DMARC

Créer un enregistrement DMARC

Créer l'enregistrement

Une fois SPF et DKIM mis en œuvre, vous pouvez configurer DMARC en ajoutant des règles aux enregistrements DNS de votre domaine sous la forme d'enregistrements TXT (comme avec SPF et ADSP).

Important : Avant de créer un enregistrement DMARC pour votre domaine Google Apps, vous devez d'abord configurer l'authentification DKIM. Si vous ne configurez pas DKIM en amont, les e-mails envoyés à partir de services tels que Google Agenda ne seront pas authentifiés et ne seront pas distribués aux utilisateurs.

Pour créer un enregistrement TXT avec le nom et la valeur appropriés, suivez les instructions spécifiques aux principaux hôtes de domaine. Le nom de l'enregistrement TXT doit être "_dmarc.votre_domaine.fr", où "votre_domaine.fr" est remplacé par le véritable nom de votre domaine. Consultez également les limites associées à certains hôtes de domaine.

Voici la liste des balises couramment utilisées dans les enregistrements TXT DMARC :

Nom de la balise Obligatoire Objectif Exemple

v

obligatoire Version du protocole v=DMARC1

p

obligatoire Règles applicables au domaine p=quarantine

pct

facultatif Pourcentage des messages soumis au filtrage pct=20

rua

facultatif URI de création de rapports globaux rua=mailto:aggrep@example.com

sp

facultatif Règles applicables aux sous-domaines du domaine sp=r

aspf

facultatif Mode d'application de SPF aspf=r

Les autres balises disponibles sont répertoriées dans le registre des balises DMARC (en anglais).

Google ne permet pas l'utilisation de la balise DMARC ruf pour la distribution des rapports de contrôle.

Seules les balises v (version) et p (policy, règles) sont obligatoires. Trois paramètres de règles, ou dispositions relatives aux messages, sont disponibles :

  • none : pas d'action particulière. Les messages concernés sont consignés uniquement dans le rapport quotidien.
  • quarantine : marquage comme spam des messages concernés.
  • reject : annulation du message au niveau SMTP.

Le mode d'application fait référence à la précision avec laquelle les enregistrements des expéditeurs sont comparés aux signatures SPF et DKIM, avec deux valeurs possibles : r (relaxed, souples) et s (strict, stricte). En résumé, la valeur souple (relaxed) autorise des correspondances partielles, telles que les sous-domaines d'un domaine donné, alors que la valeur stricte (strict) exige une correspondance exacte.

Assurez-vous d'inclure votre adresse e-mail avec la balise rua facultative pour recevoir les rapports quotidiens.

Exemples d'enregistrement

Voici quelques exemples d'enregistrements TXT DMARC (_dmarc.votre_domaine.fr IN TXT) que vous pouvez utiliser après modification selon vos besoins. Vous devez bien sûr remplacer "votre_domaine.com" et "postmaster@votre_domaine.com" par vos propres nom de domaine et adresse e-mail.

Dans l'exemple d'enregistrement TXT suivant, si un message semble provenir de votre domaine et n'est pas validé par les contrôles DMARC, aucune action n'est effectuée. En revanche, tous ces messages apparaissent dans le rapport global quotidien envoyé à "postmaster@votre_domaine.fr".

"v=DMARC1; p=none; rua=mailto:postmaster@votre_domaine.fr"

Dans l'exemple d'enregistrement TXT suivant, si un message semble provenir de votre domaine et n'est pas validé par les contrôles DMARC, il est mis en quarantaine 5 % du temps. Les rapports globaux quotidiens sont ensuite envoyés par e-mail à "postmaster@votre_domaine.fr".

"v=DMARC1; p=quarantine; pct=5; rua=mailto:postmaster@votre_domaine.fr"

Dans ce dernier exemple, les messages sont systématiquement rejetés lorsqu'ils semblent provenir de "votre_domaine.fr" et qu'ils ne sont pas validés par les contrôles DMARC. Les rapports globaux quotidiens sont ensuite envoyés par e-mail à "postmaster@votre_domaine.fr" et à "dmarc@votre_domaine.fr".

