Google introduit de nouvelles exigences de sécurité pour les expéditeurs de courriers électroniques en nombre, mais aurait dû le faire depuis des années.

Google et Yahoo ! exigeront l'utilisation de DMARC, SPF et DKIM afin de lutter contre le spam et le phishing. Il est surprenant que ces fonctionnalités n'aient pas déjà été exigées.

Google et Yahoo, les principaux fournisseurs de courrier électronique des grandes entreprises, vont demander aux expéditeurs de plus de 5 000 courriels par jour de déployer des mesures de sécurité supplémentaires afin d'éviter les abus, de réduire les spams et de mettre fin aux attaques par hameçonnage. C'est une grande surprise alors que cette technologie n'est pas nouvelle. Ces mesures de sécurité sont une excellente initiative, mais aucune de ces technologies n'est nouvelle. Espérons que ces nouvelles exigences inciteront d'autres entreprises à améliorer la configuration de la sécurité de leur courrier électronique.


Google a annoncé qu’il allait commencer à appliquer des mesures de sécurité plus strictes pour tous les comptes qui envoient plus de 5 000 courriels par jour aux utilisateurs personnels de Gmail. Ce changement s’inscrit dans le cadre des efforts déployés par le fournisseur de messagerie Big Tech pour lutter contre les courriels d’hameçonnage et les spams ciblant les utilisateurs de son service Gmail. Gmail est le fournisseur de messagerie électronique le plus populaire au monde, mais aussi une source majeure de spams. Dans le cadre de ces nouvelles mesures, Gmail exigera des “expéditeurs de masse” qu’ils mettent en œuvre les paramètres de sécurité précédemment facultatifs pour leurs adresses de courrier électronique de domaine personnalisé. Ces paramètres sont DMARC, SPF et DKIM, des paramètres de sécurité que les utilisateurs de domaines personnalisés Tuta étaient tenus d’activer depuis 2019.

Dans l’article suivant, nous examinerons ce que ces acronymes signifient et comment ils peuvent protéger une adresse de domaine de messagerie personnalisée contre les abus de spam ou de phishing.

Il s’agit notamment de :

Nouvelles normes de sécurité

Les nouvelles exigences de sécurité introduites par Google fournissent collectivement différents moyens de garantir l’authenticité des messages électroniques. Comme dans tout domaine informatique, il existe un certain nombre d’acronymes qu’il convient de décrypter et d’expliquer. Il est important de noter que ces exigences s’appliquent aux adresses de domaine personnalisées utilisées par les expéditeurs en masse qui souhaitent envoyer des messages électroniques aux utilisateurs de Gmail.

DMARC : Domain-based Message Authentication, Reporting, and Conformance (authentification, notification et conformité des messages basés sur un domaine)

DMARC signifie Domain-based Message Authentication, Reporting, and Conformance (authentification, notification et conformité des messages basés sur un domaine). Il s’agit d’un protocole d’authentification du courrier électronique qui permet aux utilisateurs de domaines personnalisés d’empêcher d’autres personnes d’utiliser leur domaine sans autorisation. Lorsque des fraudeurs envoient des courriels en se faisant passer pour une entreprise locale, on parle d‘“usurpation d’identité” et DMARC ajoute une vérification supplémentaire pour empêcher cela. Lorsqu’une entrée DMARC est ajoutée au panneau des paramètres DNS d’un fournisseur de domaine, les serveurs de messagerie qui reçoivent un courriel provenant de ce domaine personnalisé peuvent authentifier le courriel sur la base des instructions définies par le propriétaire du domaine personnalisé. Si les contrôles sont réussis, le courrier électronique peut être délivré. En cas d’échec, le courrier électronique est rejeté conformément aux règles de configuration du propriétaire du domaine.

DMARC joue le rôle de régulateur en décidant du type d’actions à entreprendre si les contrôles SPF et DKIM ne sont pas correctement satisfaits.

DMARC Authentication Explained

Image de ProofPoint security

SPF : Sender Policy Framework (cadre de politique de l’expéditeur)

Sender Policy Framework (SPF) est l’élément suivant des nouvelles exigences de sécurité de Google. Le rôle d’un enregistrement SPF est d’authentifier que le serveur d’envoi est autorisé à être le point d’origine des courriels envoyés avec le domaine personnalisé de l’utilisateur. Cet élément dépend d’un enregistrement DMARC correctement configuré pour déterminer ce qui se passe si la vérification de l’enregistrement SPF échoue. En publiant un enregistrement SPF dans vos enregistrements DNS, les spammeurs et autres attaquants sont moins susceptibles d’essayer d’utiliser votre domaine parce que leurs courriels de spam ne pourront pas être vérifiés comme étant envoyés à partir d’un serveur de messagerie non autorisé.

SPF record example.

Cet enregistrement SPF vérifie que le courriel a bien été envoyé par l’une de ces adresses IP. Si le courriel a été envoyé par un autre serveur de messagerie, il sera rejeté.

