{"id":5407,"date":"2024-10-17T23:54:26","date_gmt":"2024-10-17T21:54:26","guid":{"rendered":"https:\/\/www.lrob.fr\/?page_id=5407"},"modified":"2024-10-17T23:54:26","modified_gmt":"2024-10-17T21:54:26","slug":"securisations-et-normes-email","status":"publish","type":"page","link":"https:\/\/portail.lrob.fr\/en\/doc\/e-mail\/securisations-et-normes-email\/","title":{"rendered":"S\u00e9curisations et normes email"},"content":{"rendered":"<div class=\"wp-block-rank-math-toc-block\" id=\"rank-math-toc\"><h2>Sommaire<\/h2><nav><ol><li class=\"\"><a href=\"\/en\/#mx-serveur-de-reception-des-emails\">MX : Serveur de r\u00e9ception des emails<\/a><\/li><li class=\"\"><a href=\"\/en\/#securite\">S\u00e9curit\u00e9 des emails<\/a><ol><li class=\"\"><a href=\"\/en\/#helo\">FQDN, HELO, rDNS<\/a><\/li><li class=\"\"><a href=\"\/en\/#spf-sender-policy-framework\">SPF (Sender Policy Framework)<\/a><ol><li class=\"\"><a href=\"\/en\/#fonctionnement-de-spf\">Fonctionnement de SPF<\/a><\/li><li class=\"\"><a href=\"\/en\/#regle-spf-de-l-rob\">R\u00e8gle SPF de LRob<\/a><\/li><li class=\"\"><a href=\"\/en\/#erreurs-spf-courantes\">Erreurs SPF courantes<\/a><\/li><\/ol><\/li><li class=\"\"><a href=\"\/en\/#dkim-domain-keys-identified-mail\">DKIM (DomainKeys Identified Mail)<\/a><ol><li class=\"\"><a href=\"\/en\/#activer-dkim-via-plesk\">Activer DKIM via Plesk<\/a><\/li><\/ol><\/li><li class=\"\"><a href=\"\/en\/#dmarc-domain-based-message-authentication\">DMARC (Domain-based Message Authentication)<\/a><\/li><li class=\"\"><a href=\"\/en\/#les-blacklists\">Les blacklists<\/a><\/li><\/ol><\/li><\/ol><\/nav><\/div>\n\n\n\n<p class=\"wp-block-paragraph\">La s\u00e9curit\u00e9 et la r\u00e9ception des emails sont principalement assur\u00e9es par des r\u00e8gles <strong>DNS<\/strong> sp\u00e9cifiques \u00e0 votre domaine. Ces r\u00e8gles garantissent non seulement la bonne r\u00e9ception des emails, mais elles prot\u00e8gent \u00e9galement contre les spams et l&rsquo;usurpation d&rsquo;identit\u00e9.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"mx-serveur-de-reception-des-emails\">MX : Serveur de r\u00e9ception des emails<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Pour que votre domaine puisse recevoir des emails, une entr\u00e9e de type <strong>MX<\/strong> doit \u00eatre pr\u00e9sente dans la <a href=\"https:\/\/portail.lrob.fr\/en\/doc\/dns\/zone-dns\/\">Zone DNS<\/a> du domaine. L&rsquo;enregistrement <strong>MX<\/strong> correspond au serveur SMTP de r\u00e9ception des emails et pointe toujours vers un nom de domaine (nom canonique) et non une adresse IP.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Exemple:<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Si votre domaine est <strong>monsite.tld<\/strong> et que vos emails sont h\u00e9berg\u00e9s chez <strong>LRob<\/strong> sur le serveur <strong>ds.lrob.net<\/strong>, voici un exemple d&rsquo;enregistrement :<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>mail A 138.201.17.216\nMX 0 mail.monsite.tld<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Cet enregistrement <strong>MX<\/strong> assure que tous les emails destin\u00e9s \u00e0 <strong>monsite.tld<\/strong> seront envoy\u00e9s au serveur <strong>mail.monsite.tld<\/strong>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"securite\">S\u00e9curit\u00e9 des emails<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Bien que l&rsquo;universalisation des normes de s\u00e9curit\u00e9 des emails soit difficile, plusieurs standards sont aujourd&rsquo;hui largement adopt\u00e9s pour :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>R\u00e9duire la r\u00e9ception de spams<\/strong><\/li>\n\n\n\n<li><strong>Limiter l&rsquo;usurpation d&rsquo;identit\u00e9<\/strong><\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Voici les principaux standards que vous pouvez mettre en place.