"v=DMARC1; p=reject; rua=mailto:postmaster@votre_domaine.fr, mailto:dmarc@votre_domaine.fr"

Exemple de rapport

Les rapports quotidiens sont présentés au format XML. Leur lecture vous permettra de mieux comprendre votre flux de messages.Ces rapports vous aident à vérifier que vos sources de courrier sortant sont correctement authentifiées. Assurez-vous que les différentes adresses IP qui envoient des messages se réclamant de votre domaine sont effectivement légitimes, configurez-les correctement avec DKIM ou ajoutez-les à la plage SPF du domaine. Lorsque des règles de blocage sont en place, les rapports permettent également aux administrateurs de réagir rapidement si une nouvelle source de courrier apparaît en ligne ou si la configuration d'une source existante n'est plus appliquée.

Voici un extrait de rapport présentant les résultats relatifs à des messages envoyés depuis deux adresses IP, l'un envoyé directement et l'autre transféré. Les deux messages ont été transmis :

<record>
 <row>
 <source_ip>207.126.144.129</source_ip>
 <count>1</count>
 
 <policy_evaluated>
 <disposition>none</disposition>
 </policy_evaluated>
 </row>
 <identities>
 <header_from>stefanomail.com</header_from>
 </identities>
 <auth_results>
 <dkim>
 <domain>stefanomail.com</domain>
 <result>pass</result>
 <human_result></human_result>
 </dkim>
 <spf>
 <domain>stefanomail.com</domain>
 <result>pass</result>
 
 </spf>
 </auth_results>
 </record>
 <record>
 <row>
 <source_ip>207.126.144.131</source_ip>
 <count>1</count>
 <policy_evaluated>
 <disposition>none</disposition>
 <reason>
 <type>forwarded</type>
 <comment></comment>
 </reason>
 </policy_evaluated>
 </row>
 <identities>
 <header_from>stefanomail.com</header_from>
 </identities>
 <auth_results>
 <dkim>
 <domain>stefanomail.com</domain>
 <result>pass</result>
 <human_result></human_result>
 </dkim>
 <spf>
 <domain>stefanomail.com</domain>
 <result>pass</result>
 
 </spf>
 </auth_results>
 </record> 

Déploiement progressif

Nous vous recommandons vivement de mettre en œuvre DMARC de façon progressive en appliquant les règles suivantes dans l'ordre indiqué ci-après. Tout d'abord, surveillez votre trafic et recherchez des anomalies dans les rapports, telles que des messages qui ne sont pas encore signés ou pourraient être issus d'un spoofing. Ensuite, lorsque vous vous serez familiarisé avec les résultats, remplacez le paramètre "none" par "quarantine" dans les règles de votre enregistrement TXT. Examinez de nouveau les résultats, en étudiant cette fois les spams interceptés et les rapports DMARC quotidiens. Enfin, lorsque vous êtes certain que tous vos messages sont signés, remplacez le paramètre de vos règles par "reject" afin de tirer pleinement parti de DMARC. Continuez à consulter les rapports afin de vérifier que vos résultats sont acceptables.

De la même manière, vous pouvez utiliser la balise facultative pct pour mettre en œuvre DMARC progressivement. La valeur par défaut étant 100 %, il est possible d'ajouter le paramètre "pct=20" à votre enregistrement TXT DMARC afin que les règles en vigueur ne soient appliquées qu'à un cinquième des messages, et non à tous. Ce paramètre est particulièrement utile lorsque vous activez la mise en quarantaine ou le rejet des messages. Commencez avec un faible pourcentage et laissez quelques jours s'écouler entre chaque augmentation.

Voici un exemple de cycle de déploiement prudent :

  1. Surveillance systématique
  2. Mise en quarantaine de 1 %
  3. Mise en quarantaine de 5 %
  4. Mise en quarantaine de 10 %
  5. Mise en quarantaine de 25 %
  6. Mise en quarantaine de 50 %
  7. Mise en quarantaine systématique
  8. Rejet de 1 %
  9. Rejet de 5 %
  10. Rejet de 10 %
  11. Rejet de 25 %
  12. Rejet de 50 %
  13. Rejet systématique

Essayez de supprimer les pourcentages le plus tôt possible afin de terminer le déploiement.

Enfin, continuez à examiner vos rapports quotidiens.