Guide de configuration des protocoles email de Red Sift

Publié le :10 juin 2024
Modifié le :8 mai 2026
Chapitre :5 min de lecture
Guide :82 min de lecture
image
Découvrez notre guide
Dans ce chapitre
Dans ce chapitre

Découvrir DANE et DNSSEC

Qu'est-ce que DANE ?

L’authentification basée sur DNS des entités nommées, ou DANE, est une méthode permettant d’associer un certificat à un nom de domaine sans avoir à dépendre de tiers externes. DANE crée un canal sécurisé entre l’expéditeur et le destinataire, garantissant que l’expéditeur communique bien avec la bonne personne tout en empêchant les attaques de type « man-in-the-middle » (MITM) d’intercepter ou de modifier l’email en transit.  

Publié sous RFC 7671, il introduit une nouvelle norme Internet pour établir une communication TLS (Transport Layer Security) entre un client et un serveur, sans dépendre des autorités de certification (CA) de confiance.

Le modèle traditionnel basé sur les CA dans TLS permet à n’importe quelle CA d’émettre un certificat pour n’importe quel domaine. DANE fonctionne différemment : il s’appuie sur l’infrastructure DNSSEC (Domain Name System Security Extensions) pour lier un nom de domaine à un certificat.

Pourquoi DANE a-t-il été développé ?

Il y a deux raisons principales :

1) Utilisation abusive de CA tiers de confiance

Des attaquants peuvent parfois se faire passer pour une personne ou un service et obtenir un certificat frauduleux. Même si ce certificat est valide et émis par un tiers de confiance, il n’est pas destiné à la personne souhaitée. 

2) Éliminer la possibilité d’attaques MITM (Man-In-The-Middle)

Le MITM correspond à un attaquant qui intercepte la communication entre un client et un serveur en s’immisçant dans l’échange, trompant les deux parties qui croient dialoguer directement. Cela peut entraîner une rétrogradation de session TLS ou un empoisonnement du cache. 

DANE peut-il être utilisé par n’importe quelle application ?

Tant que l’application utilise TLS pour se connecter à des services identifiés par des noms de domaine, DANE est universel. Il est rétrocompatible : si DANE n’est pas pris en charge par un serveur mail, le client peut revenir à STARTTLS ou même au texte clair. DANE a été conçu pour être déployé progressivement tout en restant interopérable avec l’infrastructure email existante. Au fur et à mesure de l’adoption de DANE, l’utilisation de DNSSEC augmentera également, et inversement. 

Que faut-il pour déployer DANE ?

  • Un résolveur « sensibilisé à la sécurité » capable d’interroger et de valider les enregistrements DNSSEC et TLSA
  • Une zone DNSSEC signée et des ensembles d’enregistrements (RRsets)

Comment DANE atteint-il ces objectifs ?

DANE s’appuie sur le protocole DNSSEC déjà existant afin de garantir l’authenticité et l’intégrité des données reçues. DANE introduit également un nouveau type d’enregistrement DNS appelé TLSA, qui permet d’indiquer au client qu’un serveur prend en charge TLS. 

Un enregistrement TLSA doit être configuré pour chaque application utilisant TLS. Chacune de ces applications fonctionnera sur des ports différents, et en fonction du port, un enregistrement TLSA distinct peut exister. 

MTA-STS et DANE ont-ils le même objectif ? Quel protocole dois-je mettre en place ?

Il est recommandé de mettre en place à la fois MTA-STS et DANE. DANE est une obligation pour de nombreux gouvernements, les organismes publics de l’UE doivent donc souvent l’implémenter.

DANE et MTA-STS n’apportent une protection que si l’expéditeur les prend en charge, mais comme de nombreux expéditeurs ne prennent en charge que l’un ou l’autre, leur mise en œuvre conjointe améliore la sécurité globale. Les organisations en 2026 déploient souvent MTA-STS d’abord pour une compatibilité plus large, puis ajoutent DANE pour renforcer la sécurité lorsque cela est nécessaire.

Qu’est-ce que DNSSEC ?

