DMARC

Ajouter un enregistrement DMARC

Définir la manière dont votre domaine traite les e-mails suspects

Configurez l'authentification DMARC (Domain-based Message Authentication, Reporting, and Conformance) en ajoutant des règles aux enregistrements DNS de votre domaine. Les règles, qui définissent la manière dont votre domaine traite les e-mails suspects, sont définies sous la forme d'un enregistrement TXT.

Il existe trois règles DMARC définissant les mesures prises lorsque des e-mails suspects sont envoyés vers votre domaine :

  • N'effectuer aucune action concernant le message et l'enregistrer dans le rapport quotidien
  • Marquer le message comme spam et le préserver à titre conservatoire pour un traitement ultérieur (mise en quarantaine)
  • Annuler le message pour qu'il ne soit pas envoyé au destinataire

Définissez la règle DMARC avec la balise p dans l'enregistrement TXT, comme indiqué dans le tableau Balises courantes utilisées dans les enregistrements DMARC plus bas.

Configurer les services SPF et DKIM en premier lieu

Nous vous recommandons de configurer les services SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail) avant de configurer les enregistrements DMARC. Ces derniers utilisent les services SPF et DKIM pour vérifier l'authenticité des messages. Un message ne passant pas le contrôle SPF ou DKIM déclenche la règle DMARC.

Créer un enregistrement DMARC

Créez un enregistrement TXT contenant les noms et les valeurs de balises qui définissent les règles que vous souhaitez appliquer à votre domaine.

Le nom de l'enregistrement TXT doit suivre le format suivant, dans lequel votre_domaine.com est le nom de votre domaine :
 _dmarc.votre_domaine.com 

Conseils pour créer un enregistrement TXT DMARC

Ces articles contiennent des informations détaillées relatives à la création d'un enregistrement DMARC :

Balises courantes utilisées dans les enregistrements TXT DMARC

Remarque : Gmail ne permet pas l'utilisation de la balise DMARC ruf servant à envoyer des rapports d'échec (analyse).

Nom de la balise Obligatoire Description et valeurs Exemple

v

obligatoire Version du protocole. Cette valeur doit être DMARC1. v=DMARC1

p

obligatoire

Définit la manière dont votre domaine traite les messages suspects :

  • none : n'effectuer aucune action sur le message, consigner les messages suspects dans le rapport quotidien
  • quarantine : marquer les messages comme spam et les préserver à titre conservatoire pour un traitement ultérieur
  • reject : annuler le message pour qu'il ne soit pas envoyé au destinataire
p=quarantine

pct

facultatif

Définit le pourcentage de messages suspects auxquels la règle DMARC s'applique. Les messages suspects sont des messages non validés par les contrôles DMARC. La valeur par défaut est 100

pct=20

rua

facultatif

Création de rapports URI (Uniform Resource Identifier) pour les rapports globaux. Pour obtenir des rapports sur l'activité DMARC de votre domaine, utilisez cette option avec votre propre adresse e-mail.

rua=mailto:aggrep@example.com

sp

facultatif

Définit la règle relative aux messages des sous-domaines de votre domaine principal. Utilisez cette option si vous souhaitez appliquer une règle DMARC différente pour vos sous-domaines. Les valeurs possibles sont les mêmes que pour la balise p.

 

sp=reject

aspf

facultatif

Définit le mode d'alignement pour SPF (ASPF) afin de déterminer la correspondance exacte requise entre les informations du message et les signatures SPF. La valeur par défaut est relaxed.

r : "relaxed" autorise les correspondances partielles, par exemple les sous-domaines au sein d'un domaine.

s : "strict" requiert une correspondance exacte.

aspf=r

 

Déployer DMARC progressivement

Utilisez les options "policy" (p) et "percent" (pct) pour déployer progressivement DMARC dans Gmail.

Comment déployer progressivement votre règle DMARC

Utilisez l'option "policy" (p). Définissez et modifiez l'option de règle à l'aide de la valeur de balise "p" dans l'enregistrement TXT. Commencez par une règle de mise en quarantaine pour inspecter les messages suspects. Modifiez ensuite progressivement les règles en fonction des messages mis en quarantaine et des rapports quotidiens.

  1. p=none : surveiller le trafic des e-mails et rechercher les problèmes dans les rapports quotidiens, sans bloquer aucun message. Surveiller les messages dans lesquels l'identité de l'expéditeur a été usurpée ainsi que les messages non signés avec DKIM ou SPF.
  2. p=quarantine : si vous êtes habitué aux formats d'e-mails affichés dans les rapports quotidiens, modifiez la règle sur "quarantine". Continuer d'analyser les rapports quotidiens et d'afficher les messages en attente (mis en quarantaine) comme spam.
  3. p=reject : lorsque vous êtes certain que tous les messages de votre domaine sont signés, modifiez la règle "reject" pour commencer à filtrer les spams. Poursuivre l'analyse des rapports quotidiens pour vérifier que vous filtrez les spams et envoyez des e-mails valides aux destinataires.

