Ce que vous apprendrez dans cet article
- La balise DMARC FO (Failure Options) détermine quand un destinataire peut envoyer un rapport d'échec DMARC (également appelé rapport forensique), qui fournit des détails au niveau du message pour le dépannage et la recherche de menaces.
- FO=1 augmente la visibilité en demandant un rapport d'échec lorsque SPF ou DKIM échoue, même si le message passe quand même DMARC via l'autre mécanisme.
- Par rapport aux autres valeurs de FO, FO=1 peut générer davantage de rapports et de frais généraux opérationnels, il est donc préférable de l'associer à une gouvernance et à un filtrage clairs.
- Des outils tels qu'un analyseur DMARC peuvent aider à gérer le volume de rapports DMARC et à accélérer la mise en œuvre et le dépannage de DMARC.
Si vous renforcez l'authentification du courrier électronique, DMARC reporting est l'endroit où se trouve la véritable information. La plupart des équipes commencent par des rapports DMARC agrégés (tendances de haut niveau), puis ajoutent des rapports sur les défaillances lorsqu'elles ont besoin d'une visibilité au niveau des messages.
C'est là qu'intervient le paramètre DMARC fo=1. Il permet de mettre en évidence les échecs partiels d'authentification qui peuvent cacher les mauvaises configurations, les lacunes d'alignement et les signes précurseurs d'usurpation d'identité.
Ce guide explique ce que fait la balise FO, comment FO=1 fonctionne en pratique, comment elle se compare à d'autres options et quand se justifie pour les environnements d'entreprise.
Qu'est-ce que la balise DMARC FO ?
La balise DMARC FO (Failure Options) est une balise dans votre enregistrement DMARC qui influence le moment où un serveur de messagerie récepteur peut générer des rapports judiciaires (d'échec). FO permet de définir les conditions d'échec de l'authentification DMARC qui doivent déclencher un rapport au niveau du message.
Il est important de distinguer le FO d'un rapport global :
- Aggregate (RUA) : Rapports DMARC récapitulatifs présentant les résultats de l'authentification et de l'alignement DMARC sur de grands volumes de courrier.
- Défaillance/expertise (RUF) : Données de rapport forensique au niveau du message liées à des défaillances ou à des conditions spécifiques.
FO est lié au comportement de signalement des défaillances (généralement transmis via l'adresse ruf=), tandis que les résumés agrégés sont transmis via rua= à l'adresse .
Ce que FO=1 signifie dans une politique DMARC
FO=1 demande des rapports d'échec lorsque l'authentification SPF de échoue ou que l'authentification DKIM échoue.
Même si le message passe DMARC parce que l'autre mécanisme passe et s'aligne, FO=1 peut toujours demander un rapport. Cette visibilité accrue vous aide à détecter les échecs partiels de , par exemple lorsque votre enregistrement SPF est correct mais que votre signature DKIM est rompue, ou lorsque DKIM réussit mais que l'alignement SPF échoue en raison d'expéditeurs tiers.
Comment DMARC FO=1 fonctionne en pratique
Lorsqu'un destinataire évalue un message, il vérifie SPF et DKIM, puis il vérifie l'alignement de l'identifiant pour déterminer si l'identité authentifiée correspond au domaine "From" visible (exigence fondamentale de DMARC). L'alignement est ce qui transforme "l'authentification a eu lieu" en "l'authentification est utile pour ce domaine".
Voici le processus de décision simplifié :
- Vérification SPF: Le destinataire vérifie si l'adresse IP d'envoi est autorisée pour le domaine utilisé dans le SPF, puis évalue l'alignement (si ce domaine SPF s'aligne sur le domaine From configuré pour l'envoi des adresses électroniques).
- Vérification DKIM: Le destinataire valide la signature de l'enregistrement DKIM par rapport au domaine d'envoi dans l'en-tête DKIM, puis évalue dkim alignment (si ce domaine DKIM s'aligne sur le domaine From).
- Résultat de la vérification DMARC : Le DMARC est accepté si le SPF ou le DKIM est accepté. Si l'alignement échoue dans les deux cas, DMARC échoue et le destinataire applique votre politique DMARC (p=).
Comment FO=1 déclenche un rapport
Avec FO=1, un rapport d'échec peut être généré en cas d'échec de SPF ou de DKIM, quel que soit le résultat final de DMARC (succès/échec) . Cette fonction est utile lorsque vous essayez de déterminer pourquoi certains courriers échouent par intermittence à un mécanisme, voire à , alors que les courriers légitimes arrivent toujours à destination.
Ce que vous pouvez voir dans les rapports d'échec FO=1
Un rapport d'échec comprend généralement des signaux au niveau du message, tels que
- En-têtes de messages clés (suffisants pour dépanner le routage et l'identité)
- Résultats de l'authentification(réussite/échec SPF/DKIM et résultats de l'alignement)
- Indicateurs de l'infrastructure d'envoi tels que les adresses IP et les domaines sources
Comme il s'agit de données au niveau du message, elles peuvent contenir des informations sensibles. De nombreuses entreprises traitent les rapports de défaillance comme des données télémétriques restreintes ( ) : elles limitent les personnes autorisées à y accéder, définissent leur durée de conservation et évitent de transmettre des rapports bruts à grande échelle.