Par défaut, DNS n’est pas sécurisé. Lorsqu’un résolveur récursif effectue une requête, il accepte sans vérification toute réponse reçue. Les résolveurs récursifs mettent également en cache les réponses pour accélérer les requêtes. Si un attaquant parvient à injecter de fausses données DNS dans le cache d’un résolveur, chaque requête vers ce résolveur renverra une réponse falsifiée jusqu’à expiration du cache. C’est ce qu’on appelle l’empoisonnement du cache DNS.

Pour les emails, cela comporte un risque direct. Lorsque votre serveur de messagerie interroge l’enregistrement MX d’un domaine de destination, il se fie à la réponse fournie. Si cet enregistrement MX a été falsifié et pointe vers un serveur contrôlé par un attaquant, vos emails sont interceptés. L’expéditeur n’en a aucune idée.

DNSSEC (Domain Name System Security Extensions) résout ce problème en ajoutant des signatures cryptographiques aux données DNS. Les propriétaires de zones signent leurs enregistrements avec une clé privée et publient la clé publique correspondante dans le DNS. Lorsqu’un résolveur reçoit une réponse signée par DNSSEC, il valide la signature à l’aide de la clé publique. Si les données ont été modifiées en transit, la signature ne correspond plus et le résolveur rejette la réponse.

Ce système fonctionne grâce à une chaîne de confiance : la clé publique de chaque zone est signée par la clé privée de la zone parente. Par exemple, la clé publique de la zone redsift.io est signée par la zone .io, laquelle est signée par la zone racine. Les résolveurs maintiennent une ancre de confiance pour la racine et peuvent valider toute zone signée en remontant la chaîne jusqu’à la racine. Tant que chaque zone du chemin est signée, la confiance est assurée.

DNSSEC authentifie les données DNS au moyen de signatures numériques. Il n’effectue pas de chiffrement des requêtes ou réponses. Il certifie simplement que les données reçues sont bien celles publiées par le propriétaire de la zone, sans falsification.

DNSSEC est une condition préalable à DANE (décrit ci-dessus), qui utilise l’infrastructure DNSSEC pour lier des certificats à des noms de domaine. Sans DNSSEC, les enregistrements TLSA de DANE ne sont pas fiables, puisqu’un attaquant pourrait les falsifier.

Pour plus de détails sur la spécification, consultez RFC 4033, RFC 4034 et RFC 4035. La spécification initiale de DNSSEC (RFC 2535) a été rendue obsolète pour des raisons de scalabilité. Vous pouvez en lire davantage sur la mise à jour DNS du NIST sur notre blog.

email set up imageemail set up image
Votre email est-il correctement configuré ? Vérifiez gratuitement en moins d’une minute

Questions fréquemment posées : Guide de configuration des protocoles email

Quelle est la différence entre le hard fail SPF (-all) et le soft fail (~all), et lequel dois-je utiliser en 2026 ?

À l’époque pré-DMARC, les enregistrements SPF utilisaient couramment le mécanisme « -all » pour appliquer strictement les politiques d’expéditeur. Cependant, les recommandations actuelles de l’industrie en 2026 privilégient « ~all » pour équilibrer sécurité et délivrabilité, évitant le rejet inutile d’emails légitimes qui pourraient échouer au SPF mais réussir le DKIM et DMARC.

Cela s’explique car « ~all », lorsqu’il est mis en œuvre avec DMARC (à p=reject), permettra toujours de rejeter le courrier non authentifié si SPF et DKIM échouent, sans pour autant bloquer les emails légitimes, ce qui améliore la délivrabilité globale.

La spécification DMARC (RFC 7489) précise qu’un préfixe « - » sur le mécanisme SPF de l’expéditeur, comme « -all », peut déclencher un rejet anticipé, donc avant toute analyse DMARC. Utilisez « -all » uniquement pour les domaines inactifs qui n’envoient jamais d’emails. DMARC ne tient pas compte des nuances entre soft fail et hard fail dans la configuration SPF, les considérant tous deux comme des échecs SPF.

Comment fonctionne l’alignement DMARC et quelle est la différence entre l’alignement strict et relâché ?

