DMARC

Ajouter un enregistrement DMARC

Créer l'enregistrement

Une fois les normes SPF et DKIM mises en œuvre, configurez DMARC en ajoutant des règles aux enregistrements DNS de votre domaine sous la forme d'enregistrements TXT (comme avec SPF et ADSP).

Important : Avant de créer un enregistrement DMARC pour votre domaine Google Apps, vous devez configurer l'authentification DKIM. Si vous ne configurez pas DKIM en amont, les e-mails envoyés à partir de services tels que Google Agenda ne seront pas authentifiés et ne seront pas distribués aux utilisateurs.

Pour créer un enregistrement TXT avec le nom et la valeur appropriés, suivez les instructions spécifiques aux principaux hôtes de domaine. Le nom de l'enregistrement TXT doit être "_dmarc.votre_domaine.fr", où "votre_domaine.fr" doit être remplacé par le véritable nom de votre domaine. Examinez également les limites établies par certains hôtes de domaine.

Voici la liste des balises couramment utilisées dans les enregistrements TXT DMARC :

Nom de la balise Obligatoire Objectif Exemple

v

obligatoire Version du protocole v=DMARC1

p

obligatoire Règle applicable au domaine p=quarantine

pct

facultatif Pourcentage des messages soumis au filtrage pct=20

rua

facultatif URI pour la réception des rapports globaux rua=mailto:aggrep@example.com

sp

facultatif Règle applicable aux sous-domaines du domaine sp=r

aspf

facultatif Mode d'alignement pour SPF aspf=r

Les autres balises disponibles sont répertoriées dans le registre des balises DMARC (en anglais).

Google ne permet pas l'utilisation de la balise DMARC ruf pour la distribution des rapports de contrôle.

Seules les balises v (version) et p (policy, règle) sont obligatoires. Trois paramètres de règles, ou dispositions relatives aux messages, sont disponibles :

  • none : pas d'action particulière. Les messages concernés sont consignés uniquement dans le rapport quotidien.
  • quarantine : marquage comme spam des messages concernés.
  • reject : annulation du message au niveau SMTP.

Le mode d'alignement fait référence à la précision avec laquelle les enregistrements des expéditeurs sont comparés aux signatures SPF et DKIM, avec deux valeurs possibles : r (relaxed, souple) et s (strict, stricte). En résumé, la valeur souple (relaxed) autorise des correspondances partielles, telles que les sous-domaines d'un domaine donné, alors que la valeur stricte (strict) exige une correspondance exacte.

Assurez-vous d'inclure votre adresse e-mail avec la balise "rua" facultative pour recevoir les rapports quotidiens.

Exemples d'enregistrements

Voici quelques exemples d'enregistrements TXT DMARC (_dmarc.votre_domaine.fr IN TXT) que vous pouvez modifier selon vos besoins. Vous devez bien sûr remplacer "your_domain.com" et "postmaster@your_domain.com" par vos propres nom de domaine et adresse e-mail.

Dans l'exemple d'enregistrement TXT qui suit, si un message semble provenir de votre domaine et n'est pas validé par les contrôles DMARC, aucune action n'est effectuée. En revanche, il apparaît dans le rapport global quotidien envoyé à "postmaster@.your_domain.com".

"v=DMARC1; p=none; rua=mailto:postmaster@your_domain.com"

Dans l'exemple d'enregistrement TXT suivant, si un message semble provenir de votre domaine et n'est pas validé par les contrôles DMARC, il est mis en quarantaine 5 % du temps. Les rapports globaux quotidiens sont ensuite envoyés par e-mail à "postmaster@votre_domaine.fr".

"v=DMARC1; p=quarantine; pct=5; rua=mailto:postmaster@your_domain.com"

Dans ce dernier exemple, les messages sont systématiquement rejetés lorsqu'ils semblent provenir de "votre_domaine.fr" et qu'ils ne sont pas validés par les contrôles DMARC. Les rapports globaux quotidiens sont ensuite envoyés par e-mail à "postmaster@votre_domaine.fr" et à "dmarc@votre_domaine.fr".

