Votre règle DMARC (Domain-based Message Authentication, Reporting and Conformance) est définie dans une ligne de valeurs textuelles appelée enregistrement DMARC. L'enregistrement définit :
- le degré de contrôle des messages par la règle DMARC ;
- les actions recommandées pour le serveur de réception lorsqu'il reçoit des messages qui ne sont pas validés par les contrôles d'authentification.
Options des règles DMARC
Votre règle DMARC recommande au serveur de réception l'action à effectuer lorsqu'un message de votre domaine ne passe pas l'authentification DMARC.
Voici un exemple d'enregistrement de règle DMARC. Les balises v et p doivent être répertoriées en premier. Les autres peuvent être classées dans n'importe quel ordre :
v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com; pct=100; adkim=s; aspf=s
Définitions et valeurs des balises d'enregistrement DMARC
Médaille | Description et valeurs |
v |
Version DMARC : doit être DMARC1 Cette balise est obligatoire. |
p | Indique au serveur de messagerie de réception comment traiter les messages qui n'ont pas été authentifiés.
Cette balise est obligatoire. Remarque sur le BIMI : Si votre domaine utilise la norme BIMI, l'option p DMARC doit être définie surquarantine (quarantaine) ou reject (rejeter). BIMI n'est pas compatible avec les règles DMARC si l'option p est définie sur none (aucun). |
pct |
Indique le pourcentage de messages non authentifiés soumis à la règle DMARC. Lorsque vous déployez progressivement DMARC, vous pouvez commencer par appliquer un petit pourcentage de messages. À mesure que les messages de votre domaine réussissent l'authentification auprès des serveurs de réception, modifiez votre enregistrement en lui appliquant un pourcentage plus élevé, jusqu'à atteindre 100 %. La valeur doit être un nombre entier compris entre 1 et 100. Si vous n'incluez pas cette option dans l'enregistrement, votre règle DMARC est appliquée à 100 % des messages envoyés depuis votre domaine. Cette balise est facultative. Remarque sur le BIMI : Si votre domaine utilise la norme BIMI, la valeur pct de votre règle DMARC doit être 100. BIMI n'est pas compatible avec les règles DMARC si la valeur pct est définie sur moins de 100. |
rua |
Adresse e-mail permettant de recevoir des rapports sur l'activité DMARC de votre domaine. L'adresse e-mail doit inclure mailto: Pour envoyer des rapports DMARC à plusieurs adresses e-mail, séparez ces adresses par des virgules et ajoutez le préfixe mailto: avant chacune d'elles. Exemple : Cette option peut générer un grand nombre de rapports envoyés par e-mail. Nous vous déconseillons d'utiliser votre propre adresse e-mail. Privilégiez l'utilisation d'une boîte aux lettres ou d'un groupe dédié, ou d'un service tiers spécialisé dans les rapports DMARC. Cette balise est facultative. |
ruf |
Non compatible. Gmail n'accepte pas la balise ruf, qui permet d'envoyer des rapports d'échec. Les rapports d'échec sont également appelés "rapports d'analyse". |
sp | Définit la règle correspondant aux messages provenant des sous-domaines de votre domaine principal. Choisissez cette option si vous souhaitez utiliser une autre règle DMARC pour vos sous-domaines.
Si vous n'utilisez pas cette option dans l'enregistrement, les sous-domaines héritent de la règle DMARC définie pour le domaine parent. Cette balise est facultative. |
adkim | Définit la règle d'alignement pour DKIM, qui détermine à quel point les informations des messages doivent correspondre aux signatures DKIM. Découvrez comment fonctionne l'alignement.
Cette balise est facultative. |
aspf | Définit la règle d'alignement pour SPF, qui détermine à quel point les informations des messages doivent correspondre aux signatures SPF. Découvrez comment fonctionne l'alignement.
Cette balise est facultative. |
Lorsque vous commencez à utiliser DMARC, nous vous recommandons d'utiliser une règle dont l'application a une valeur définie sur none. Modifiez vos règles à mesure que vous découvrez comment les messages provenant de votre domaine sont authentifiés par les serveurs de réception. Au fil du temps, définissez la règle de destinataire sur quarantine, puis sur reject. Pour voir un exemple de règle DMARC modifiée pendant un déploiement DMARC, consultez Tutoriel : Déploiement DMARC recommandé.