DMARC ne nécessite pas seulement que SPF ou DKIM passe, mais exige aussi qu’au moins un des domaines utilisés par SPF ou DKIM s’aligne avec le domaine trouvé dans l’en-tête From. Un alignement correct est essentiel pour la délivrabilité email en 2026, car les principaux fournisseurs de messagerie imposent désormais ces exigences.

Pour SPF, l’alignement des identifiants signifie que la vérification MAIL FROM/Return-PATH doit passer et que la partie domaine du MAIL FROM/Return-PATH doit correspondre au domaine de l’adresse From. En mode d’alignement strict, les domaines doivent être identiques alors qu’en mode relâché, les sous-domaines sont également acceptés tant qu’ils appartiennent au même domaine organisationnel.

Par exemple, si le MAIL-FROM/RETURN-PATH est @ondmarc.com et que l’en-tête From est @knowledge.ondmarc.com, ils ne sont pas alignés en mode strict. Cependant, en mode relâché, DMARC validerait l’email.

Que sont les rapports agrégés DMARC et les rapports médico-légaux, et quelle est la différence ?

Un rapport agrégé DMARC contient des informations sur l’état d’authentification des messages envoyés au nom d’un domaine. Il s’agit d’un rapport de retour XML conçu pour offrir une visibilité sur les emails ayant passé ou échoué aux contrôles SPF et DKIM. Ce rapport offre aux propriétaires de domaine une vision précise des sources qui envoient en leur nom et du sort réservé à ces emails (la politique appliquée par le récepteur).

Les destinataires consulteront le tag 'rua' de votre enregistrement DMARC pour envoyer les rapports. Vous pouvez spécifier l’intervalle des rapports agrégés avec le tag ri dans votre enregistrement DMARC (par défaut, défini à 86400 secondes, soit 24h). Les rapports médico-légaux contiennent des informations plus détaillées sur chaque échec d’authentification. Toute information personnelle est retirée, mais les données utiles à l’investigation du problème DMARC sont incluses, comme les informations d’échec d’en-tête SPF et DKIM, l’adresse complète de l’expéditeur et l’objet du courriel.

L’adresse de réception des rapports médico-légaux DMARC est spécifiée par le tag 'ruf' de votre enregistrement. Tous les systèmes destinataires ne prennent pas en charge l’envoi de rapports médico-légaux. Red Sift OnDMARC est l’une des rares solutions DMARC du marché à les recevoir grâce à son partenariat avec Yahoo.

Que sont les macros SPF et pourquoi peuvent-elles causer des problèmes de délivrabilité ?

Une macro SPF désigne un mécanisme utilisé dans les enregistrements SPF permettant de définir des ensembles réutilisables d’adresses IP. Les macros SPF offrent une flexibilité et une maintenabilité accrues en permettant de définir des ensembles complexes d’IP dans un seul mécanisme, qui peut ensuite être référencé dans plusieurs enregistrements SPF. Par exemple, au lieu d’énumérer chaque adresse IP autorisée, vous pouvez définir une macro comme « %{i} » qui fait appel à l’IP d’expédition de l’email. Gérer SPF de cette manière offre un meilleur contrôle sur de grandes listes IP sans dépasser la limite de consultation SPF, tout en masquant les IP autorisées lors d’une requête publique.

Cependant, selon la structure de l’enregistrement SPF avec macros, l’absence de développement des macros peut entraîner des échecs SPF ou des résultats « Neutre » (notés ?all). Si les macros SPF jouent un rôle clé dans l’autorisation de serveurs d’envoi légitimes, les emails risquent de plus facilement échouer aux contrôles SPF ou d’être considérés comme suspects par les systèmes utilisant SPF pour l’authentification.

Qu’est-ce que MTA-STS et comment le déployer sans bloquer la livraison d’emails ?

Mail Transfer Agent Strict Transport Security (MTA-STS) est une norme qui permet de chiffrer les messages envoyés entre deux serveurs de messagerie. Elle indique aux serveurs expéditeurs que les emails ne peuvent être transmis qu’en connexion sécurisée via Transport Layer Security (TLS), empêchant ainsi l’interception par des cybercriminels.

