Authentification des emails : conséquences des nouvelles exigences de Google pour votre entreprise

Todd Stansfield

—

04 janvier 2024

—

3 min de lecture

What Google’s New Requirements Mean For Your Business

Les protocoles d’authentification des emails jouent un rôle majeur dans la lutte contre les menaces. Ces mesures de sécurité évitent en effet l’usurpation de l’adresse email, une des briques de base du phishing et du spear phishing. Pourtant elles sont loin d’être déployées de manière systématique. D’après certaines estimations, moins de 2 entreprises sur 10 utilisent DMARC, une norme essentielle pour éviter l’usurpation de l’identité des expéditeurs.

Cette situation pourrait bientôt changer. Google et Yahoo ont annoncé de nouvelles exigences en matière d’authentification des emails qui entretront en vigueur en février 2024. Ainsi, les entreprises devront respecter de nouvelles règles pour garantir la remise des emails depuis et vers ces plateformes.

Dans cet article, nous allons étudier les nouvelles exigences de Google et ce qu’elles signifient pour votre entreprise.

Nouvelles exigences de Google pour les expéditeurs

En octobre 2023, Google et Yahoo ont annoncé ensemble le déploiement prochain de nouvelles normes d’authentification des emails. Parmi ces protocoles, nous pouvons citer Sender Policy Framework (SPF), Domain-Keys Identified Mail (DKIM) et Domain-based Message Reporting and Conformance (DMARC).

SPF empêche les expéditeurs non autorisés d’envoyer des emails au nom d’un domaine en permettant aux administrateurs de dresser une liste des expéditeurs légitimes.
DKIM crée une signature numérique liée au domaine qui détermine si le nom de domaine a été modifié (usurpé ou falsifié) pour chaque message sortant.
DMARC permet aux propriétaires de domaines de valider leurs domaines en publiant une politique DMARC dans un enregistrement DNS (Domain Name System). La politique DMARC définit les actions devant être réalisées lorsqu’un email ne passe pas l’authentification SPF ou DKIM.

Les nouvelles exigences de Google et Yahoo dépendent de l’utilisation que votre entreprise fait des emails, qui de divise en deux grandes catégories.

Tous les expéditeurs

Quel que soit le nombre d’emails que votre entreprise envoie, Google vous impose de respecter les mesures suivantes. Toutes ont pour but de renforcer la sécurité de l’email en limitant les messages malveillants et le spam.
1. Configurez SPF ou DKIM pour votre domaine. SPF et DKIM ne sont pas imparables, mais ils contribuent à limiter l’usurpation de l’adresse email et à réduire le risque de compromission.
2. Veillez à ce que vos adresses IP ou domaines d’envoi disposent d’enregistrements DNS classiques et inverses valides. Il est ainsi possible de s’assurer que le nom d'hôte du serveur d’envoi correspond à l’adresse IP d’envoi.
3. Utilisez une connexion chiffrée avec TLS (Transport Layer Security) pour transmettre les emails. TLS chiffre les emails pour en renforcer la confidentialité et la sécurité, et ne fonctionne que lorsque l’expéditeur et le destinataire utilisent ce protocole. Google Workspace vous permet d’activer et de configurer TLS.
4. Limitez le spam. Veillez à ce que votre taux de spam signalé dans Postmaster Tools de Google reste sous les 0,1 % et n’atteigne jamais 0,3 %. Ce dernier taux est considéré comme un taux élevé par Google. Pour éviter que leurs messages ne soient considérés comme du spam, Google recommande aux expéditeurs de vérifier régulièrement les rapports de spam disponibles dans Postmaster Tools.
5. Suivez la norme Internet Message Format Standard pour la mise en forme de vos messages. Cette norme définit le format de base des emails.
6. Évitez d’usurper les en-têtes De: de Gmail. Google déploie une nouvelle politique DMARC qui entraîne la mise en quarantaine ou le blocage de la remise des emails usurpant les en-têtes De: de Gmail.
7. Utilisez les en-têtes ARC dans les emails sortants si vous transférez régulièrement des emails. Google recommande à certains expéditeurs transférant régulièrement des emails, comme les services de transfert ou de liste de diffusion, d’ajouter les en-têtes Authenticated Received Chain (ARC) à leurs messages. Ces en-têtes permettent de conserver l’authentification SPF et DKIM lorsque les emails passent par plusieurs intermédiaires. Pour les expéditeurs de listes de diffusion, Google recommande d’ajouter un en-tête List-id: aux messages sortant afin d’identifier clairement la liste de diffusion.

Expéditeurs de gros volumes (plus de 5 000 messages/jour)

Si votre entreprise envoie plus de 5 000 messages par jour, vous devez respecter des obligations supplémentaires.

Configurez SPF, DKIM et DMARC. Google vous impose d’adopter ces trois protocoles et d’activer l’alignement DMARC pour les emails directs. Cela signifie que l’en-tête De: de l’expéditeur doit correspondre au domaine SPF ou DKIM. Google impose certes l’adoption de DMARC, mais Gmail vous permet de régler votre politique d’application sur « aucune ». Autrement dit, DMARC ne déclenchera aucune action, même si des messages échouent aux vérifications SPF ou DKIM.
Autorisez les destinataires à se désabonner en un clic. Pour réduire le nombre de spams, les emails marketing doivent inclure un email permettant de se désabonner des emails futurs. Ce lien doit être clairement visible et permettre un désabonnement en un clic.

Conséquences de ces nouvelles obligations

Comme le suggèrent ces évolutions, Google et Yahoo ont bien conscience de l’importance de l’authentification des emails et de la prévalence toujours plus forte des menaces. Ces efforts s’inscrivent dans la droite ligne des recommandations historiques du NIST, de l’ANSSI et d’autres organismes de cybersécurité de premier plan.

L’email constitue certes un risque important pour votre entreprise, mais il s’agit aussi d’un élément clé de la continuité de votre activité. Pour le protéger, vous devez comprendre les modifications importantes annoncées par Gmail et Yahoo.

Pour rester informé des tendances et menaces en lien avec la sécurité de l’email, inscrivez-vous à notre newsletter.