DKIM : DomainKeys Identified Mail (courrier identifié par des clés de domaine)

DomainKeys Identified Mail est le troisième protocole d’authentification requis par Google pour les expéditeurs de messages en nombre. Le DKIM vérifie que les adresses électroniques de domaines personnalisés ne sont pas utilisées sans autorisation, afin d’éviter les attaques par hameçonnage et par usurpation d’adresse électronique. Les signatures DKIM sont ajoutées pour permettre aux fournisseurs de courrier électronique de vérifier l’authenticité de l’expéditeur.

La signature DKIM comporte trois étapes principales :

  1. L’expéditeur du courrier électronique choisit les champs à inclure dans la signature DKIM. Il peut s’agir de l’adresse “From”, du corps du message, des lignes d’objet, etc. Ces champs doivent rester inchangés pendant le transit, faute de quoi la vérification DKIM finale échouera.
  2. Les champs choisis sont hachés par le fournisseur de messagerie de l’expéditeur et le hachage est crypté à l’aide de la clé privée de l’expéditeur.
  3. Après l’envoi, le serveur de messagerie destinataire validera la signature en recherchant la clé publique qui correspond à la clé privée de l’expéditeur. Cela permet de décrypter la chaîne de hachage de l’étape 2 et de vérifier qu’aucun changement n’est intervenu pendant le transit.

Ce n’est que lorsque ces étapes sont réussies que le courrier électronique est délivré. Dans le cas contraire, il sera rejeté conformément à la règle DMARC du propriétaire du domaine.

Example DKIM Signature

Voici un exemple de signature DKIM utilisée pour protéger un domaine personnalisé contre l’usurpation d’identité en vue de l’envoi de spam ou de messages d’hameçonnage.

Les changements de sécurité des grandes entreprises technologiques sont attendus depuis longtemps

Google et Yahoo ! ont tous deux annoncé que ces paramètres seront obligatoires à partir du 1er février 2024, mais ces fonctions de sécurité sont disponibles depuis des années. Bien que ce soit une excellente initiative de la part des grandes entreprises technologiques de commencer à exiger ces enregistrements de sécurité DNS supplémentaires, le moment choisi est quelque peu discutable. Google est sans aucun doute un leader dans le domaine de la sécurité informatique, mais son approche du laisser-faire en matière de sécurité du courrier électronique semble quelque peu déplacée. Yahoo ! ne mérite pas non plus beaucoup d’applaudissements. À la suite d’importantes violations de données qui ont exposé la quasi-totalité des comptes existants, ce trafic aurait dû faire l’objet d’un examen plus approfondi immédiatement plutôt que près d’une décennie plus tard.

Il est bon de voir que Google et Yahoo ! renforcent leurs exigences en matière de sécurité, car en 2022, près de 49 % de tous les courriels envoyés étaient des spams.

Gmail est le premier expéditeur quotidien de spams, avec 14,5 millions de spams par jour !

Les services de courrier électronique axés sur la protection de la vie privée, tels que Tuta Mail, font l’objet de critiques erronées, affirmant qu’ils constituent un refuge pour les mécréants et les spammeurs. Bien qu’il puisse y avoir des spammeurs qui tentent d’utiliser nos services, ils sont rapidement fermés. Le service Gmail de Google, quant à lui, serait responsable de l’envoi de 14,5 millions de spams par jour. Le volume insondable de spams provenant des serveurs de messagerie de Google éclipse à lui seul toutes les tentatives de spam provenant d’autres fournisseurs de messagerie.

Les mesures de sécurité désormais en vigueur constituent un pas dans la bonne direction, mais avec le recul, elles auraient dû être introduites beaucoup plus tôt.

D’autres solutions offrent une meilleure sécurité globale.

Tuta Mail supporte l’utilisation complète des domaines de courriel personnalisés, mais durant le processus de configuration du domaine personnalisé, nous guidons tous les utilisateurs sur la façon d’ajouter ces enregistrements de sécurité DNS cruciaux afin de mieux protéger leur domaine personnalisé contre les abus des fraudeurs. D’autres fournisseurs de Big Tech ont abandonné cette option, comme Microsoft qui a récemment supprimé la prise en charge des domaines personnalisés dans Outlook.

En choisissant une alternative privée aux fournisseurs de Big Tech, il est non seulement possible de profiter d’options de domaine faciles à configurer, mais vous pouvez être assuré que vos données sont à l’abri des pratiques publicitaires invasives de Google. En choisissant Tuta pour protéger vos emails , vous êtes également protégé par notre premier cryptage post-quantique au monde. Cette nouvelle génération de cryptage vous protège, vous et vos données, des agences de renseignement et de leurs pratiques “récolter maintenant, décrypter plus tard”.

Laissez tomber Google et optez pour la protection de la vie privée !

Vous méritez mieux que de voir vos données récupérées pour former des modèles d’intelligence artificielle qui, à leur tour, envoient des publicités ciblées dans votre boîte aux lettres. Vous devriez être libre de communiquer en toute sécurité avec vos amis et vos proches sans avoir à vous soucier de Big Tech qui regarde par-dessus votre épaule. En choisissant une alternative de messagerie privée, vous protégez votre liberté d’expression.

Choisissez la confidentialité dès aujourd’hui !