DMARC

Activer DMARC

Gérer les e-mails suspects à l'aide de DMARC

Activez l'authentification DMARC (Domain-based Message Authentication, Reporting, and Conformance) en ajoutant une règle DMARC aux enregistrements DNS de votre domaine. Cette règle se présente sous la forme d'un enregistrement TXT DNS et définit la manière dont votre domaine traite les e-mails suspects.

Une règle DMARC permet de gérer les e-mails suspects de trois manières différentes :

  • N'effectuer aucune action concernant le message et l'enregistrer dans le rapport quotidien.
  • Marquer le message comme spam. Gmail place ces messages dans le dossier "Spam" du destinataire.
  • Indiquer au serveur de réception de rejeter le message. L'expéditeur reçoit alors un message automatique d'erreur SMTP.

Exemples de règles DMARC

Voici quelques exemples de règles. 

Important : Le domaine utilisé ici est un exemple. Remplacez solarmora.com par votre propre domaine.

Les valeurs de ces exemples sont définies dans la section Valeurs des enregistrements TXT DMARC.

Mesures à prendre en cas d'échec des contrôles DMARC Contenu de l'enregistrement TXT
N'effectuez aucune action sur les messages non validés par les contrôles DMARC. Envoyez un rapport quotidien par e-mail à l'adresse dmarc@solarmora.com. v=DMARC1; p=none; rua=mailto:dmarc@solarmora.com

Placez 5 % des messages non validés par les contrôles DMARC dans les dossiers "Spam" des destinataires. Envoyez un rapport quotidien par e-mail à l'adresse dmarc@solarmora.com.

v=DMARC1; p=quarantine; pct=5; rua=mailto:dmarc@solarmora.com

Refusez 100 % des messages non validés par les contrôles DMARC. Envoyez un rapport quotidien par e-mail aux adresses suivantes : postmaster@solarmora.com et dmarc@solarmora.com. 

Les messages non validés entraînent l'envoi d'un message automatique d'erreur SMTP à l'expéditeur.

v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com

Ajouter un enregistrement TXT pour activer DMARC

Pour activer DMARC, mettez à jour les paramètres de votre domaine avec un enregistrement TXT DNS.

À propos des enregistrements TXT

Un enregistrement TXT est un enregistrement DNS qui fournit des informations sous forme textuelle à des sources externes à votre domaine. Ajoutez des enregistrements aux paramètres de votre domaine par le biais de l'hébergeur de votre domaine, et non de la console d'administration Google.

Reportez-vous à la section Conseils pour mettre à jour les enregistrements TXT DNS pour découvrir comment utiliser des enregistrements TXT.

Ajouter un enregistrement TXT DMARC

Pour ajouter un enregistrement TXT DMARC pour votre domaine, procédez comme suit :

Important :

  • Le domaine utilisé ici est un exemple. Remplacez solarmora.com par votre propre domaine. 
  • Remplacez les exemples de valeurs par les valeurs de votre règle DMARC.
  1. Connectez-vous à la console de gestion de votre fournisseur de domaine.
  2. Accédez à la page permettant de mettre à jour les enregistrements DNS.

    Sous-domaines  : si votre hébergeur de domaine ne permet pas de mettre à jour les enregistrements DNS de sous-domaines, ajoutez l'enregistrement au domaine parent. Découvrez comment mettre à jour les enregistrements DNS d'un sous-domaine.

  3. Ajoutez un enregistrement DNS à _dmarc.

    Nom de l'enregistrement TXT : dans le premier champ, sous "Nom d'hôte DNS", saisissez :
    _dmarc.solarmora.com

    Valeur de l'enregistrement TXT : dans le deuxième champ, saisissez les valeurs qui définissent votre règle DMARC. Par exemple :
    v=DMARC1; rua=mailto:dmarc-reports@solarmora.com; p=quarantine; pct=90; sp=none
     

  4. Enregistrez les modifications.

Valeurs des enregistrements TXT DMARC

Remarque : Gmail ne permet pas l'utilisation de la balise DMARC ruf servant à envoyer des rapports d'échec (analyse).

Nom de la balise Obligatoire Description et valeurs

v

Obligatoire Version du protocole. Doit être DMARC1.

p

Obligatoire

Définit la manière dont votre domaine traite les messages suspects :

  • none : n'effectuer aucune action sur le message. Consigner les messages suspects dans le rapport quotidien.
  • quarantine : marquer les messages comme spam et les placer dans le dossier "Spam" de Gmail du destinataire. Les destinataires peuvent examiner leurs spams à l'aide de Gmail.
  • reject : indiquer aux serveurs de réception de rejeter le message. Dans ce cas, le serveur de réception envoie un message d'erreur automatique au serveur d'envoi.

pct

Facultatif

Définit le pourcentage de messages suspects auxquels la règle DMARC s'applique. Les messages suspects sont des messages non validés par les contrôles DMARC.

La valeur doit être un nombre entier compris entre 1 et 100. La valeur par défaut est 100

rua

Facultatif

Adresse e-mail permettant de recevoir des rapports sur l'activité DMARC de votre domaine. Utilisez votre propre adresse e-mail ou créez une adresse e-mail pour recevoir des rapports.

L'adresse e-mail doit inclure mailto:. Par exemple : mailto:dmarc-reports@solarmora.com

Pour envoyer le rapport à plusieurs adresses e-mail, séparez les adresses par une virgule.

sp

Facultatif

Définit la règle relative aux messages des sous-domaines de votre domaine principal. Optez pour cette option si vous souhaitez utiliser une autre règle DMARC pour vos sous-domaines.

