Qu’est-ce qu’un enregistrement DMARC ?
Un enregistrement DMARC est l'enregistrement dans lequel les ensembles de règles DMARC sont définis. Cet enregistrement informe les FAI (comme Gmail, Microsoft, Yahoo ! etc.) qu'un domaine est configuré pour utiliser DMARC. L'enregistrement DMARC contient la politique. L'enregistrement DMARC doit être placé dans votre DNS. Le nom de l'enregistrement TXT doit être "_dmarc.votredomaine.com". où "votredomaine.com" est remplacé par votre nom de domaine (ou sous-domaine).
Comment créer un enregistrement DMARC
1. Évaluez votre infrastructure de messagerie
Avant de configurer DMARC, évaluez votre infrastructure de messagerie actuelle et identifiez tous les expéditeurs et sources légitimes associés à votre domaine. Il s'agit notamment de
- Fournisseurs de services de courrier électronique
- Plateformes d'automatisation du marketing
- tout serveur de messagerie tiers utilisé pour envoyer des courriers électroniques en votre nom
DMARC Analyzer vous aide à générer facilement des enregistrements DMARC grâce à notre générateur d'enregistrements DMARC. La version gratuite de DMARC Analyzer vous permet d'utiliser le générateur d'enregistrements DMARC(inscrivez-vous ici). Vous pouvez utiliser DMARC Analyzer pour générer un exemple d'enregistrement DMARC. Une fois SPF et DKIM en place, vous configurez DMARC en ajoutant des règles aux enregistrements DNS de votre domaine sous la forme d'enregistrements TXT (comme pour SPF ou DKIM).
Le nom de l'enregistrement TXT doit être "_dmarc.votredomaine.com". où "votredomaine.com" est remplacé par votre nom de domaine (ou sous-domaine).
2. Sélectionnez les enregistrements DNS TXT et les types :
| Nom de l'étiquette | Exigée | Objectif | Échantillon |
|---|---|---|---|
| v | requis | Version du protocole | v=DMARC1 |
| p | requis | Politique pour le domaine | p=quarantaine |
| pct | facultatif | % de messages soumis au filtrage | pct=20 |
| rua | facultatif | URI des rapports agrégés | rua=mailto:CUSTOMERID@for.dmarcanalyzer.com |
| ruf | facultatif | Adresses auxquelles les informations médico-légales spécifiques au message doivent être communiquées (liste d'URI en texte clair séparée par des virgules). | ruf=mailto:CUSTOMERID@for.dmarcanalyzer.com |
| rf | facultatif | Format à utiliser pour les rapports d'informations médico-légales spécifiques aux messages (liste de valeurs en texte clair séparées par des virgules). | rf=afrf |
| aspf | facultatif | Mode d'alignement pour SPF | aspf=r |
| adkim | facultatif | Mode d'alignement pour DKIM | adkim=r |
Consultez le registre des balises DMARC pour connaître les autres balises disponibles. Lorsque vous vous connectez sur app.dmarcanalyzer.com, allez dans "DNS Records" pour générer votre enregistrement DMARC. Seules les balisesv (version) et p (policy) sont nécessaires.
3. Choisissez une politique DMARC
Trois paramètres de politique, ou dispositions de message, sont possibles :
- aucune politique: Vous souhaitez simplement contrôler les résultats de DMARC et vous ne voulez pas prendre de mesures spécifiques pour tous les courriels qui échouent. Vous pouvez utiliser la politique "none" pour commencer avec DMARC et rassembler tous les rapports DMARC et commencer à analyser ces données.
- la politique de quarantaine: Vous mettez en quarantaine les courriels qui échouent aux contrôles. La plupart de ces courriels finiront dans le dossier indésirable du destinataire.
- politique de rejet: Vous pouvez rejeter tous les courriels qui échouent au contrôle DMARC. Les destinataires du courrier électronique doivent effectuer cette opération "au niveau SMTP". Les courriels rebondiront directement au cours du processus d'envoi.
