Combattre le Phishing avec SPF et DomainKeys

Nous nous intéresserons ici à deux technologies de signature que PayPal se propose d’utiliser pour améliorer l’authentification des messages envoyés. SPF (Sender Policy Framework) et DomainKeys permettront en effet aux FAI de rejeter tout e-mail qui se révèle, après vérification, ne pas avoir été expédié par PayPal ou par une entreprise régulièrement victime de phishing.

SPF et DomainKeys ne sont pas des technologies nouvelles puisque Yahoo!, Google, Microsoft et AOL y ont recours depuis longtemps. En utilisant DomainKeys en partenariat avec Yahoo!, PayPal déclare avoir bloqué 50 millions d’e-mails à base de phishing depuis octobre.

Le but commun de SPF et de DomainKeys est d’arrêter le phishing, et plus simplement tout spam non désiré, mais les méthodes sont légèrement différentes. La plupart des gens savent parfaitement qu’il est très facile de falsifier l’adresse de l’expéditeur dans un e-mail. SPF empêche justement les spammeurs d’exploiter ce travers pour falsifier les noms de domaine. Néanmoins, tout en autorisant l’administrateur d’un domaine Internet à spécifier quelles machines peuvent envoyer un e-mail depuis un domaine donné, cette technologie n’empêche pas un spammeur qui aurait un compte en bonne et due forme sur ce domaine ou qui serait propriétaire du domaine, d’envoyer un e-mail.

SPF intervient au niveau du protocole SMTP (Simple Mail Transfer Protocol) d’une transaction mail et s’appuie sur trois éléments d’information :

– Le paramètre MAIL FROM: (expéditeur) du message entrant ;
– Le paramètre HELO ou EHLO du serveur SMTP d’expédition ;
– L’adresse IP du serveur SMTP d’expédition.

Le service de nom de domaine DNS, qui est au cœur de la technologie SPF, convertit les noms de domaine saisis dans le navigateur en adresses numériques que comprend l’infrastructure Internet. DNS sert également à diriger les requêtes pour d’autres services, notamment les e-mails. À chaque domaine doit être associé un enregistrement MX (Mail Exchanger) qui oriente l’expéditeur de l’e-mail vers le serveur cible destinataire du message. SPF publie les enregistrements « MX inversés » dans DNS pour indiquer à l’expéditeur de l’e-mail quelles sont les machines habilitées à envoyer des mails depuis ce domaine. Le destinataire quant à lui peut vérifier d’après ces enregistrements que l’e-mail émane effectivement d’un expéditeur “ fiable ” de ce domaine.

Méthode d’authentification des e-mails, DomainKeys ne prévient pas malgré tout les comportements abusifs, même si elle permet de détecter une utilisation malveillante de la messagerie. En fait, DomainKeys offre quasiment une intégrité de bout en bout, depuis la signature d’un e-mail jusqu’à la vérification d’un agent MTA (Mail Transfer Agent). Bien souvent, le MTA signataire agit au nom de l’expéditeur et le MTA de vérification au nom du destinataire.

Contrairement à SPF, DomainKeys intervient sur les données de messagerie transportées, en-tête et corps du message, indépendamment de l’enveloppe SMTP (Simple Mail Transfer Protocol), et ajoute l’en-tête “ DomainKey-Signature ” contenant une signature numérique du contenu du message. Pour procéder à une vérification DNS, le serveur SMTP destinataire reprend le nom du domaine dont provient le courrier, la chaîne _domainkey ainsi qu’un sélecteur présent dans l’en-tête.

Mais les technologies SPF et DomainKeys ont aussi leurs faiblesses. SPF, par exemple, fractionne l’acheminement SMTP dans lequel un agent MTA transfère un e-mail à un nouveau destinataire sans changer l’adresse de l’expéditeur. Pour résoudre ce problème, la technique SRS (Sender Rewriting Scheme) récrit les adresses de l’expéditeur en cas de transfert du message. Par ailleurs, toute modification importante du message en cours d’envoi par un mécanisme d’acheminement du type serveur de liste peut endommager les signatures DomainKey.

Ces technologies sont certes intéressantes mais, pour être performantes à grande échelle, elles doivent être adoptées par de nombreuses parties, en l’occurrence par l’agent MTA des expéditeurs et des destinataires et, parfois, par l’administrateur DNS. Il est évident néanmoins que leur déploiement peut largement améliorer la fiabilité des e-mails et probablement contribuer à limiter le spam qui représente actuellement 70% du volume des messages en circulation.

Mots clés : Phishing, SPF, DomainKeys, Sender Policy Framework, Yahoo, Paypal, Google, Mail, MTA, SMTP