"v=DMARC1; p=reject; rua=mailto:postmaster@your_domain.com, mailto:dmarc@your_domain.com"
Exemple de rapport

Les rapports quotidiens sont présentés au format XML. Leur lecture vous permettra de mieux comprendre votre flux de messages.Ces rapports vous aident à vérifier que vos sources de courrier sortant sont correctement authentifiées. Assurez-vous que les différentes adresses IP qui envoient des messages se réclamant de votre domaine sont effectivement légitimes, configurez-les correctement avec DKIM ou ajoutez-les à la plage SPF du domaine. Lorsque des règles de blocage sont en place, les rapports permettent également aux administrateurs de réagir rapidement si une nouvelle source de courrier apparaît en ligne ou si la configuration d'une source existante n'est plus appliquée.

Voici un extrait de rapport présentant les résultats relatifs à des messages envoyés depuis deux adresses IP, l'un envoyé directement et l'autre transféré. Les deux messages ont été transmis :


<record>
 <row>
 <source_ip>207.126.144.129</source_ip>
 <count>1</count>
 <policy_evaluated>
 <disposition>none</disposition>
 </policy_evaluated>
 </row>
 <identities>
 <header_from>stefanomail.com</header_from>
 </identities>
 <auth_results>
 <dkim>
 <domain>stefanomail.com</domain>
 <result>pass</result>
 <human_result></human_result>
 </dkim>
 <spf>
 <domain>stefanomail.com</domain>
 <result>pass</result>
 </spf>
 </auth_results>
 </record>
 <record>
 <row>
 <source_ip>207.126.144.131</source_ip>
 <count>1</count>
 <policy_evaluated>
 <disposition>none</disposition>
 <reason>
 <type>forwarded</type>
 <comment></comment>
 </reason>
 </policy_evaluated>
 </row>
 <identities>
 <header_from>stefanomail.com</header_from>
 </identities>
 <auth_results>
 <dkim>
 <domain>stefanomail.com</domain>
 <result>pass</result>
 <human_result></human_result>
 </dkim>
 <spf>
 <domain>stefanomail.com</domain>
 <result>pass</result>
 </spf>
 </auth_results>
 </record> 

Déploiement progressif

Nous vous recommandons vivement de mettre en œuvre DMARC de façon progressive en appliquant les règles qui suivent dans l'ordre indiqué. Tout d'abord, surveillez votre trafic et recherchez d'éventuelles anomalies dans les rapports (messages qui ne sont pas encore signés ou pourraient être issus d'un spoofing, par exemple). Lorsque vous êtes familiarisé avec les résultats, remplacez le paramètre "none" par "quarantine" dans les règles de votre enregistrement TXT. Examinez de nouveau les résultats, en étudiant cette fois les spams interceptés et les rapports DMARC quotidiens. Enfin, lorsque vous êtes certain que tous vos messages sont signés, remplacez le paramètre de vos règles par "reject" afin de tirer pleinement parti de DMARC. Continuez à consulter les rapports afin de vérifier que vos résultats sont acceptables.

De la même manière, vous pouvez utiliser la balise facultative "pct" pour mettre en œuvre DMARC progressivement. La valeur par défaut étant 100 %, vous pouvez ajouter le paramètre "pct=20" à votre enregistrement TXT DMARC afin que la règle en vigueur ne soit appliquée qu'à un cinquième des messages concernés, et non à tous. Ce paramètre est particulièrement utile au moment où vous décidez de mettre en quarantaine et de rejeter les messages. Commencez avec un faible pourcentage et laissez quelques jours s'écouler entre chaque augmentation.

Exemple de cycle de déploiement prudent :

  1. Surveillance systématique
  2. Mise en quarantaine de 1 %
  3. Mise en quarantaine de 5 %
  4. Mise en quarantaine de 10 %
  5. Mise en quarantaine de 25 %
  6. Mise en quarantaine de 50 %
  7. Mise en quarantaine systématique
  8. Rejet de 1 %
  9. Rejet de 5 %
  10. Rejet de 10 %
  11. Rejet de 25 %
  12. Rejet de 50 %
  13. Rejet systématique

Essayez de supprimer les pourcentages le plus tôt possible afin de terminer le déploiement.

Enfin, continuez à examiner vos rapports quotidiens.