Présentation de DMARC

DMARC, qui signifie « Domain-based Message Authentication, Reporting & Conformance », est un protocole d'authentification de messagerie. Il s'appuie sur les protocoles DKIM et SPF largement déployés et ajoute également une fonction d'établissement de rapports qui permet aux expéditeurs et aux destinataires d'améliorer et de surveiller la protection du domaine contre les e-mails frauduleux, rendant ainsi possible une communication par e-mail sécurisée.

Les spammers falsifient souvent les adresses d'expédition des e-mails, et font croire qu'ils proviennent de votre domaine. Pour prévenir ce type d'abus grâce à votre domaine, et pour indiquer aux autres domaines de destination vos politiques de domaine sortantes, vous pouvez publier un enregistrement DMARC, grâce auquel les services de messagerie qui utilisent les normes de DMARC peuvent gérer les e-mails non authentifiés. Ceci permet également de contrôler les activités de rétrodiffusion des e-mails et de phishing à l'aide de votre domaine et permet de protéger la réputation de votre domaine.

Avant de publier un protocole DMARC

Une politique DMARC permet à un expéditeur d'indiquer que ses e-mails sont protégés par SPF, et/ou DKIM, et indique aux destinataires l'action à entreprendre en cas d'échec des vérifications SPF et DKIM, comme la mise en quarantaine ou le rejet du message. DMARC permet au destinataire de mieux gérer les messages ayant échoué, et, par conséquent, de limiter ou de supprimer l'exposition des destinataires finaux à de tels e-mails frauduleux via le domaine. DMARC fournit également un moyen au destinataire de l'e-mail de signaler à l'expéditeur les e-mails qui ont réussi et/ou échoué l'évaluation DMARC

La politique DMARC sera efficace uniquement si vous envoyez tous les e-mails en utilisant vos propres domaines. Un e-mail envoyé au nom de votre domaine via des services tiers apparaît comme non authentifié et peut être rejeté en fonction de la politique de votre DMARC publiée. Pour autoriser les e-mails envoyés par l'intermédiaire de fournisseurs tiers, vous devez partager la clé DKIM à inclure dans les en-têtes. Autrement, les e-mails doivent être envoyés via les serveurs SMTP qui disposent déjà des clés DKIM autorisées et des enregistrements SPF publiés.

Vous devez configurer les enregistrements SPF et les clés DKIM pour vos domaines avant de publier la politique DMARC. La politique DMARC est basée sur des clés DKIM et SPF, afin d'assurer l'authenticité de l'e-mail. Si un e-mail utilise l'adresse e-mail de vos domaines, et entraîne l'échec du test SPF et/ou du test DKIM, cela déclenchera la politique DMARC.

Publication de la politique DMARC

Pour publier la politique DMARC, vous devez créer un enregistrement TXT dans votre DNS au format suivant.

Nom de l'enregistrement TXT :

_dmarc.yourdomain.com où yourdomain.com doit être remplacé par votre nom de domaine.

Valeur de l'enregistrement TXT :

"v=DMARC1; p=none; rua=mailto:admin@yourdomain.com"

p=none représente la politique de base qui est recommandée. Par la suite, vous pouvez remplacer cette valeur par p=quarantine, puis par p=reject.

Politique DMARC de déploiement progressive

Nous vous recommandons fortement le déploiement d'une politique DMARC progressive. Pour effectuer un déploiement progressif, vous remplacerez la valeur none du paramètre « p » par quarantine, puis finalement par reject. De même, au cours de la Phase 2 (phase de quarantaine) et de la Phase 3 (phase de rejet), vous pouvez utiliser le paramètre facultatif « pct » pour contrôler le pourcentage d'e-mails placés en quarantaine ou rejetés.

Phase 1 : Surveiller les rapports et le trafic

"v=DMARC1; p=none; rua=mailto:admin@yourdomain.com"

Vous pouvez définir la politique sur p=none dans cette phase. Cela vous envoie les rapports de violation à l'adresse e-mail spécifiée dans la politique. Les rapports vous fournissent des informations sur les anomalies contenues dans les e-mails, sur la source des e-mails qui ne sont pas signés ou sur les e-mails qui semblent être frauduleux. Vous pouvez examiner les sources, voire inclure les adresses IP valides dans vos enregistrements SPF ou configurer la source avec DKIM, si elle est légitime. Après avoir trouvé les rapports contenant uniquement les e-mails frauduleux valides, vous pouvez définir l'état de la politique sur Quarantine.

Phase 2 : E-mails en quarantaine et analyse

"v=DMARC1; p=quarantine; rua=mailto:admin@yourdomain.com"

Vous pouvez définir la politique sur p=quarantine dans cette phase. Cela entraîne l'envoi des rapports de la violation à l'adresse e-mail indiquée dans la politique, et l'envoi de ces e-mails en quarantaine. Vous pouvez surveiller les e-mails placés en quarantaine et approuver ou refuser les e-mails en quarantaine. Vous pouvez revoir vos rapports et également contrôler les e-mails mis en quarantaine.

Vous pouvez aussi utiliser le paramètre « pct » dans le modèle d'enregistrement TXT DMARC, afin d'indiquer le pourcentage d'e-mails concernés par la politique dans la phase 2, et d'augmenter progressivement le pourcentage à 100 % pour que le déploiement soit complet. L'aspect important est de s'assurer que vous surveillez les rapports sur les e-mails régulièrement, afin de veiller à ce que les e-mails valides ne soient pas rejetés ou affectés.

"v=DMARC1; p=quarantine; pct=20; rua=mailto:admin@yourdomain.com"

Dans l'exemple ci-dessus, seulement 20 % des e-mails qui semblent frauduleux seront placés en quarantaine. Les autres seront uniquement inclus dans les rapports.

Après avoir modifié l'enregistrement TXT dans l'exemple ci-dessus et supprimé le paramètre pct, tous les e-mails qui ne répondent pas à la politique DMARC seront rejetés.

Si vous avez la certitude que seuls les e-mails frauduleux seront rejetés et que tous les mails valides sont signés, vous pouvez définir la politique sur « Reject » pour déployer complètement DMARC.

Phase 3 : Rejeter les e-mails frauduleux

"v=DMARC1; p=reject; rua=mailto:admin@yourdomain.com"

Vous pouvez définir la politique sur p=reject dans cette phase. Les e-mails frauduleux à l'aide de votre nom de domaine seront rejetés une fois ce changement effectué. Vous pouvez garder une trace des e-mails rejetés via les rapports que vous recevez par e-mail sur l'adresse e-mail fournie dans l'enregistrement TXT.

Vous ne trouvez pas ce que vous recherchez ?

Écrivez-nous à l'adresse suivante : support@zohomail.com