Ajouter un enregistrement DMARC

Protéger contre le spoofing et l'hameçonnage, et éviter que des messages soient marqués comme spam

Vous définissez la fonctionnalité DMARC (Domain-based Message Authentication, Reporting and Conformance) en saisissant un enregistrement DMARC dans les paramètres DNS de votre domaine.

Après avoir préparé le texte de votre enregistrement DMARC, ajoutez ou modifiez l'enregistrement TXT DNS auprès de votre fournisseur de domaine. Pour modifier un enregistrement TXT DNS, saisissez la ligne de texte qui définit votre enregistrement de règle DMARC dans la console de gestion de votre fournisseur de domaine.

Chaque fois que vous modifiez vos règles DMARC et votre enregistrement, vous devez modifier l'enregistrement TXT DNS auprès de votre fournisseur de domaine.

Sous-domaines et domaines supplémentaires

Si vous possédez plusieurs domaines, procédez comme suit pour chacun d'entre eux. Chaque domaine peut être associé à une règle différente et à différentes options de rapport (définies dans l'enregistrement).

Si vous ne créez pas de règles DMARC pour les sous-domaines, ils héritent des règles DMARC du domaine parent. Définissez une règle DMARC pour les sous-domaines à l'aide de la balise de règle sp dans l'enregistrement DMARC du domaine parent.

Ajouter ou modifier un enregistrement

Suivez cette procédure dans la console de gestion de votre hébergeur de domaine, et non dans la console d'administration. Qui est mon hébergeur de domaine ?

Important : Configurez DKIM (DomainKeys Identified Mail) et SPF (Sender Policy Framework) avant de configurer DMARC. DKIM et SPF doivent authentifier les messages pendant au moins 48 heures avant l'activation de DMARC.

Préparez le fichier texte ou la ligne correspondant à votre enregistrement de règle.
Connectez-vous à la console de gestion de votre hébergeur de domaine.
Accédez à la page permettant de modifier les enregistrements DNS.
Ajoutez un enregistrement TXT DNS ou modifiez un enregistrement existant en saisissant votre enregistrement dans l'enregistrement TXT de _dmarc :
1. Nom de l'enregistrement TXT : dans le premier champ, sous "Nom d'hôte DNS", saisissez le texte suivant : _dmarc.solarmora.com
  Important : Certains hébergeurs de domaine ajoutent automatiquement le nom de domaine après _dmarc. Une fois l'enregistrement TXT ajouté, vous pouvez valider le nom de l'enregistrement TXT DMARC pour vous assurer que le format est correct.
2. Valeur de l'enregistrement TXT : dans le deuxième champ, saisissez le texte de votre enregistrement DMARC, par exemple comme suit :
  v=DMARC1; p=none; rua=mailto:dmarc-reports@solarmora.com
  
  Le nom des champs peut différer selon votre fournisseur. Le nom des champs des enregistrements TXT DNS peut varier légèrement d'un fournisseur à un autre. Le domaine utilisé ici est fictif. Remplacez solarmora.com par le nom de votre propre domaine.
Enregistrez les modifications.

Désactiver DMARC

Nous vous recommandons de laisser DMARC activé pour votre organisation ou votre domaine. Sans DMARC, les pirates informatiques et d'autres utilisateurs malveillants peuvent usurper l'identité d'autres personnes et envoyer des e-mails qui semblent provenir de votre organisation ou de votre domaine. La désactivation de DMARC expose vos utilisateurs et contacts à des risques tels que du spam, du spoofing et de l'hameçonnage. Si vous devez désactiver DMARC, suivez cette procédure.

Valider le nom de l'enregistrement TXT DMARC (facultatif)

Certains hébergeurs de domaine ajoutent automatiquement votre nom de domaine à la fin du nom de l'enregistrement TXT, saisi à l'étape 4a de la procédure Ajouter ou modifier un enregistrement. Pour cette raison, le nom de l'enregistrement TXT DMARC peut ne pas présenter le bon format.

Par exemple, si vous saisissez _dmarc.solarmora.com et que votre hébergeur de domaine ajoute automatiquement votre nom de domaine, le nom de l'enregistrement TXT présentera le format incorrect suivant : _dmarc.solarmora.com.solarmora.com.

Après avoir ajouté l'enregistrement TXT DMARC en suivant les étapes décrites dans Ajouter ou modifier un enregistrement, vérifiez le nom de l'enregistrement TXT pour vous assurer que le format est correct.

Pour consulter et valider votre enregistrement TXT DMARC, utilisez la fonctionnalité Dig dans la Google Admin Toolbox :

Accédez à la Google Admin Toolbox, puis sélectionnez la fonctionnalité Dig.
Dans le champ Nom, saisissez _dmarc. suivi de votre nom de domaine complet. Par exemple, si votre nom de domaine est solarmora.com, saisissez _dmarc.solarmora.com.
Sous le champ Nom, cliquez sur TXT.
Vérifiez le nom de votre enregistrement TXT DMARC dans les résultats. Recherchez la ligne de texte commençant par _dmarc.

