Notification

Duet AI s'appelle désormais Gemini pour Google Workspace. En savoir plus

Tutoriel : Déploiement DMARC recommandé

Protéger contre le spoofing et l'hameçonnage, et éviter que des messages soient marqués comme spam

L'authentification DMARC (Domain-based Message Authentication, Reporting and Conformance) est conçue pour être déployée progressivement. Commencez par une règle none qui surveille uniquement le flux de messagerie, puis remplacez-la à terme par une règle qui rejette tous les messages non authentifiés.

Une règle none vous permet de commencer à recevoir des rapports sans risquer le rejet de vos messages ou leur expédition dans le dossier "Spam" par les serveurs de réception. Vous pouvez également configurer votre règle DMARC pour qu'elle ne s'applique qu'à un pourcentage des messages envoyés par votre organisation. Ces deux fonctionnalités vous permettent de déployer DMARC progressivement, tout en contrôlant votre flux de messages.

Important : Configurez DKIM (DomainKeys Identified Mail) et SPF (Sender Policy Framework) avant de configurer DMARC. DKIM et SPF doivent authentifier les messages pendant au moins 48 heures avant l'activation de DMARC. Pour obtenir des instructions détaillées sur la configuration des enregistrements SPF et DKIM, consultez Empêcher le spoofing, l'hameçonnage et le spam.

1. Commencer par utiliser une règle DMARC simplifiée

Commencez avec un enregistrement DMARC défini sur none et une adresse e-mail configurée pour recevoir les rapports DMARC quotidiens. Ainsi, vous pouvez commencer à recevoir des rapports sans risquer que vos messages soient rejetés ou marqués comme spam par les serveurs de réception. Nous vous recommandons d'utiliser cet enregistrement pendant au moins une semaine. Ce délai est généralement assez long pour que les rapports quotidiens contiennent des données représentatives de tous vos flux de messagerie.

Examinez vos rapports DMARC quotidiens pour vérifier que les messages de votre domaine sont envoyés par des serveurs autorisés connus et qu'ils passent les contrôles d'authentification.

Nous vous recommandons de commencer par une règle DMARC qui ne soit pas trop restrictive ou qui ne s'applique qu'à un faible pourcentage du trafic de messagerie, par exemple :

  1. Connectez-vous à l'hébergeur de votre domaine pour mettre à jour l'enregistrement TXT DNS du fournisseur de votre domaine.
  2. Saisissez une règle qui s'applique à 100 % des messages, mais qui est définie sur none:

    v=DMARC1; p=none; rua=mailto:dmarc@solarmora.com

La règle est appliquée à 100 % de tous les messages reçus par les serveurs de messagerie. Cependant, l'application forcée est définie sur none : les messages sont distribués normalement, même s'ils ne passent pas les contrôles d'authentification DMARC. Chaque serveur de messagerie qui reçoit des messages de votre domaine envoie des rapports quotidiens à dmarc@solarmora.com.

2. Analyser les rapports DMARC

Analysez tous les jours les rapports que vous recevez pour déterminer :

  • les serveurs ou expéditeurs tiers qui envoient des e-mails pour votre domaine ;
  • le pourcentage de messages provenant de votre domaine qui passent les contrôles d'authentification DMARC ;
  • les serveurs ou services qui envoient des messages échouant aux contrôles d'authentification DMARC.

Recherchez d'éventuelles tendances dans les problèmes rencontrés, telles que les suivantes :

  • Des destinataires reçoivent vos messages valides, mais ils se trouvent dans le dossier de spam.
  • Vous recevez des messages d'erreur ou de renvoi en provenance de certains destinataires.

Pour résoudre les problèmes liés aux messages de votre domaine rejetés ou expédiés dans le dossier "Spam", consultez Résoudre les problèmes liés à DMARC.

Pour continuer à recevoir ces rapports quotidiens, vérifiez que l'enregistrement mis à jour inclut toujours la balise rua avec votre adresse e-mail ou celle de votre boîte aux lettres. Nous vous conseillons de rester dans cette phase pendant au moins sept jours avant de passer à la phase suivante. La durée de cette phase varie en fonction de la taille de votre organisation et de votre flux de messagerie.