L’adoption de MTA-STS a fortement progressé, les organisations en 2026 considérant la sécurité de la couche transport comme essentielle pour protéger les emails en transit. Pour activer MTA-STS sur un domaine destinataire, il faut annoncer la prise en charge MTA-STS dans le DNS et publier un fichier de politique sur son site web.

L’activation de MTA-STS doit se faire avec précaution afin d’éviter de bloquer la réception d’emails. Il est conseillé de d’abord déployer MTA-STS en mode test, afin que les rapports TLS permettent de détecter et corriger les éventuelles erreurs avant de passer à l’application stricte. Cette démarche progressive deviendra probablement la norme en 2026 pour les organisations renforçant la sécurité du transport.

Qu’est-ce que TLS-RPT et quel est son lien avec MTA-STS ?

Le SMTP TLS Reporting (ou TLS-RPT) permet de rapporter les problèmes de connectivité TLS rencontrés par les MTAs expéditeurs, conformément à RFC8460. À l’instar de DMARC, TLS-RPT utilise des rapports transmis par email pour avertir le propriétaire d’un domaine en cas d’échec de livraison dû à des problèmes TLS. Ces rapports incluent les politiques MTA-STS détectées, des statistiques de trafic, les connexions échouées et les raisons de l’échec.

Avec la fonction MTA-STS de Red Sift OnDMARC, vous n’avez plus besoin de gérer un déploiement complexe. Il suffit simplement d’ajouter les Smart Records MTA-STS fournis par OnDMARC à votre DNS et Red Sift prend en charge tout le reste : hébergement du fichier de politique MTA-STS, gestion du certificat SSL, et signalement de toute violation détectée via un rapport TLS. En 2026, les plateformes DMARC modernes incluent de plus en plus MTA-STS hébergé par défaut, facilitant ainsi le déploiement de la sécurité du transport.

Qu’est-ce que DANE et en quoi diffère-t-il de MTA-STS ?

Publié sous RFC 7671, DANE (DNS-based Authentication of Named Entities) introduit une nouvelle norme Internet pour établir une communication TLS entre client et serveur sans dépendre des Autorités de Certification (CA) classiques.

Le modèle traditionnel requiert qu’un CA puisse délivrer un certificat pour n’importe quel domaine. DANE procède autrement, s’appuyant sur l’infrastructure DNSSEC (Domain Name System Security Extensions) pour lier un nom de domaine à un certificat. DANE exploite le protocole DNSSEC existant pour garantir l’authenticité et l’intégrité des données reçues.

DANE introduit aussi un nouvel enregistrement DNS de type TLSA qui signale au client que le serveur supporte TLS. Il est recommandé de mettre en place à la fois MTA-STS et DANE. DANE est requis par de nombreuses administrations, en particulier dans l’UE pour les organismes publics.

DANE et MTA-STS ne sont utiles que si l’expéditeur les prend en charge, or beaucoup ne supportent qu’un seul de ces mécanismes. Déployer les deux améliore donc la sécurité générale. En 2026, les organisations mettent souvent d’abord en place MTA-STS pour une compatibilité maximale, puis ajoutent DANE là où le niveau de sécurité doit être renforcé.

Quel est le but de la politique DMARC pour les sous-domaines (balise sp) et comment l’utiliser ?

La politique de sous-domaine permet aux administrateurs de protéger différents domaines et sous-domaines selon leur niveau d’avancement dans l’adoption de DMARC. Par exemple, si tous vos services d’envoi au nom du domaine principal sont bien configurés avec SPF et DKIM, vous pouvez protéger votre domaine principal avec une politique DMARC p=reject tout en utilisant p=none sur les sous-domaines, voire l’inverse.

Par ailleurs, si un de vos services d’envoi n’est pas compatible DMARC (il ne prend pas en charge SPF ou DKIM), vous pouvez décider de lui attribuer un sous-domaine dédié et une politique DMARC différente, sans pour autant que cela empêche la protection de vos autres domaines. Cela permet de répartir le trafic sur plusieurs sous-domaines et de protéger chacun en fonction de son besoin.