Règle d'application | Action recommandée | En savoir plus |
none | Aucune action n'est effectuée pour les messages qui ne passent pas les contrôles DMARC effectués par le serveur de réception. Les messages sont distribués normalement au destinataire. |
Nous vous recommandons d'utiliser cette option lorsque vous configurez DMARC pour la première fois. Avec l'option none, les messages de votre domaine sont distribués normalement. Si la règle est définie sur none, consultez régulièrement les rapports DMARC pour savoir comment vos messages sont authentifiés et distribués. Les rapports DMARC qui vous sont envoyés par les serveurs de réception contiennent des informations sur les messages ne pouvant pas être authentifiés via SPF ou DKIM. Si de nombreux messages provenant de votre domaine sont expédiés dans le dossier "Spam", vérifiez la configuration de vos enregistrements SPF et DKIM. Consultez Résoudre les problèmes liés au DMARC pour en savoir plus. Ne remplacez pas l'option d'application des règles en quarantine ou reject tant que vous ne connaissez pas le type des messages qui ne sont pas authentifiés par les serveurs de réception. Remarque sur BIMI : Si votre domaine utilise la norme BIMI, votre règle d'application DMARC (p) doit être définie sur quarantine (quarantaine) ou reject (rejeter). BIMI n'est pas compatible avec les règles DMARC si l'option p est définie sur none (aucun). |
quarantine | Les messages non authentifiés avec DMARC par le serveur de réception sont envoyés dans le dossier "Spam" du destinataire. Si une mise en quarantaine est configurée sur le serveur de réception, les messages peuvent être envoyés en quarantaine et non directement vers le dossier "Spam" du destinataire. | Cette option vous permet de continuer à recevoir les rapports DMARC. |
reject | Les messages qui ne sont pas authentifiés avec DMARC par le serveur de réception sont rejetés, et ne sont jamais distribués au destinataire. Le serveur de réception envoie généralement un message d'erreur automatique à l'expéditeur. |
Nous recommandons le rejet comme option permanente et définitive pour toutes les règles DMARC. Cette option vous permet de continuer à recevoir les rapports DMARC. Définissez votre règle sur cette option lorsque les rapports DMARC indiquent que les messages valides sont authentifiés et distribués normalement. Le rejet des messages non authentifiés permet de protéger les destinataires contre le spam, le spoofing et l'hameçonnage. |
Options d'alignement DMARC
Les contrôles DMARC laissent passer ou rejettent un message en fonction du degré de correspondance entre son en-tête "De" et le domaine d'envoi spécifié par SPF ou DKIM. C'est ce qu'on appelle l'alignement.
Vous avez le choix entre deux modes d'alignement : strict et souple. Définissez le mode d'alignement pour SPF et DKIM dans l'enregistrement DMARC. Les tags d'enregistrement DMARC aspf et adkim définissent le mode d'alignement.
Nous vous recommandons d'opter pour un alignement strict afin de renforcer la protection contre le spoofing dans les cas suivants :
- Des messages envoyés à votre domaine proviennent d'un sous-domaine que vous ne contrôlez pas.
- Certains de vos sous-domaines sont gérés par une autre entité.
Pour passer les contrôles DMARC, un message doit passer au moins l'un des contrôles suivants :
- Authentification SPF et alignement SPF
- Authentification et alignement DKIM
Un message n'est pas validé par le contrôle DMARC s'il échoue aux deux contrôles suivants :
- SPF, ou alignement SPF
- DKIM, ou alignement DKIM
Différence entre les adresses de l'expéditeur de l'enveloppe et les adresses "De"
Les e-mails présentent deux types d'adresses indiquant l'expéditeur. Il est important de comprendre la différence entre ces adresses lors de la configuration de SPF, DKIM et DMARC.
L'adresse de l'expéditeur de l'enveloppe et l'adresse "De" d'un message peuvent être différentes ou identiques.
Adresse de l'expéditeur de l'enveloppe : adresse e-mail indiquant la provenance du message. Les rejets de messages, ou avis de non-distribution, sont envoyés à cette adresse. L'adresse de l'expéditeur de l'enveloppe peut également être appelée adresse "Return-Path", ou adresse de renvoi. Les destinataires du message ne voient pas l'adresse de l'expéditeur de l'enveloppe.
SPF se sert généralement de cette adresse pour l'authentification.
Adresse "De" : adresse e-mail figurant dans l'en-tête du message. Les messages comportent deux parties : l'en-tête et le corps du message. L'en-tête contient des informations sur le message comme le nom de l'expéditeur et son adresse e-mail, l'objet du message et la date d'envoi. L'en-tête "De" inclut l'adresse e-mail, et généralement le nom de la personne qui a envoyé le message.
DKIM se sert de l'adresse "De" pour l'authentification.
Exemple d'alignement SPF
Avec SPF, l'alignement compare le domaine authentifié via SPF (correspondant généralement à l'adresse de l'expéditeur de l'enveloppe) au domaine indiqué dans l'en-tête De du message. Voici quelques exemples d'alignements accompagnés de leurs résultats aux contrôles SPF.
Adresse de l'expéditeur de l'enveloppe | Adresse de l'en-tête "De" | Alignement strict | Alignement souple |
jon@solarmora.com |
jon@solarmora.com |
Réussite | Réussite |
jon@mail.solarmora.com |
jon@solarmora.com |
Échec | Réussite |
jon@solarmora.org |
jon@solarmora.com |
Échec | Échec |
Exemple d'alignement DKIM
Avec DKIM, l'alignement compare la valeur du champ du domaine spécifié dans la signature DKIM (tag d=) de l'en-tête du message au domaine indiqué dans l'en-tête "De" du message.
Voici quelques exemples d'alignements accompagnés de leurs résultats aux contrôles DKIM :
En-tête "De" | Domaine du tag "d=" DKIM | Alignement strict | Alignement souple |
jon@solarmora.com |
solarmora.com |
Réussite | Réussite |
jon@mail.solarmora.com |
solarmora.com |
Échec | Réussite |
jon@solarmora.org |
solarmora.com |
Échec | Échec |
Options des rapports DMARC
Vous pouvez configurer DMARC pour demander des rapports réguliers aux serveurs de messagerie qui reçoivent des e-mails provenant de votre domaine.
Les rapports DMARC vous indiquent les informations suivantes :
- Les serveurs ou expéditeurs tiers qui envoient des e-mails pour votre domaine
- Le pourcentage de messages provenant de votre domaine qui passent le contrôle DMARC
- Les serveurs ou services qui envoient des messages échouant aux contrôles DMARC
- Les actions DMARC effectuées par le serveur de réception pour les messages non authentifiés provenant de votre domaine (none, quarantine ou reject)
Le tag rua de votre enregistrement DMARC vous permet de commencer à obtenir des rapports DMARC.
En savoir plus sur les rapports DMARC