Notez également que la prise en charge des rapports de défaillance varie selon le fournisseur de boîtes aux lettres. Même si vous publiez FO et ruf=, les destinataires peuvent ne pas envoyer de rapports médico-légaux dans tous les cas.
Exemple d'enregistrement DMARC avec FO=1
Voici un exemple simple d'enregistrement DMARC montrant FO=1 dans un enregistrement DMARC TXT (publié en tant qu'enregistrement DNS TXT sous _dmarc.votredomaine.com) :
|
v=DMARC1 ; p=quarantaine ; rua=mailto:dmarc-agg@yourdomain.com ; ruf=mailto:dmarc-forensic@yourdomain.com ; fo=1 ; adkim=s ; aspf=s ; pct=100 |
- fo=1 demande un rapport d'échec en cas d'échec de SPF ou DKIM
- adkim=s et aspf=s renforcent l'alignement (mode strict)
- rua= reçoit les résumés agrégés ; ruf= reçoit les rapports d'échec
Si vous validez les enregistrements pendant le déploiement, un vérificateur d'enregistrements DMARC peut confirmer la syntaxe et si un résultat d'enregistrement DMARC trouvé apparaît pour le domaine.
DMARC FO=1 vs autres options de balises FO
FO prend en charge plusieurs valeurs, et chacune d'entre elles modifie votre visibilité et votre charge opérationnelle :
FO=0
FO=0 demande des rapports d'échec principalement lorsque DMARC échoue (plus orienté "échec complet"). Il s'agit de l'option la moins bruyante et elle peut constituer une option pratique par défaut lorsque vous établissez une base de référence pour les rapports.
FO=d
FO=d limite le signalement des défaillances aux défaillances liées à la norme DKIM. Il est utile si votre environnement s'appuie fortement sur la signature DKIM et si vous souhaitez vous concentrer sur la rupture de DKIM, qui affecte la délivrabilité et l'authentification des courriels.
FO=s
FO=s limite le signalement des défaillances aux défaillances liées au SPF. Il est utile si l'autorisation SPF et les flux de travail basés sur SPF sont la principale source de problèmes d'authentification.
Pour choisir la valeur FO à utiliser, il suffit de prendre en compte les besoins spécifiques de votre organisation :
- Choisissez FO=0 si vous souhaitez un volume plus faible et un point de départ plus propre.
- Choisissez FO=1 si vous souhaitez obtenir des informations plus approfondies sur les défaillances partielles et si vous êtes prêt à traiter davantage de données.
- Choisissez FO=d ou FO=s si vous souhaitez isoler le dépannage d'un seul mécanisme.
FO=1 peut augmenter le volume des rapports et la charge opérationnelle. Si vous ne disposez pas d'un processus de triage et de stockage de ces rapports , vous risquez de vous retrouver avec du bruit plutôt qu'avec des informations.
Pourquoi DMARC FO=1 est-il important pour la sécurité des entreprises ?
FO=1 est précieux car les défaillances partielles sont les endroits où se cachent les problèmes. Un message peut "passer DMARC" tout en présentant un point faible , comme un chemin de signature DKIM non respecté, un expéditeur tiers causant des problèmes d'alignement ou un changement progressif de l'infrastructure qui interrompt l'authentification pour certains flux. FO=1 peut vous aider :
- Trouvez les erreurs d' authentification et DMARC plus tôt (en particulier chez de nombreux expéditeurs).
- Détecter les premiers indicateurs d'usurpation d'identité ou de tentatives de Phishing qui menacent la sécurité de la messagerie électronique
- Validez que votre configuration DMARC fonctionne de manière cohérente à travers les domaines, l'infrastructure et les adresses électroniques d'envoi.
- Réduire les angles morts lorsqu'un seul mécanisme fait tout le travail
Risques et compromis à gérer
Les inconvénients de l'utilisation de FO=1 sont principalement d'ordre opérationnel et liés à la gouvernance :
- Exposition des données : Les rapports de défaillance peuvent contenir des signaux de contenu sensible
- Conformité et traitement : Vous avez besoin de pour les contrôles d'accès, les règles de conservation et le stockage sécurisé.
- Volume : FO=1 peut générer plus de rapports que les équipes ne le prévoient.
Pour la gouvernance d'entreprise, traitez les rapports de défaillance comme la télémétrie de sécurité. Définissez qui peut les consulter, combien de temps elles sont conservées sur et comment elles sont utilisées pour les enquêtes.
Améliorer la surveillance DMARC avec FO=1
La balise DMARC FO permet d'affiner les rapports DMARC en contrôlant le moment où les rapports d'échec sont demandés, et FO=1 est particulièrement utile pour mettre en évidence les échecs d'authentification partiels qui peuvent facilement passer inaperçus.
Pour les environnements d'entreprises moyennes à grandes avec de nombreux expéditeurs, FO=1 peut renforcer la surveillance en améliorant la visibilité des problèmes SPF/DKIM, des lacunes d'alignement et des signaux d'abus précoces.
Si vous envisagez d'utiliser FO=1, considérez-le comme un élément d'une stratégie mature : prévoyez le traitement des rapports, la protection de la vie privée et le volume. Et si la gestion des rapports sur plusieurs domaines et expéditeurs vous semble lourde, Mimecast DMARC Analyzer et DMARC record generator peuvent vous aider à réduire la complexité et à transformer les rapports en informations exploitables.