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"helo\">FQDN, HELO, rDNS<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Le <strong>HELO<\/strong> est le message de pr\u00e9sentation envoy\u00e9 par un serveur SMTP lors de l&rsquo;envoi d&rsquo;un email. Pour \u00eatre consid\u00e9r\u00e9 comme l\u00e9gitime, le <strong>HELO<\/strong> doit respecter ces crit\u00e8res :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Il doit \u00eatre un <strong>FQDN<\/strong> (nom de domaine ou sous-domaine complet) valide, pointant vers l&rsquo;adresse IP du serveur SMTP.<\/li>\n\n\n\n<li>Le FQDN doit correspondre au <strong>reverse DNS<\/strong> (rDNS) de l&rsquo;adresse IP du serveur SMTP.<\/li>\n\n\n\n<li>Le rDNS ne doit <strong>pas<\/strong> \u00eatre sous la forme par d\u00e9faut (ex. <strong>IPReversed.provider.tld<\/strong>), car cela indique souvent un serveur non s\u00e9curis\u00e9 ou un botnet \u00e9mettant du spam.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Nos serveurs <strong>LRob<\/strong> sont configur\u00e9s pour rejeter les emails avec un <strong>HELO<\/strong> incorrect, car c&rsquo;est une norme de base \u00e0 respecter pour tout envoi d&#8217;email. Si vous recevez des emails bloqu\u00e9s pour cette raison, nous pouvons, en dernier recours, whitelister l&rsquo;exp\u00e9diteur, mais cela d\u00e9sactive toute v\u00e9rification de l&rsquo;authenticit\u00e9 du serveur \u00e9metteur, ce qui est fortement d\u00e9conseill\u00e9.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"spf-sender-policy-framework\">SPF (Sender Policy Framework)<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Le <strong>SPF<\/strong> est un m\u00e9canisme de s\u00e9curit\u00e9 qui permet de d\u00e9finir quels serveurs sont autoris\u00e9s \u00e0 envoyer des emails pour un domaine donn\u00e9. Cela se fait par une entr\u00e9e <strong>TXT<\/strong> dans la zone DNS du domaine. Le <strong>SPF<\/strong> aide \u00e0 pr\u00e9venir l&rsquo;usurpation d&rsquo;identit\u00e9 en garantissant que seuls les serveurs autoris\u00e9s peuvent envoyer des emails au nom de votre domaine.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"fonctionnement-de-spf\">Fonctionnement de SPF<\/h4>\n\n\n\n<p class=\"wp-block-paragraph\">Lorsqu&rsquo;un serveur de r\u00e9ception re\u00e7oit un email de votre domaine, il v\u00e9rifie la pr\u00e9sence d&rsquo;une r\u00e8gle <strong>SPF<\/strong> dans la zone DNS du domaine \u00e9metteur :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Si la zone DNS contient une r\u00e8gle SPF valide et respect\u00e9e, l&#8217;email est accept\u00e9.<\/li>\n\n\n\n<li>Si aucune r\u00e8gle SPF n&rsquo;est pr\u00e9sente, l&#8217;email peut passer, mais a plus de chances d&rsquo;\u00eatre marqu\u00e9 comme spam.<\/li>\n\n\n\n<li>Si la r\u00e8gle SPF n&rsquo;est pas respect\u00e9e, l&#8217;email peut \u00eatre rejet\u00e9 (selon le param\u00e8tre <strong>-all<\/strong>) ou marqu\u00e9 comme spam (<strong>~all<\/strong>).