  • none : n'effectuer aucune action sur le message. Consigner les messages suspects dans le rapport quotidien.
  • quarantine : marquer les messages comme spam et les préserver à titre conservatoire pour un traitement ultérieur.
  • reject : demander aux serveurs de réception de rejeter le message.
adkim Facultatif

Définit le mode d'alignement pour DKIM afin de déterminer la correspondance exacte requise entre les informations du message et les signatures DKIM.

  • s : "strict". Le nom de domaine de l'expéditeur doit correspondre exactement au d=name associé dans les en-têtes de message DKIM.
  • r : "relaxed" (par défaut). Autorise les correspondances partielles. Tout sous-domaine valide de d=domain dans les en-têtes DKIM est accepté.

aspf

Facultatif

Définit le mode d'alignement pour SPF (ASPF) afin de déterminer la correspondance exacte requise entre les informations du message et les signatures SPF.

  • s : "strict". L'en-tête from: du message doit correspondre exactement au domaine domain.name de la commande SMTP "MAIL FROM".
  • r : "relaxed" (par défaut). Autorise les correspondances partielles. Tout sous-domaine valide de domain.name est accepté.

Déployer DMARC progressivement

Utilisez les options "policy" (p) et "percent" (pct) pour déployer progressivement DMARC dans Gmail.

Utilisez l'option "policy" (p). Définissez et modifiez l'option de règle à l'aide de la valeur de balise "p" dans l'enregistrement TXT. Commencez par une règle de mise en quarantaine pour inspecter les messages suspects. Modifiez ensuite progressivement les règles en fonction des messages mis en quarantaine et des rapports quotidiens.

  1. p=none : surveiller le trafic des e-mails et rechercher les problèmes dans les rapports quotidiens, sans bloquer aucun message. Surveiller les messages dans lesquels l'identité de l'expéditeur a été usurpée ainsi que les messages non signés avec DKIM ou SPF.
  2. p=quarantine : si vous êtes habitué aux formats d'e-mails affichés dans les rapports quotidiens, modifiez la règle sur "quarantine". Continuer d'analyser les rapports quotidiens et d'afficher les messages en attente (mis en quarantaine) comme spam.
  3. p=reject : lorsque vous êtes certain que tous les messages de votre domaine sont signés, modifiez la règle "reject" pour commencer à filtrer les spams. Poursuivre l'analyse des rapports quotidiens pour vérifier que vous filtrez les spams et envoyez des e-mails valides aux destinataires.

Utilisez l'option "percent" (pct). L'option "percent" définit le pourcentage de messages suspects auxquels la règle DMARC est appliquée. Les messages suspects sont des messages non validés par les contrôles DMARC. La valeur par défaut est 100 % (tous les messages suspects). Définissez l'option "percent" de façon à filtrer un nombre limité de messages au début, puis augmenter le pourcentage au fil des jours à mesure que vous affinez la règle DMARC. Par exemple, définissez l'option "percent" sur "20" pour filtrer 20 % des messages rejetés ou mis en quarantaine. La semaine suivante, faites passer la valeur de "20" à "50" pour filtrer 50 % des messages.

Exemple de déploiement : voici un exemple d'utilisation des options "p" et "pct" pour déployer progressivement une règle DMARC. Mettez à jour votre règle DMARC au fil du temps avec les valeurs suivantes :

  1. p=none pct=100
  2. p=quarantine pct=1
  3. p=quarantine pct=5
  4. p=quarantine pct=10
  5. p=quarantine pct=25
  6. p=quarantine pct=50
  7. p=quarantine pct=100
  8. p=reject pct=1
  9. p=reject pct=5
  10. p=reject pct=10
  11. p=reject pct=25
  12. p=reject pct=50
  13. p=reject pct=100

Rapports quotidiens DMARC

Les rapports quotidiens DMARC sont au format XML et contiennent des informations relatives au flux des e-mails. À l'aide de ces rapports, vous pouvez :

  • vérifier que les sources des e-mails sortants sont authentifiées ;
  • vérifier que les serveurs de messagerie envoyant des messages depuis votre domaine sont légitimes ;
  • envoyer une réponse si un nouveau serveur est en ligne ou si un serveur existant présente des problèmes de configuration.
Exemple de rapport DMARC

Vous trouverez ci-dessous l'extrait d'un rapport indiquant les résultats de messages envoyés à partir de deux adresses IP. L'un des messages a été envoyé directement, tandis que l'autre a été transféré. Les deux messages ont passé les contrôles DMARC.


<record>
<row>
<source_ip>207.126.144.129</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
</policy_evaluated>
</row>
<identities>
<header_from>stefanomail.com</header_from>
</identities>
<auth_results>
<dkim>
<domain>stefanomail.com</domain>
<result>pass</result>
<human_result></human_result>
</dkim>
<spf>
<domain>stefanomail.com</domain>
<result>pass</result>
</spf>
</auth_results>
</record>
<record>
<row>
<source_ip>207.126.144.131</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<reason>
<type>forwarded</type>
<comment></comment>
</reason>
</policy_evaluated>
</row>
<identities>
<header_from>stefanomail.com</header_from>
</identities>
<auth_results>
<dkim>
<domain>stefanomail.com</domain>
<result>pass</result>
<human_result></human_result>
</dkim>
<spf>
<domain>stefanomail.com</domain>
<result>pass</result>
</spf>
</auth_results>
</record>

Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?