMarketing avec au programme 3 conférences :

Titre

19

Mardi 12 Avrilde 15.45 -16.30 

Salle  6  

De la DMP au Marketing

automation, de l’insight à l’action

Mercredi 13 Avrilde 14.45 -15.30 

Salle  6

Piloter ses campagnes

emarketing par la donnée avec le

retour d'expérience d'Hervé Sevestre,

Directeur Marketing d'Easyvoyage.

Jeudi 14 AvrilDe 14.00 -14.45 

Salle  1

Personnaliser son parcours client avec

le retour d’experience d’Anne

Klimas, Directrice Etudes, Analyses et CRM de Brico Dépôt

Carte d’identité

20

i

SPECIALISTE

LEADER SECTEURS EFFECTIFS

DIGITAL CA 15 M€

INNOVANTDATA

EUROPEEN

QUALITE

SaaS Marketing : 50%Data intelligence : 50%

110 Paris, Bordeaux, Londres

ISO 9001 depuis 2001

30 experts digitaux

CIR35 statisticiens

15 sociétés du CAC 40

Tous secteurs d’activité

Expertise cross-secteurs

3

Service Public Loisirs / Tourisme

Banque / Assurance

Médias / Culture

Agences / Instituts

E-Commerce / Distribution

Industrie / Service BtoB

Bordeaux104 Bis Quai des Chartrons 33300 Bordeaux T. 05 57 92 41 21

Paris7, rue du Pasteur Wagner75011 PARIST. 01 75 43 76 10

London23 Hanover SquareLondon W1S 1JB T. +44 203 714 8915

22