Choisissez l'une des trois politiques DMARC pour définir la manière dont vous voulez que les destinataires du courrier électronique traitent les courriers électroniques qui échouent aux contrôles DMARC de votre enregistrement DMARC.
Le mode d'alignement (aspf / adkim) fait référence à la précision avec laquelle les enregistrements de l'expéditeur sont comparés aux signatures SPF et DKIM, les deux valeurs possibles étant relaxed ou strict, représentées respectivement par "r" et "s". En bref, le terme "relaxed" autorise les correspondances partielles, telles que les sous-domaines d'un domaine donné, tandis que le terme "strict" exige une correspondance exacte.
Veillez à indiquer votre adresse électronique avec le tag rua optionnel pour recevoir les rapports quotidiens.
4. Ajoutez l'enregistrement DMARC à votre DNS
La création d'un enregistrement TXT avec le nom et la valeur appropriés est différente pour chaque hôte de domaine. Contactez-nous si vous avez besoin d'aide pour le mettre en place avec votre fournisseur.
Il devrait être assez simple et pourrait ressembler à ce qui suit dans le générateur :
| Utilisez le générateur d'enregistrements DMARC pour créer votre propre enregistrement DMARC. |
| Utilisez le DMARC Record Checker pour afficher, tester et vérifier la validité de votre enregistrement DMARC. |
| Utilisez les guides de configuration des enregistrements pour savoir comment configurer votre enregistrement DMARC pour des hébergeurs spécifiques. |
| Logiciel d'analyse DMARCconvivial |
5. Analysez vos rapports DMARC
Les rapports quotidiens sont présentés au format XML. Lisez-les pour mieux comprendre votre flux de courrier. Les rapports vous permettent de vous assurer que vos sources de courrier sortant s'authentifient correctement. Assurez-vous que les différentes adresses IP qui envoient des courriels prétendant provenir de votre domaine sont bien légitimes, configurez-les correctement avec DKIM ou ajoutez-les à leur gamme SPF. Les rapports aident également les administrateurs à prendre des mesures rapides lorsqu'ils disposent d'une politique de blocage en cas de mise en ligne d'une nouvelle source de courrier ou de rupture de la configuration d'une source de courrier existante.
Voici un extrait d'un rapport présentant les résultats des messages envoyés à partir de deux adresses IP, l'une envoyée directement et l'autre transférée. Les deux messages sont passés :
<record>
<row>
<source_ip>207.126.144.129</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
</policy_evaluated>
</row>
<identities>
<header_from>yourdomain.com</header_from>
</identities>
<auth_results>
<dkim>
<domain>yourdomain.com</domain>
<result>pass</result>
<human_result></human_result>
</dkim>
<spf>
<domain>yourdomain.com</domain>
<result>pass</result>
/spf>
</spf>
</auth_results>
</record>
<record>
<row>
<source_ip>.126.144.131</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<reason>
<type>forwarded</type>
<comment></comment>
</reason>
</policy_evaluated>
</row>
<identities>
<header_from>yourdomain.com</header_from>
</identities>
<auth_results>
<dkim>
<domain>yourdomain.com</domain>
<result>pass</result>
<human_result></human_result>
</dkim>
<spf>
<domain>yourdomain.com</domain>
<result>pass</result>
< /spf
</spf>
</auth_results>
</record>
6. Déployez progressivement votre politique DMARC
Nous vous recommandons vivement d'augmenter progressivement l'utilisation de DMARC en appliquant ces politiques dans l'ordre suivant. Tout d'abord, surveillez votre trafic et recherchez les anomalies dans les rapports, comme les messages qui ne sont pas encore signés ou qui sont peut-être usurpés. Ensuite, lorsque les résultats vous conviennent, modifiez le paramètre de stratégie de l'enregistrement TXT en le faisant passer de "aucun" à "quarantaine". Examinez à nouveau les résultats, cette fois-ci dans votre capture de spam et dans les rapports DMARC quotidiens. Enfin, une fois que vous êtes absolument certain que tous vos messages sont signés, modifiez le paramètre de la politique en le faisant passer à "rejeter" afin d'utiliser pleinement DMARC. Revoir les rapports pour s'assurer que les résultats sont acceptables.