Format des enregistrements DMARC

L'enregistrement DMARC se présente sous la forme d'une ligne de texte brut. Ce texte consiste en une liste de valeurs et de balises DMARC, séparées par un point-virgule. Certaines balises sont obligatoires, d'autres sont facultatives.

Une règle DMARC indique aux serveurs de réception l'action à effectuer pour les messages non authentifiés provenant de votre domaine. L'action à exécuter est spécifiée à l'aide de la balise de règle (p) lorsque vous définissez votre enregistrement DMARC.

Voici un exemple d'enregistrement de règle DMARC. Les balises v et p doivent être répertoriées en premier. Les autres peuvent être classées dans n'importe quel ordre :

v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com; pct=100; adkim=s; aspf=s

Balises d'enregistrement DMARC

Tag	Obliga- toire ?	Description et valeurs
v	Obligatoire	Version DMARC : doit être DMARC1
p	Obligatoire	Indique au serveur de messagerie de réception comment traiter les messages qui n'ont pas été authentifiés. noneN'effectuer aucune action sur le message, qui est transmis au destinataire souhaité. Les messages sont consignés dans un rapport quotidien. Le rapport est envoyé à l'adresse e-mail spécifiée à l'aide de l'option rua dans l'enregistrement. quarantine— : les messages sont marqués comme spam et placés dans le dossier "Spam" du destinataire. Les destinataires peuvent examiner les spams afin d'identifier les messages légitimes. reject—Rejeter le message. Avec cette option, le serveur de réception envoie généralement un message d'erreur automatique au serveur d'envoi. Remarque sur le BIMI : Si votre domaine utilise la norme BIMI, l'option p DMARC doit être définie surquarantine (quarantaine) ou reject (rejeter). BIMI n'est pas compatible avec les règles DMARC si l'option p est définie sur none (aucun).
pct	Facultatif	Indique le pourcentage de messages non authentifiés soumis à la règle DMARC. Lorsque vous déployez progressivement DMARC, vous pouvez commencer par appliquer un petit pourcentage de messages. À mesure que les messages de votre domaine réussissent l'authentification auprès des serveurs de réception, modifiez votre enregistrement en lui appliquant un pourcentage plus élevé, jusqu'à atteindre 100 %. La valeur doit être un nombre entier compris entre 1 et 100. Si vous n'incluez pas cette option dans l'enregistrement, votre règle DMARC est appliquée à 100 % des messages envoyés depuis votre domaine. Remarque sur le BIMI : Si votre domaine utilise la norme BIMI, la valeur pct de votre règle DMARC doit être 100. BIMI n'est pas compatible avec les règles DMARC si la valeur pct est définie sur moins de 100.
rua	Facultative	Adresse e-mail permettant de recevoir des rapports sur l'activité DMARC de votre domaine. L'adresse e-mail doit inclure mailto: (`mailto:dmarc-reports@solarmora.com`, par exemple). Pour envoyer le rapport à plusieurs adresses e-mail, séparez-les par une virgule. Cette option peut générer un grand nombre de rapports envoyés par e-mail. Nous vous déconseillons d'utiliser votre propre adresse e-mail. Privilégiez l'utilisation d'une boîte aux lettres ou d'un groupe dédié, ou d'un service tiers spécialisé dans les rapports DMARC.
ruf	Non compatible	Gmail n'est pas compatible avec la balise ruf permettant d'envoyer des rapports d'échec. Les rapports d'échec sont également appelés "rapports d'analyse".
sp	Facultative	Définit la règle correspondant aux messages provenant des sous-domaines de votre domaine principal. Choisissez cette option si vous souhaitez utiliser une autre règle DMARC pour vos sous-domaines. none—Take no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy. quarantine—Marquer les messages comme spam et les placer dans le dossier de spam du destinataire. Les destinataires peuvent examiner les spams afin d'identifier les messages légitimes. reject—Rejeter le message. Avec cette option, le serveur de réception doit envoyer un message d'erreur automatique au serveur d'envoi. Si vous n'utilisez pas cette option dans l'enregistrement, les sous-domaines héritent de la règle DMARC définie pour le domaine parent.
adkim	Facultative	Définit la règle d'alignement pour DKIM, qui détermine à quel point les informations des messages doivent correspondre aux signatures DKIM. Découvrez comment fonctionne l'alignement. s—Alignement strict. Le nom de domaine de l'expéditeur doit correspondre exactement au d=nom de domaine associé dans les en-têtes de message DKIM. r—Relaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain in the DKIM mail headers is accepted.
aspf	Facultative	Définit la règle d'alignement pour SPF, qui détermine à quel point les informations des messages doivent correspondre aux signatures SPF. Découvrez comment fonctionne l'alignement. s— : alignement strict. L'en-tête De du message doit correspondre exactement au nom de domaine de la commande SMTP "MAIL FROM". r—Alignement souple (option par défaut). Autorise les correspondances partielles. Tout sous-domaine valide du nom de domaine est accepté.

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?