Utilisez l'option "percent" (pct). L'option "percent" définit le pourcentage de messages suspects auxquels la règle DMARC est appliquée. Les messages suspects sont des messages non validés par les contrôles DMARC. La valeur par défaut est 100 % (tous les messages suspects). Définissez l'option "percent" de façon à filtrer un nombre limité de messages au début, puis augmenter le pourcentage au fil des jours à mesure que vous affinez la règle DMARC. Par exemple, définissez l'option "percent" sur "20" pour filtrer 20 % des messages rejetés ou mis en quarantaine. La semaine suivante, modifiez la valeur de "20" à "50" pour filtrer 50 % des messages.

Exemple de déploiement : voici un exemple d'utilisation des options "p" et "pct" pour déployer progressivement une règle DMARC. Mettez à jour votre règle DMARC au fil du temps avec les valeurs suivantes :

  1. p=none pct=100
  2. p=quarantine pct=1
  3. p=quarantine pct=5
  4. p=quarantine pct=10
  5. p=quarantine pct=25
  6. p=quarantine pct=50
  7. p=quarantine pct=100
  8. p=reject pct=1
  9. p=reject pct=5
  10. p=reject pct=10
  11. p=reject pct=25
  12. p=reject pct=50
  13. p=reject pct=100

Exemples d'enregistrements TXT

Voici quelques exemples d'enregistrements TXT DMARC que vous pouvez modifier selon vos besoins. Copiez ces enregistrements et remplacez "votre_domaine.com" et "postmaster@votre_domaine.com" par vos propres domaine et adresse e-mail.

Utilisez le rapport quotidien pour modifier les valeurs "policy" et "percentage" si nécessaire.

Exemple d'enregistrement TXT : "Aucune action effectuée"

N'effectuez aucune action sur les messages qui semblent provenir de votre domaine, mais qui ne passent pas les contrôles DMARC. Envoyez le rapport quotidien à "postmaster@votre_domaine.com".

"v=DMARC1; p=none; rua=mailto:postmaster@votre_domaine.com"

Exemple d'enregistrement TXT : "Message de mise en quarantaine"

Mettez en quarantaine 5 % des messages qui semblent provenir de votre domaine, mais qui ne passent pas les contrôles DMARC. Envoyez le rapport quotidien à "postmaster@votre_domaine.com".

"v=DMARC1; p=quarantine; pct=5; rua=mailto:postmaster@votre_domaine.com"

Exemple d'enregistrement TXT : "Rejeter le message"

Rejettez 100 % des messages qui semblent provenir de votre domaine, mais qui ne passent pas les contrôles DMARC. Envoyez le rapport quotidien à "postmaster@votre_domaine.com" et "dmarc@votre_domaine.com".

"v=DMARC1; p=reject; rua=mailto:postmaster@votre_domaine.com, mailto:dmarc@votre_domaine.com"

Rapports quotidiens DMARC

Les rapports quotidiens DMARC sont au format XML et contiennent des informations relatives au flux des e-mails. À l'aide de ces rapports, vous pouvez :

  • vérifier que les sources des e-mails sortants sont authentifiées ;
  • vérifier que les serveurs de messagerie envoyant des messages depuis votre domaine sont légitimes ;
  • envoyer une réponse si un nouveau serveur est en ligne ou si un serveur existant présente des problèmes de configuration.
Exemple de rapport DMARC

Vous trouverez ci-dessous l'extrait d'un rapport indiquant les résultats de messages envoyés à partir de deux adresses IP. L'un des messages a été envoyé directement, tandis que l'autre a été transféré. Les deux messages ont passé les contrôles DMARC.


<record>
<row>
<source_ip>207.126.144.129</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
</policy_evaluated>
</row>
<identities>
<header_from>stefanomail.com</header_from>
</identities>
<auth_results>
<dkim>
<domain>stefanomail.com</domain>
<result>pass</result>
<human_result></human_result>
</dkim>
<spf>
<domain>stefanomail.com</domain>
<result>pass</result>
</spf>
</auth_results>
</record>
<record>
<row>
<source_ip>207.126.144.131</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<reason>
<type>forwarded</type>
<comment></comment>
</reason>
</policy_evaluated>
</row>
<identities>
<header_from>stefanomail.com</header_from>
</identities>
<auth_results>
<dkim>
<domain>stefanomail.com</domain>
<result>pass</result>
<human_result></human_result>
</dkim>
<spf>
<domain>stefanomail.com</domain>
<result>pass</result>
</spf>
</auth_results>
</record>

Cet article vous a-t-il été utile ?
Comment pouvons-nous l'améliorer ?