Recherche
Effacer la recherche
Fermer la recherche
Applications Google
Menu principal

DMARC

Ajouter un enregistrement DMARC

Créer un enregistrement

Une fois SPF et DKIM mis en œuvre, vous pouvez configurer DMARC en ajoutant des règles aux enregistrements DNS de votre domaine sous la forme d'enregistrements TXT (comme avec SPF et ADSP).

Important : Avant de créer un enregistrement DMARC pour votre domaine G Suite, vous devez configurer l'authentification DKIM. Si vous ne configurez pas ce type d'authentification en amont, les e-mails envoyés à partir de services tels que Google Agenda ne seront ni authentifiés, ni distribués aux utilisateurs.

Pour créer un enregistrement TXT avec le nom et la valeur appropriés, suivez les instructions spécifiques aux principaux hôtes de domaine. Le nom de l'enregistrement TXT doit être "_dmarc.votre_domaine.fr", où "votre_domaine.fr" doit être remplacé par le véritable nom de votre domaine. Examinez également les limites établies par certains hôtes de domaine.

Voici la liste des balises couramment utilisées dans les enregistrements TXT DMARC :

Nom de la balise Obligatoire Objectif Exemple

v

obligatoire Version du protocole v=DMARC1

p

obligatoire Règle applicable au domaine p=quarantine

pct

facultatif Pourcentage des messages soumis au filtrage pct=20

rua

facultatif URI de création de rapports globaux rua=mailto:aggrep@example.com

sp

facultatif Règles applicables aux sous-domaines du domaine sp=reject

aspf

facultatif Mode d'alignement pour SPF aspf=r

Les autres balises disponibles sont répertoriées dans le registre des balises DMARC (en anglais).

Google ne prend pas en charge la balise ruf DMARC pour la distribution des rapports d'analyse.

Seules les balises v (version) et p (policy, règle) sont obligatoires. Trois paramètres de règles, ou dispositions relatives aux messages, sont disponibles :

  • none : pas d'action particulière. Les messages concernés sont consignés dans le rapport quotidien uniquement.
  • quarantine : marquage comme spam des messages concernés.
  • reject : annulation du message au niveau SMTP.

Le mode d'alignement fait référence à la précision avec laquelle les enregistrements des expéditeurs sont comparés aux signatures SPF et DKIM, avec deux valeurs possibles : r (relaxed, souple) et s (strict, stricte). En résumé, la valeur souple (relaxed) autorise des correspondances partielles, telles que les sous-domaines d'un domaine donné, alors que la valeur stricte (strict) exige une correspondance exacte.

Assurez-vous d'inclure votre adresse e-mail avec la balise rua facultative pour recevoir les rapports quotidiens.

Déploiement progressif

Recommandations relatives au développement de l'utilisation de DMARC

Nous vous recommandons vivement de mettre en œuvre DMARC de façon progressive en appliquant les règles suivantes dans l'ordre indiqué ci-après. Tout d'abord, surveillez votre trafic et recherchez d'éventuelles anomalies dans les rapports (messages qui ne sont pas encore signés ou pourraient être issus d'un spoofing, par exemple). Lorsque vous êtes familiarisé avec les résultats, remplacez le paramètre "none" par "quarantine" dans les règles de votre enregistrement TXT. Examinez de nouveau les résultats, en étudiant cette fois les spams interceptés et les rapports DMARC quotidiens. Enfin, lorsque vous êtes certain que tous vos messages sont signés, remplacez le paramètre de vos règles par "reject" afin de tirer pleinement parti de DMARC. Continuez à consulter les rapports afin de vérifier que vos résultats sont acceptables.

De la même manière, vous pouvez utiliser la balise facultative "pct" pour mettre en œuvre DMARC progressivement. La valeur par défaut étant 100 %, il est possible d'ajouter le paramètre "pct=20" à votre enregistrement TXT DMARC afin que les règles en vigueur ne soient appliquées qu'à un cinquième des messages, et non à tous. Ce paramètre est particulièrement utile lorsque vous activez la mise en quarantaine ou le rejet des messages. Appliquez un faible pourcentage pour commencer, puis augmentez-le régulièrement, après quelques jours.

