SPF-ALL, NULL MX, DMARC… Ces enregistrements DNS amènent les opérateurs de messagerie à ne pas relayer les emails depuis les noms de domaine qui bénéficient de cette configuration. Comment les utiliser ?
LA RUSE DES PIRATES
Bien souvent, les pirates informatiques envoient des courriers électronique à partir d’une adresse email émettrice factice basée sur un nom de domaine enregistré mais non exploité par une entreprise, et ce afin de tromper le destinataire final. Ces noms de domaine dormants sont en général des noms enregistrés à titre défensif. Pour contrecarrer cette technique et limiter le spam, il suffit d’utiliser les enregistrements DNS suivants :
- SPF -ALL : pour indiquer que le domaine n’envoie pas de courrier électronique,
- NULL MX : pour préciser que le domaine ne reçoit pas non plus de courrier électronique. Cet enregistrement permet également d’envoyer immédiatement à l’expéditeur qui s’est trompé d’adresse un message d’erreur. Un gain de temps pour l’utilisateur qui d’habitude reçoit une alerte uniquement lorsque le serveur émetteur renonce à acheminer l’email (un processus qui peut prendre plusieurs jours),
- DMARC : pour demander au serveur de messagerie de rejeter tout courrier électronique provenant du domaine.
COMMENT AJOUTER UN ENREGISTREMENT DNS
Il suffit de suivre les étapes suivantes :
- Connectez-vous à la plateforme d’administration de vos noms de domaine à l’aide de votre identifiant et mot de passe,
- Cliquez sur le nom de domaine que vous souhaitez modifier,
- Cliquez sur le bouton « MANAGE ZONE »,
- Créez les enregistrements DNS suivants en appliquant la configuration indiquée :
- NULL MX : configurez un MX avec priorité 0 et renseigner « . » pour le mailserver :
- SPF -ALL : configurez un enregistrement TXT avec pour valeur : v=spf1 -all
- DMARC : configurez un enregistrement TXT pour le host : _dmarc avec pour valeur : v=DMARC1; p=reject; rua=mailto:exemple@exemple.com; (l’adresse email est celle sur laquelle vous souhaitez recevoir des rapports)
CONSEIL D’EXPERT
L’utilisation de ces trois enregistrements DNS est une « bonne pratique » à mettre en place par défaut pour tous vos domaines non utilisés. Une information à transmettre à votre service technique.
Pour aller plus loin, téléchargez la check-list sécurité DNS EBRAND en cliquant sur la bannière ci-dessus.
Par Raphaël TESSIER et Sophie AUDOUSSET pour EBRAND France.