<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"regle-spf-de-l-rob\">R\u00e8gle SPF de LRob<\/h4>\n\n\n\n<p class=\"wp-block-paragraph\">La r\u00e8gle SPF par d\u00e9faut pour les domaines h\u00e9berg\u00e9s chez <strong>LRob<\/strong> est la suivante :<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>v=spf1 +mx include:_spf.lrob.net -all<\/code><\/pre>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"erreurs-spf-courantes\">Erreurs SPF courantes<\/h4>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Cr\u00e9er plusieurs entr\u00e9es SPF<\/strong> : Il ne doit y avoir qu&rsquo;une seule r\u00e8gle SPF par domaine. Si vous en avez plusieurs, cela peut causer des erreurs de lecture al\u00e9atoires par les serveurs destinataires.<\/li>\n\n\n\n<li><strong>Utiliser le mauvais serveur SMTP<\/strong> : Vous devez utiliser un serveur SMTP autoris\u00e9 dans votre r\u00e8gle SPF. Si vous utilisez un autre serveur, vos emails seront certainement rejet\u00e9s.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"dkim-domain-keys-identified-mail\">DKIM (DomainKeys Identified Mail)<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Le <strong>DKIM<\/strong> est un standard qui permet de signer num\u00e9riquement les emails envoy\u00e9s depuis votre domaine. Cette signature est v\u00e9rifi\u00e9e par les serveurs destinataires gr\u00e2ce \u00e0 une cl\u00e9 publique inscrite dans votre zone DNS, garantissant ainsi l&rsquo;int\u00e9grit\u00e9 et l&rsquo;authenticit\u00e9 du message.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"activer-dkim-via-plesk\">Activer DKIM via Plesk<\/h4>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Rendez-vous dans votre <a href=\"https:\/\/portail.lrob.fr\/en\/doc\/hebergement-wiki\/panneau-de-controle-plesk\/\">Panneau de contr\u00f4le Plesk<\/a>.<\/li>\n\n\n\n<li>Allez dans la section <strong>Adresses email<\/strong>, puis <strong>Param\u00e8tres de la messagerie<\/strong>.<\/li>\n\n\n\n<li>Cochez la case <strong>\u00ab\u00a0Utiliser le syst\u00e8me anti-spam DKIM pour signer les mails sortants\u00a0\u00bb<\/strong>.<\/li>\n\n\n\n<li>Cliquez sur <strong>OK<\/strong>.<\/li>\n<\/ol>\n\n\n\n<p class=\"wp-block-paragraph\">Cela activera automatiquement la signature <strong>DKIM<\/strong> pour vos emails ainsi que l&rsquo;entr\u00e9e DNS correspondante.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"dmarc-domain-based-message-authentication\">DMARC (Domain-based Message Authentication)<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Le <strong>DMARC<\/strong> est une norme compl\u00e9mentaire \u00e0 <strong>SPF<\/strong> et <strong>DKIM<\/strong> qui permet de d\u00e9finir une politique en cas de non-respect de ces deux normes. Le <strong>DMARC<\/strong> permet de choisir l&rsquo;action \u00e0 mener (rejeter, marquer comme spam, etc.) si un email \u00e9choue aux v\u00e9rifications SPF ou DKIM.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Exemple de r\u00e8gle DMARC<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Voici la r\u00e8gle <strong>DMARC<\/strong> par d\u00e9faut dans la zone DNS de <strong>LRob<\/strong> :<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>\"v=DMARC1; p=reject; sp=reject; aspf=s; rua=mailto:dmarcreport@lrob.fr; ruf=mailto:dmarcreport@lrob.fr; rf=afrf; pct=100; ri=172800<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Cette r\u00e8gle :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Rejette les emails qui ne respectent pas la politique <strong>SPF<\/strong>.<\/li>\n\n\n\n<li>Permet une tol\u00e9rance en cas de probl\u00e8me avec <strong>DKIM<\/strong>.<\/li>\n\n\n\n<li>Emp\u00eache l&rsquo;envoi d&#8217;emails depuis des sous-domaines non autoris\u00e9s.