Voici un exemple de cycle de déploiement prudent :

  1. Surveillance systématique
  2. Mise en quarantaine de 1 %
  3. Mise en quarantaine de 5 %
  4. Mise en quarantaine de 10 %
  5. Mise en quarantaine de 25 %
  6. Mise en quarantaine de 50 %
  7. Mise en quarantaine systématique
  8. Rejet de 1 %
  9. Rejet de 5 %
  10. Rejet de 10 %
  11. Rejet de 25 %
  12. Rejet de 50 %
  13. Rejet systématique

Essayez de supprimer les pourcentages le plus tôt possible afin de terminer le déploiement.

Enfin, continuez à examiner vos rapports quotidiens.

Exemples d'enregistrement

Voici quelques exemples d'enregistrements TXT DMARC (_dmarc.votre_domaine.com IN TXT) que vous pouvez modifier selon vos besoins. Vous devez bien sûr remplacer "votre_domaine.com" et "postmaster@votre_domaine.com" par vos propres nom de domaine et adresse e-mail.

Aucune action effectuée

Dans cet enregistrement TXT, si un message semble provenir de votre domaine .com, mais n'est pas validé par les contrôles DMARC, aucune action n'est effectuée. En revanche, tous ces messages apparaissent dans le rapport global quotidien envoyé à "postmaster@votre_domaine.com."

"v=DMARC1; p=none; rua=mailto:postmaster@votre_domaine.fr"

Mettre en quarantaine

Dans cet enregistrement TXT, si un message semble provenir de votre domaine .com, mais n'est pas validé par les contrôles DMARC, il doit être mis en quarantaine 5 % du temps. Les rapports globaux quotidiens sont ensuite envoyés par e-mail à "postmaster@votre_domaine.com".

"v=DMARC1; p=quarantine; pct=5; rua=mailto:postmaster@votre_domaine.fr"

Rejeter le message

Dans cet enregistrement TXT, si un message semble provenir de "votre_domaine.com", mais n'est pas validé par les contrôles DMARC, il doit être systématiquement rejeté. Les rapports globaux quotidiens sont ensuite envoyés par e-mail à "postmaster@votre_domaine.com" et à "dmarc@votre_domaine.com".

"v=DMARC1; p=reject; rua=mailto:postmaster@votre_domaine.fr, mailto:dmarc@votre_domaine.fr"

Rapports quotidiens

Les rapports quotidiens sont présentés au format XML. Leur lecture vous permettra de mieux comprendre votre flux de messages.Ces rapports vous aident à vérifier que les sources des e-mails sortants sont correctement authentifiées. Assurez-vous que les différentes adresses IP qui envoient des messages se réclamant de votre domaine sont effectivement légitimes, configurez-les correctement avec DKIM ou ajoutez-les à la plage SPF du domaine. Grâce à ces rapports, si un règlement de blocage est mis en place dès qu'une nouvelle source d'e-mails se connecte, ou si la configuration d'une source existante est défectueuse, vous pouvez agir rapidement.

Exemple de rapport

Voici un extrait de rapport présentant les résultats relatifs à des messages envoyés depuis deux adresses IP, l'un envoyé directement et l'autre transféré. Les deux messages ont été transmis :


<record>
 <row>
 <source_ip>207.126.144.129</source_ip>
 <count>1</count>
 <policy_evaluated>
 <disposition>none</disposition>
 </policy_evaluated>
 </row>
 <identities>
 <header_from>stefanomail.com</header_from>
 </identities>
 <auth_results>
 <dkim>
 <domain>stefanomail.com</domain>
 <result>pass</result>
 <human_result></human_result>
 </dkim>
 <spf>
 <domain>stefanomail.com</domain>
 <result>pass</result>
 </spf>
 </auth_results>
 </record>
 <record>
 <row>
 <source_ip>207.126.144.131</source_ip>
 <count>1</count>
 <policy_evaluated>
 <disposition>none</disposition>
 <reason>
 <type>forwarded</type>
 <comment></comment>
 </reason>
 </policy_evaluated>
 </row>
 <identities>
 <header_from>stefanomail.com</header_from>
 </identities>
 <auth_results>
 <dkim>
 <domain>stefanomail.com</domain>
 <result>pass</result>
 <human_result></human_result>
 </dkim>
 <spf>
 <domain>stefanomail.com</domain>
 <result>pass</result>
 </spf>
 </auth_results>
 </record> 
Cet article vous a-t-il été utile ?
Comment pouvons-nous l'améliorer ?
Se connecter à son compte

Bénéficiez d'une aide spécifique pour votre compte en vous connectant à l'aide de votre adresse e-mail G Suite ou découvrez comment débuter avec G Suite.