Aller au contenu

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=Sender-Checks-details

Fonctionnement de l’authentification des messages

L’authentification de message est utilisée pour vérifier l’authenticité de la provenance d’un message.

Cette section décrit les types d’authentification de message que Sophos Email Security utilise pour vous protéger contre les emails illégitimes.

Retrouvez plus de renseignements sur l’ordre dans lequel les vérifications sont effectuées dans différents scénarios sur Séquence d’authentification des messages.

Remarque

Cette section explique brièvement le fonctionnement de l’authentification des messages. Toutefois, elle n’inclut pas d’informations détaillées sur la création des enregistrements DNS (DMARC, SPF, DKIM) car nous nous concentrons sur ce qui arrive aux messages entrants.

DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance) utilise DKIM et SPF pour valider l’authenticité d’un email.

L’expéditeur crée un enregistrement DMARC qui demande au destinataire d’effectuer des vérifications DMARC et qui contient des informations sur la marche à suivre en cas d’échec des vérifications DMARC.

À la réception d’un email, Sophos Email Security procède à la vérification DNS pour retrouver l’enregistrement DMARC du domaine indiqué dans l’adresse (en-tête) « De » des emails. L’enregistrement DMARC demande au destinataire (dans ce cas, Sophos Email Security) de vérifier DMARC et lui indique la marche à suivre en cas d’échec des vérifications DMARC. L’option par défaut de Sophos Email Security pour les messages qui ne passent pas les vérifications DMARC est Conforme à la stratégie de l’expéditeur. Ceci signifie que le traitement du message dépend de ce que est défini dans l’enregistrement DMARC. Le domaine indiqué dans l’adresse « De » est comparé aux informations des enregistrements SPF et DKIM pour vérifié que les domaines correspondent. Pour passer une vérification DMARC, le message doit être validé et aligné sur les vérifications SPF ou DKIM :

  • Pour SPF, le domaine indiqué dans l’adresse (enveloppe) MESSAGE DE doit correspondre aux adresses IP ou sous-réseaux indiqués dans l’enregistrement SPF. DMARC vérifie ensuite l’adresse MESSAGE DE en la comparant à l’adresse « De » pour garantir qu’elles correspondent.
  • Pour DKIM, la signature doit être validée et le domaine indiqué sur l’adresse « De » doit correspondre au domaine utilisé pour créer la signature indiquée dans l’enregistrement DNS.

Voir DMARC.

SPF

Sender Policy Framework (SPF) vous permet de vérifier que la messagerie entrante provient d’une adresse IP ou d’un hôte autorisé par les administrateurs du domaine d’envoi.

L’expéditeur crée un enregistrement SPF qui indique les hôtes, les adresses IP et les sous-réseaux autorisés à envoyer des messages pour leur domaine.

Lorsque Sophos Email Security reçoit un email, il compare l’adresse du serveur de messagerie d’envoi avec les expéditeurs autorisés dans l’enregistrement SPF. En cas de non correspondance, la vérification SPF échoue.

Retrouvez plus de renseignements sur SPF.

DKIM

DomainKeys Identified Mail (DKIM) est utilisé pour autoriser un email en vérifiant sa signature numérique qui associe un nom de domaine à l’email.

L’expéditeur décide de la partie de l’email qu’il veut signer (en-tête et/ou corps du message) puis il configure son serveur de messagerie pour créer un hachage de ces parties. Le hachage est ensuite chiffré avec sa clé privée. Il publie un enregistrement DKIM qui contient la clé publique utilisée pour déchiffrer la signature.

Lorsque Sophos Email Security voit qu’un email a une signature DKIM, il effectue une recherche DNS pour trouver l’enregistrement DKIM correspondant au domaine d’envoi. Il utilise la clé publique pour déchiffrer la signature numérique et obtenir sa valeur de hachage. Il prend ensuite les éléments du message qui ont été signés et crée son propre hachage qu’il compare avec le hachage déchiffré. En cas de non correspondance, la vérification DKIM échoue.

Voir DKIM.