Sécurité des e-mails : comment les cadres de base aident les propriétaires de sites WordPress

À travers les nations et les industries, une technologie partage d'innombrables secrets depuis plus de deux décennies. Oui, malgré l'essor des médias sociaux, des applications de messagerie et des outils de gestion de projet, le courrier électronique reste de facto le canal de communication en ligne numéro un, mais c'est aussi une source de préoccupation en matière de sécurité.

Lorsque vous tenez compte de l'âge de la technologie et de l'incitation des pirates à tenter de frauder, il est facile de comprendre pourquoi cela continue de déranger les entreprises et les particuliers. C'est en fait plus préoccupant que jamais, car l'avènement de l'authentification multifacteur, du stockage en nuage, des écosystèmes numériques et des connexions sociales a laissé beaucoup d'entre nous compter sur la sécurité de nos adresses e-mail simplement pour passer la journée.

Malheureusement, il ne suffit pas d'avoir un mot de passe complexe et de le protéger, car les e-mails peuvent être attaqués d'autres manières : usurpés, falsifiés et utilisés pour manipuler des personnes de toutes sortes. C'est là que les cadres de sécurité des e-mails deviennent d'une importance vitale - ils facilitent grandement la confiance dans la légitimité de vos e-mails.

Mais pourquoi la fraude est-elle une telle menace ? Quels sont ces frameworks et comment aident-ils les propriétaires de sites Web à procéder en toute sécurité ? Pouvez-vous vraiment compter sur eux pour vous protéger ? Nous allons jeter un coup d'oeil.

Pourquoi la fraude par e-mail est un problème si troublant

Nous nous dirigeons de plus en plus vers le paiement sans numéraire, la banque en ligne et le travail à distance qui nécessitent des communications numériques étendues et approfondies (souvent sur des sujets sensibles). Plus nous faisons confiance aux e-mails, plus ils deviennent attrayants pour les pirates, d'autant plus lorsque les e-mails impliquent des personnes qui ne connaissent pas suffisamment la technologie pour savoir quand elles se font arnaquer.

Si quelqu'un qui sait juste comment utiliser le courrier électronique mais qui n'a aucune idée que l'usurpation d'adresse électronique est même possible reçoit un courrier électronique frauduleux, il ne saura pas qu'il doute. Et le rendement pour les fraudeurs est encore plus riche en perspectives qu'ils n'auraient jamais pu obtenir grâce aux escroqueries téléphoniques, car ils peuvent automatiser leurs e-mails frauduleux et éviter les conversations téléphoniques prolongées qui peuvent révéler des trous dans leurs articles de couverture.

Pour les domaines légitimes, la fraude par e-mail est un gros souci car elle les fait mal paraître. Même si les gens finissent par apprendre que vous n'êtes pas responsable, ils associeront toujours votre marque à la fraude dans une certaine mesure. Donc, si vous voulez que votre domaine soit digne de confiance (et que les gens soient à l'abri des tentatives d'exploitation en votre nom), vous devrez sécuriser vos e-mails. Voici comment:

Présentation des cadres de sécurité de messagerie les plus courants

Les deux frameworks de messagerie les plus fréquemment utilisés sont SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail), et ils fonctionnent de manière similaire mais de manière légèrement différente : SPF nécessite un nom d'hôte ou une adresse IP pris en charge, tandis que DKIM nécessite un message d'en-tête. Regardons une explication plus détaillée:

Comment fonctionne le FPS

Lorsque vous activez le SPF sur le domaine de votre site Web, vous établissez une liste de noms d'hôtes et d'adresses IP qui sont considérés comme des sources légitimes d'e-mails de ce domaine, une liste qui est ajoutée à l'enregistrement DNS du site (l'enregistrement qui relie votre URL à votre adresse IP).

Chaque système de messagerie qui semble recevoir un e-mail d'une adresse sur ce domaine prendra l'adresse IP utilisée pour l'envoyer et la comparera à la liste dans l'enregistrement DNS. S'il s'agit d'une correspondance, l'e-mail sera considéré comme légitime - s'il ne s'agit pas d'une correspondance, le système saura que l'e-mail est frauduleux (ou s'est horriblement mal passé d'une manière ou d'une autre).

Comment fonctionne DKIM

Lorsque vous activez DKIM, l'approche distincte consiste à utiliser le chiffrement pour la vérification. Le domaine aura une clé privée qui est gardée secrète et utilisée pour chiffrer un message caché dans l'en-tête de chaque e-mail, ainsi qu'une clé de déchiffrement publique qui est ajoutée à l'enregistrement DNS.

Chaque système de messagerie qui récupère un e-mail prétendument de ce domaine prendra la clé publique de l'enregistrement DNS et essaiera de déchiffrer le message caché. S'il réussit, il saura que l'e-mail provient du bon endroit. S'il échoue, il saura que l'expéditeur a été usurpé.

Ce que DMARC implique

DMARC, qui signifie "Domain-based Message Authentication, Reporting and Conformance", est un système qui englobe SPF et DKIM tout en étoffant certaines options, en définissant des politiques et en créant des rapports selon les besoins.

Lorsque vous configurez DMARC, vous spécifiez essentiellement laquelle des méthodes susmentionnées est utilisée pour les e-mails de votre domaine (éventuellement les deux), ainsi que ce qui doit être fait lorsque des e-mails qui ne répondent pas à la norme choisie sont détectés. Vous pouvez également configurer une notification à déclencher afin d'être informé des tentatives d'usurpation d'identité de votre adresse e-mail (de la même manière que vous pouvez recevoir des notifications pour les modifications apportées à un site WordPress).

Comment agir pour protéger votre messagerie

Si vous voulez que vos e-mails soient dignes de confiance et que les destinataires se sentent en sécurité pour y accéder, vous devez vous assurer de faire tout votre possible pour vous protéger contre la fraude. Au minimum, suivez les trois étapes suivantes :

• Protégez soigneusement votre liste de diffusion. Même si vous vous assurez que chaque e-mail prétendant provenir de votre domaine sera vérifié, il est toujours dangereux pour les fraudeurs de s'emparer de votre liste d'adresses, car de nombreuses personnes (souvent des générations plus âgées) ne vérifieront pas l'expéditeur de très près si le contenu ressemble clairement à quelque chose qu'ils reconnaissent. Protégez votre liste de diffusion afin que les gens aient moins de raisons de cibler votre public (vous devriez de toute façon le faire après le RGPD).
• Configurez un cadre de sécurité. Vous pouvez utiliser SPF, DKIM ou DMARC - mais quoi que vous fassiez, assurez-vous de suivre les meilleures pratiques pour le système que vous utilisez et confirmez qu'il fonctionne. Si vous utilisez un logiciel d'automatisation des e-mails pour votre marketing, assurez-vous de le configurer en tant que source fiable afin que les e-mails qu'il distribue ne soient pas rejetés comme illégitimes lors de la livraison.
• Avertissez vos abonnés d'être prudents. Après avoir fait tout ce que vous pouviez de votre côté de l'équation, cela vaut toujours la peine de tendre la main à votre public (surtout s'il n'est pas très féru de technologie) pour l'avertir de la perspective d'une fraude. Faites-leur savoir quels types de messages vous leur enverrez - et lesquels vous n'enverrez jamais - et invitez-les à vous contacter directement s'ils ne sont jamais sûrs d'un message que vous leur avez soi-disant envoyé.

Faites tout cela, et vous serez en mesure de procéder avec un degré de certitude nettement amélioré que vos e-mails seront en sécurité et que votre public sera à l'abri de l'énorme menace de fraude par e-mail.