Sécurisation des envois d’emails

Toutefois, si vous avez choisi de faire envoyer les emails à partir d’une adresse de votre fiduciaire (par exemple salaires@fidpay.be) et non l’adresse standard admin@bepay.be alors il est important de sécuriser ces envois via la procédure décrite plus bas : Sécurisation des envois d’emails - Concrètement, comment faire ?

Sécuriser l’envoi des emails : quel est l’enjeu ?

Sécuriser l’envoi d’emails n’est pas chose aisée car tout comme pour un courrier postal qui transite par plusieurs centres de tri, un courrier électronique va transiter par plusieurs serveurs relais avant d’être présenté à la boîte de réception du destinataire. Malheureusement le courrier électronique est aussi très prisé par de nombreux expéditeurs mal intentionnés pour distribuer des courriers indésirables appelés « spams ».

De nombreux outils logiciels intégrés dans les serveurs et dans votre application de courrier électronique visent donc à repérer et éliminer les spams pour qu’ils ne polluent pas les boîtes mails des destinataires.

Pour que nos emails traversent sans encombre tous ces filtres, il est indispensable de prendre une série de précautions qui sont incarnées dans plusieurs normes dont les 3 principales ont pour sigle SPF, DKIM et DMARC.

En 2024, ces trois normes ont été rendues obligatoires par plusieurs grands gestionnaires de mails dont notamment Google et Yahoo. Elles le seront probablement aussi prochainement par d’autres acteurs du courrier électronique.

Quelques principes pour comprendre …

Pour respecter les trois normes SPF, DKIM et DMARC, il s’agit de (faire) ajouter dans la configuration réseau de la fiduciaire quelques instructions appelées « enregistrements DNS » facilitant l’identification légitime des emails reçus.

Pour sécuriser les envois émanant de Bepay sans perturber les autres envois réalisés directement par vos autres adresses emails ainsi que par d’éventuels autres partenaires, nous vous demandons d’ajouter quelques enregistrements DNS dans votre configuration informatique : MX, SPF, DKIM et DMARC.

Expliquons brièvement de quoi il retourne : imaginons qu’un message est envoyé par Bepay au nom de la fiduciaire fictive FIDPAY dont le nom de domaine est fidpay.be. Celle-ci nous a demandé d’utiliser l’adresse d’envoi service.paie@fidpay.be.

• MX : Pour bien identifier les mails émis par Bepay, il faut d’abord créer une identification d’émetteur d’emails via un enregistrement « MX » qui sera dans notre exemple bepaymail.fidpay.be. Tous les courriels que Bepay expédiera seront automatiquement associés à ce domaine.
• SPF est un protocole qui permet de vérifier qu’un mail provient bien d’un serveur qui est dûment autorisé à expédier des mails au nom de l’adresse « expéditeur ». Pour cela l’enregistrement SPF précise les adresses internet (IP) autorisées à émettre des mails au nom du domaine bepaymail.fidpay.be.
• DKIM est un second protocole qui ajoute une signature numérique à l’envoi du mail. Celle-ci permet au moment de la réception du mail, de vérifier que le contenu du mail n’a pas été trafiqué pendant son transit sur Internet et que c’est bien le domaine bepaymail.fidpay.be qui a émis ce mail et non pas un intrus.

De plus DKIM vérifie que l’adresse de l’expéditeur sur le message lui-même et celle de l’enveloppe informatique qui le contient correspondent. C’est un peu la même chose que pour un courrier postal pour lequel il est attendu que les références de votre entreprise correspondent entre l’enveloppe et le papier à entête qu’elle contient.

Pour cela, une clé DKIM est automatiquement ajoutée par le serveur d’expédition de Bepay et votre adresse d’envoi service.paie@fidpay.be doit être préalablement confirmée sur notre serveur d’expédition.

• DMARC est un dernier protocole qui permet d'indiquer aux serveurs de réception l'action à effectuer lorsque des messages semblant provenir de fidpay.be ne passent pas les contrôles SPF ou DKIM. Pour être considéré comme acceptable, un message doit valider au moins l’un des deux critères SPF et DKIM. Cette règle DMARC doit donc être vérifiée tant pour les emails émis par Bepay que pour tous ceux émis directement par votre fiduciaire.

L’enregistrement DMARC précise ce qui doit être fait lorsque les filtres ci-dessus ne sont pas passés avec succès et trois options sont possibles :

1. p=none : accepter quand même le message mais signaler à l’expéditeur légitime qu’un message invalide a été accepté.
2. p=quarantine : le message invalide est envoyé immédiatement dans le dossier spam du destinataire.
3. p=reject : le message est rejeté et ne sera donc jamais vu par le destinataire. Le serveur de réception envoie (en principe !) un message signalant le rejet à Bepay chez qui un dispositif a été mis en place pour vous signaler le rejet du mail.