De même, la balise optionnelle pct peut être utilisée pour mettre en scène et échantillonner votre déploiement DMARC. Étant donné que la valeur par défaut est de 100%, si vous indiquez "pct=20" dans votre enregistrement DMARC TXT, un cinquième de tous les messages concernés par la politique recevront la disposition au lieu de la totalité. Ce paramètre est particulièrement utile lorsque vous décidez de mettre le courrier électronique en quarantaine et de le rejeter. Commencez par un pourcentage plus faible et augmentez-le tous les deux ou trois jours.
Ainsi, un cycle de déploiement prudent ressemblerait à ce qui suit :
Essayez de supprimer les pourcentages pour terminer le déploiement. Comme toujours, passez en revue vos rapports quotidiens.
7. Maintenir une conformité et une sécurité permanentes
La mise en place de DMARC n'est qu'un début. Une gestion continue est essentielle pour que votre domaine reste protégé. Au fil du temps, de nouveaux services d'envoi de courrier électronique peuvent être ajoutés, ou les services existants peuvent changer de comportement. C'est pourquoi des audits réguliers de vos enregistrements DMARC, SPF et DKIM sont nécessaires pour s'assurer que tout reste aligné et que votre authentification DMARC reste intacte. Maintenez la conformité en examinant périodiquement les enregistrements DNS de votre domaine et en confirmant que toutes les sources de courrier autorisées continuent à passer les contrôles d'authentification. Il est également important de mettre à jour les balises rua et ruf si vos adresses de notification ou votre infrastructure changent, afin d'éviter de manquer des données de notification DMARC essentielles. Cette diligence permanente permet de mettre en place une configuration DMARC saine qui s'adapte à la croissance de votre organisation. Le fait de se tenir au courant des normes de sécurité du courrier électronique en constante évolution permet de se protéger contre les menaces d'usurpation d'identité, d'améliorer la délivrabilité du courrier électronique et de renforcer la réputation de votre domaine en tant qu'expéditeur. Utilisez régulièrement les outils de validation DMARC pour détecter les problèmes avant qu'ils n'affectent la distribution des messages. Vous souhaitez créer votre propre enregistrement DMARC ?
| Utilisez le générateur d'enregistrements DMARC pour créer votre propre enregistrement DMARC. |
Mon flux de courrier électronique est-il correctement configuré ?
Lors de la mise en œuvre de DMARC, vous utiliserez les données DMARC pour analyser vos flux de courrier électronique actuels. Vous pouvez le faire en contrôlant les données et en vérifiant que vos sources d'envoi sont correctement configurées.
Veuillez noter que si vous testez un enregistrement DNS mis à jour (DKIM ou SPF), il peut y avoir un cache DNS qui influence le résultat. Les mises à jour de votre enregistrement SPF doivent toujours être testées avant d'être effectuées à l'aide de notre vérificateur de prévalidation SPF.
Logiciel d'analyse DMARC convivial
DMARC Analyzer fournit un logiciel d'analyse DMARC convivial et agit en tant que guide expert pour vous permettre d'atteindre une politique de rejet aussi rapidement que possible. DMARC Analyzer est une solution SaaS qui permet aux organisations de gérer facilement un déploiement DMARC complexe. La solution offre une visibilité et une gouvernance à 360° sur l'ensemble des canaux de messagerie. Tout est conçu pour vous faciliter la tâche.
| Utilisez le générateur d'enregistrements DMARC pour créer votre propre enregistrement DMARC. |
| Utilisez le DMARC Record Checker pour afficher, tester et vérifier la validité de votre enregistrement DMARC. |
| Utilisez les guides de configuration des enregistrements pour savoir comment configurer votre enregistrement DMARC pour des hébergeurs spécifiques. |
| Logiciel d'analyse DMARCconvivial |
DMARC Analyzer fournit un logiciel d'analyse DMARCconvivial et agit en tant que guide expert pour vous permettre d'atteindre une politique de rejet aussi rapidement que possible.
