DMARC : Domain-based Message Authentication, Reporting and Conformance

Définition et fonctionnement du DMARC

Définition du DMARC

Le DMARC est une technique de protection contre la fraude par email en utilisant des protocoles d’authentification tels que SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail). Il permet aux propriétaires de domaines de spécifier les actions à prendre pour les emails non conformes à leur politique d’authentification, tels que les emails non signés ou non valides.

De l’anglais « Domain-based Message Authentication, Reporting and Conformance », DMARC est un standard permettant d’éviter l’usurpation de votre domaine pour envoyer des emails. Il va pour cela utiliser les mécanismes DKIM (DomainKeys Identified Mail) et SPF (Sender Policy Framework) et donner des instructions au serveur qui recevra les mails si au moins un des deux protocoles n’est pas respecté. Pour mettre en place la politique DMARC pour votre domaine, vous devrez ajouter une nouvelle entrée TXT dans la zone DNS.

Glossaire Définition DMARC

Qu’est-ce qu’un enregistrement DMARC ?

Un enregistrement DMARC est une entrée dans la zone DNS d’un domaine, contenant des instructions pour les serveurs de messagerie sur la manière de gérer les messages non conformes à la politique de l’expéditeur. Il contient des informations sur les politiques d’authentification SPF et DKIM, ainsi que sur les adresses email de contact pour les rapports DMARC.

Comment mettre en place un DMARC ?

Pour mettre en place DMARC, il faut commencer par créer un enregistrement DMARC dans la zone DNS du domaine. Cet enregistrement spécifie la politique DMARC et les adresses email où les rapports DMARC doivent être envoyés. Ensuite, les propriétaires de domaines doivent configurer les protocoles SPF et DKIM pour signer les emails sortants et pour les authentifier. Enfin, ils doivent surveiller les rapports DMARC pour détecter toute activité suspecte.

Comment lire un rapport DMARC ?

Les rapports DMARC sont envoyés aux adresses email de contact spécifiées dans l’enregistrement DMARC. Ils contiennent des informations sur les emails sortants qui ont échoué à l’authentification SPF et DKIM, ainsi que sur les adresses IP des serveurs qui ont envoyé ces messages. Les propriétaires de domaines peuvent utiliser ces rapports pour identifier les sources potentielles de fraude par email et pour ajuster leurs politiques de sécurité en conséquence. Les rapports DMARC peuvent être lus en utilisant des outils de visualisation spécifiques, tels que les outils d’analyse de rapport DMARC.

Exemples

Il existe plusieurs exemples simples d’utilisation pour des cas concrets. Concrètement il s’agit d’ajouter un champ de type TXT, nommé « _dmarc » directement sous votre domaine (par exemple : « _dmarc.altospam.com. »).
Si vous souhaitez que tous les emails soient bloqués lorsqu’ils ne respectent pas les règles DKIM et SPF, dans ce cas, vous opterez pour la configuration suivante : 

« v=DMARC1; p=reject; »

Maintenant, vous préférez que les emails soient mis en quarantaine chez le destinataire s’ils ne respectent pas les procédures DKIM et SPF. Vous configurerez le DMARC suivant : 

« v=DMARC1; p=quarantine; »

Il est tout à fait possible de n’effectuer aucune action, mais de transmettre un rapport au propriétaire du domaine avec l’exemple suivant : 

« v=DMARC1; p=none; rua=mailto:adresse_email@votre_domaine.fr »

Il existe un grand nombre d’options, voici les principales :

« v=DMARC1; p=quarantine; pct=100; rua=mailto:email@example.org; adkim=s; aspf=r; ri=86400 »

v : Version de Dmarc.

p : Politique à appliquer au domaine (et sous domaine par défaut) lorsqu’un mail ne respecte pas les règles DKIM et SPF. La valeur peut être quarantine|reject|none. Dans l’exemple, les mails qui ne respectent pas les règles DKIM et SPF devront aller en courrier indésirable.

pct : Pourcentage du nombre de mails filtrés.

rua : adresse email vers laquelle est envoyé le rapport global quotidien.

ri : durée en seconde entre l’envoi de 2 rapports.

aspf : indique si le test SPF doit être respecté de façon stricte (s) ou modérée (r).

adkim : indique si le test DKIM doit être respecté de façon stricte (s) ou modérée (r).

Alignement DMARC : DMARC vérifie la correspondance entre le « From: » du message et le « MAIL FROM » utilisé par SPF et/ou le domaine renseigné sur DKIM. Pour bien comprendre la différence entre « From: » et « MAIL FROM », vous pouvez consulter cet article. La synthèse ci-dessous vous permet de comprendre l’alignement DMARC.

Alignement-dmarc

Applications Altospam

Un email qui est conforme au DMARC sera moins facilement considéré comme un spam, ce qui est donc positif pour la délivrabilité de vos emails. Nous recommandons de configurer DMARC aussi bien lors de l’utilisation du service Mailout que du service Mailsafe d’Altospam.

Vous souhaitez renforcer la sécurité de votre organisation ?

La sécurité commence dans vos boîtes mails. Nous offrons une analyse gratuite de votre messagerie pendant 15 jours.

Informations complémentaires