En pratique, il est prudent de ne choisir l’option rejet QUE lorsque l’on a vérifié, pendant un certain temps, qu’aucun mail attendu n’a été envoyé en spam.

Par ailleurs, la mise en œuvre de ces filtres et les décisions d’écarter un mail dans le spam, voire de le rejeter, restent de l’autorité du logiciel de réception du mail et peuvent être influencés par d’autres facteurs que Bepay ne peut prendre en compte. Il est donc indispensable à la fois de prendre toutes les précautions énumérées ci-dessus MAIS AUSSI de garder à l’esprit qu’il n’existe jamais de garantie absolue qu’un mail sera bien délivré tout comme un envoi postal peut se perdre accidentellement. Inversement, un logiciel de réception ancien ou pas à jour peut malgré tout afficher des emails qui devraient être rejetés en suivant scrupuleusement les règles DMARC.

Concrètement, comment faire ?

Pour maximiser la sécurité et faire envoyer les documents (fiches de paie, invitation à payer le précompte, fiche 281.20 etc.) au nom de votre fiduciaire, Bepay propose un service optionnel consistant à créer, configurer et utiliser une adresse d’expédition dépendant directement de votre domaine. Pour mettre en œuvre cette option, il convient de procéder comme suit :

Créer l’adresse d’expédition

Vous devez d’abord désigner l’adresse email qui deviendra votre adresse d’expédition. N’importe quelle adresse valide de votre fiduciaire peut être utilisée mais il est recommandé de créer une adresse nouvelle de type ALIAS (ou adresse de groupe) qui renvoie vers votre adresse email habituelle ou vers celle(s) d’un ou plusieurs de vos collaborateurs. De cette manière, les courriers expédiés pour vous par Bepay seront clairement identifiables et il sera très facile par la suite de changer si nécessaire la ou les adresse(s) réelle(s) que recouvre cet alias.

Exemple : service.paie@fidpay.be alias de jean@fidpay.be et de marie@fidpay.be .

Notez que, en cas de réponses des destinataires ou de problèmes d’envoi, c’est via cette adresse que vous recevrez les réponses, d’où parfois l’intérêt de mettre les adresses de plusieurs personnes dans le groupe.

Nous vous demandons également de préciser le nom qui devra être utilisé pour l’envoi, par exemple « FidPay » ou « Service-Paies ».

Configuration de votre propre DNS

Dernière étape du processus, il faut ajouter les enregistrements DNS de votre nom de domaine pour respecter les trois protocoles SPF, DKIM et DMARC.

Concrètement, il convient d’ajouter TROIS (voir quatre) nouveaux enregistrements dans le DNS du nom de domaine associé à l’adresse électronique d’envoi que vous avez choisie.

Les deux premiers enregistrements identifient un sous-domaine spécialisé « bepaymail » et l’autorise à émettre des emails avec les types MX et TXT et les valeurs suivantes (remplacez le domaine « fidpay.be » par votre domaine) :

Dans cette dernière instruction, notez bien qu’il faut –all (qui refuse tous les autres émetteurs) et non pas ~all (qui tolère les autres émetteurs).

Ensuite, il faut ajouter un enregistrement qui permettra au serveur de trouver la clé DKIM qui servira pour la signature des emails.

Attention à bien mettre un symbole souligné au début de _domainkey !

Enfin, il faut vérifier que le DNS contient bien un enregistrement DMARC pour définir la politique à suivre pour le traitement des emails émis par votre fiduciaire ou en son nom.

Il faut donc rechercher un enregistrement TXT dont le nom est _dmarc. suivi de votre nom de domaine. S’il n’y en a pas, il convient d’en créer un selon l’exemple ci-dessous :

D’autres paramètres peuvent être ajoutés pour raffiner la politique mais l’exemple ci-dessus donne les éléments essentiels :

• v=DMARC1 indique le protocole à suivre, ici DMARC version 1 ;
• p=quarantine précise l’action à faire en cas de non-conformité (si vous n’êtes pas certain de tous les émetteurs d’emails en votre nom il peut être prudent, dans un premier temps, de se limiter à p=none);
• aspf=r indique que les émetteurs des sous-domaines (comme dans notre exemple bepaymail.fidpay.be) sont admis ;
• adkim=r indique de même que l’alignement des mails avec les sous-domaines sont aussi admis ;

Il est prudent d’ajouter les deux dernières mentions si elles ne figurent pas dans la politique DMARC actuelle.

Contrôle de la configuration