Pour en savoir plus, consultez Rapports DMARC.

3. Placer un faible pourcentage de messages en quarantaine

Après avoir surveillé les rapports DMARC pendant au moins une semaine sans aucun résultat négatif, définissez votre règle sur quarantine et ajoutez-y la balise pct pour l'appliquer à un faible pourcentage de vos messages. Exemple :

  1. Connectez-vous à l'hébergeur de votre domaine pour mettre à jour l'enregistrement TXT DNS du fournisseur de votre domaine.
  2. Ajoutez une règle qui s'applique à 5 % des messages et qui est définie sur quarantine. Les messages appartenant à ces 5 % qui ne passent pas les contrôles d'authentification DMARC sont envoyés dans le dossier "Spam" des destinataires :

    v=DMARC1; p=quarantine; pct=5; rua=mailto:dmarc@solarmora.com

La règle n'est appliquée qu'à 5 % des messages reçus par les serveurs de messagerie. Les messages qui ne passent pas les contrôles d'authentification DMARC arrivent dans le dossier "Spam" des destinataires : Seul un faible pourcentage de messages est concerné, et les destinataires peuvent examiner les messages qui sont placés dans le dossier "Spam". Chaque serveur de messagerie qui reçoit les messages de votre domaine envoie des rapports quotidiens à dmarc@solarmora.com.

Les organisations de petite taille peuvent connaître parfaitement l'ensemble des flux de messagerie et appliquer la règle à un pourcentage plus important de messages que les grandes organisations. Les grandes organisations possèdent souvent plusieurs flux de messagerie pouvant inclure d'anciens serveurs et des expéditeurs tiers.

Nous recommandons donc aux grandes organisations d'augmenter progressivement le pourcentage de messages concernés, afin de réduire le risque qu'un grand nombre d'entre eux soient rejetés ou marqués comme spam. Une organisation de petite taille peut commencer par appliquer la mise en quarantaine à 10 % des messages, tandis qu'une grande entreprise peut commencer par 1 %.

4. Refuser tous les messages non authentifiés

Il s'agit de la dernière étape du déploiement de DMARC. Lorsque vous êtes certain que la plupart ou la totalité des messages envoyés depuis votre domaine sont alignés et passent les contrôles d'authentification (SPF et DKIM), vous pouvez appliquer une règle DMARC plus stricte.

Si DMARC fonctionne comme prévu, mettez à jour votre règle afin que la règle d'enregistrement DMARC soit définie sur reject pour 100 % des messages envoyés par votre organisation. Exemple :

  1. Connectez-vous à l'hébergeur de votre domaine pour mettre à jour l'enregistrement TXT DNS du fournisseur de votre domaine.
  2. Définissez un enregistrement plus strict. Exemple :

    v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com,dmarc@solarmora.com

La règle s'applique à tous les messages reçus par les serveurs de messagerie. Si l'enregistrement n'inclut pas la balise pct, la règle s'applique à 100 % des messages envoyés depuis votre domaine. Tous les messages ayant échoué aux contrôles d'authentification DMARC sont rejetés. L'expéditeur peut recevoir un message d'erreur automatique pour chaque message refusé. Chaque serveur de messagerie qui reçoit des messages de votre domaine envoie des rapports quotidiens à deux adresses e-mail : postmaster@solarmora.com et dmarc@solarmora.com.

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?

Vous avez encore besoin d'aide ?

Essayez les solutions ci-dessous :

Publier dans la communauté d'aide Obtenez des réponses de membres de la communauté
Contactez-nous Donnez-nous plus de détails pour que nous puissions vous aider
true
Démarrez dès aujourd'hui votre essai gratuit de 14 jours.

Messagerie professionnelle, stockage en ligne, agendas partagés, visioconférences et bien plus. Démarrez dès aujourd'hui votre essai gratuit de G Suite.

Recherche
Effacer la recherche
Fermer le champ de recherche
Menu principal
7218530279074048792
true
Rechercher dans le centre d'aide
true
true
true
true
true
73010
false
false