<\/li>\n\n\n\n<li>Envoie des rapports de rejets \u00e0 l&rsquo;adresse <strong><a href=\"mailto:dmarcreport@lrob.fr\">dmarcreport@lrob.fr<\/a><\/strong>.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"les-blacklists\">Les blacklists<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Les <strong>blacklists<\/strong> sont des listes publiques recensant les adresses IP associ\u00e9es \u00e0 l&rsquo;envoi de spams. Si l&rsquo;IP d&rsquo;un serveur SMTP exp\u00e9diteur est inscrite sur l&rsquo;une de ces listes, il est probable que ses emails soient rejet\u00e9s par les serveurs destinataires.<\/p>\n\n\n\n<div class=\"wp-block-group is-vertical is-content-justification-left is-layout-flex wp-container-core-group-is-layout-ba03ebbf wp-block-group-is-layout-flex\" style=\"margin-top:var(--wp--preset--spacing--40);margin-bottom:var(--wp--preset--spacing--40)\">\n<hr class=\"wp-block-separator has-alpha-channel-opacity is-style-default\" style=\"margin-top:var(--wp--preset--spacing--40);margin-bottom:var(--wp--preset--spacing--40)\"\/>\n\n\n\n<p class=\"wp-block-paragraph\">Pages li\u00e9es :<\/p>\n\n\n<ul class=\"wp-block-page-list\"><li class=\"wp-block-pages-list__item\"><a class=\"wp-block-pages-list__item__link\" href=\"https:\/\/portail.lrob.fr\/en\/doc\/e-mail\/connexion-aux-adresses-email\/\">Connexion aux adresses email<\/a><\/li><li class=\"wp-block-pages-list__item\"><a class=\"wp-block-pages-list__item__link\" href=\"https:\/\/portail.lrob.fr\/en\/doc\/e-mail\/envoyer-recevoir-depuis-gmail\/\">Envoyer\/Recevoir depuis Gmail<\/a><\/li><li class=\"wp-block-pages-list__item\"><a class=\"wp-block-pages-list__item__link\" href=\"https:\/\/portail.lrob.fr\/en\/doc\/e-mail\/gestion-des-adresses-email\/\">Gestion des adresses email<\/a><\/li><li class=\"wp-block-pages-list__item\"><a class=\"wp-block-pages-list__item__link\" href=\"https:\/\/portail.lrob.fr\/en\/doc\/e-mail\/securisations-et-normes-email\/\">S\u00e9curisations et normes email<\/a><\/li><\/ul><\/div>","protected":false},"excerpt":{"rendered":"<p>La s\u00e9curit\u00e9 et la r\u00e9ception des emails sont principalement assur\u00e9es par des r\u00e8gles DNS sp\u00e9cifiques \u00e0 votre domaine. Ces r\u00e8gles garantissent non seulement la bonne r\u00e9ception des emails, mais elles prot\u00e8gent \u00e9galement contre les spams et l&rsquo;usurpation d&rsquo;identit\u00e9. MX : Serveur de r\u00e9ception des emails Pour que votre domaine puisse recevoir des emails, une entr\u00e9e [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":5512,"parent":5392,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"footnotes":""},"class_list":["post-5407","page","type-page","status-publish","has-post-thumbnail","hentry"],"_links":{"self":[{"href":"https:\/\/portail.lrob.fr\/en\/wp-json\/wp\/v2\/pages\/5407","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/portail.lrob.fr\/en\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/portail.lrob.fr\/en\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/portail.lrob.fr\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/portail.lrob.fr\/en\/wp-json\/wp\/v2\/comments?post=5407"}],"version-history":[{"count":0,"href":"https:\/\/portail.lrob.fr\/en\/wp-json\/wp\/v2\/pages\/5407\/revisions"}],"up":[{"embeddable":true,"href":"https:\/\/portail.lrob.fr\/en\/wp-json\/wp\/v2\/pages\/5392"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/portail.lrob.fr\/en\/wp-json\/wp\/v2\/media\/5512"}],"wp:attachment":[{"href":"https:\/\/portail.lrob.fr\/en\/wp-json\/wp\/v2\/media?parent=5407"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}