Ce que vous apprendrez dans cet article
- Un enregistrement DMARC indique aux serveurs de messagerie destinataires comment traiter les courriels qui échouent aux contrôles d'authentification et doit être publié dans le DNS de votre domaine.
- Pour réussir la mise en place de DMARC, il faut d'abord identifier tous les expéditeurs légitimes de courrier électronique et s'assurer que SPF et DKIM sont correctement configurés.
- En commençant par une politique de surveillance uniquement, les organisations peuvent analyser les rapports et résoudre les problèmes d'authentification avant d'appliquer des contrôles plus stricts.
- L'analyse continue des rapports, le déploiement progressif des politiques et l'examen régulier des DNS sont essentiels au maintien de l'authentification du courrier électronique et de la protection du domaine à long terme.
Qu’est-ce qu’un enregistrement DMARC ?
Un enregistrement DMARC est l'enregistrement dans lequel les ensembles de règles DMARC sont définis. Cet enregistrement informe les FAI (comme Gmail, Microsoft, Yahoo ! etc.) qu'un domaine est configuré pour utiliser DMARC. L'enregistrement DMARC contient la politique et doit être placé dans votre DNS.
Comment créer un enregistrement DMARC
1. Évaluez votre infrastructure de messagerie
Avant de configurer DMARC, évaluez votre infrastructure de messagerie actuelle et identifiez tous les expéditeurs et sources légitimes associés à votre domaine. Il s'agit notamment de
- Fournisseurs de services de courrier électronique
- Plateformes d'automatisation du marketing
- tout serveur de messagerie tiers utilisé pour envoyer des courriels en votre nom
Une fois identifiés, documentez chaque expéditeur et chaque source dans une liste centralisée, en indiquant le domaine qu'ils utilisent, leurs adresses IP d'envoi et s'ils prennent en charge SPF ou DKIM. Vous aurez besoin de cet inventaire lors des étapes ultérieures de la configuration de SPF, DKIM et DMARC pour vous assurer que chaque service légitime est entièrement authentifié. La mise à jour de cette liste permet également d'éviter les lacunes qui conduisent à des échecs de DMARC lorsque de nouveaux outils sont ajoutés.
Une fois SPF et DKIM en place, vous configurez DMARC en ajoutant des règles aux enregistrements DNS de votre domaine sous la forme d'enregistrements TXT (comme pour SPF ou DKIM).
Le nom de l'enregistrement TXT doit être "_dmarc.votredomaine.com". où "votredomaine.com" est remplacé par votre nom de domaine (ou sous-domaine).
2. Sélectionnez les enregistrements DNS TXT et les types :
Les enregistrements DNS TXT sont de simples entrées de texte que vous ajoutez aux paramètres DNS de votre domaine. Ils se trouvent généralement chez votre registraire de domaine ou votre hébergeur DNS (par exemple, GoDaddy, Cloudflare, Namecheap). Ces enregistrements indiquent aux serveurs de messagerie destinataires comment authentifier le courrier électronique provenant de votre domaine personnalisé et comment traiter les messages qui échouent aux contrôles DMARC.
Au minimum, chaque configuration DMARC doit inclure les balises v=DMARC1 et p= (policy), mais de nombreuses organisations définissent également des balises optionnelles telles que rua, ruf, aspf et adkim dès le départ, parce qu'elles offrent une visibilité et un meilleur contrôle.
Si vous ne savez pas où trouver ces paramètres, recherchez le panneau de gestion DNS dans lequel vous avez précédemment ajouté vos enregistrements SPF ou DKIM. Votre enregistrement DMARC sera placé au même endroit.
| Nom de l'étiquette | Exigée | Objectif | Échantillon |
|---|---|---|---|
| v | requis | Version du protocole | v=DMARC1 |
| p | requis | Politique pour le domaine | p=quarantaine |
| pct | facultatif | % de messages soumis au filtrage | pct=20 |
| rua | facultatif | URI des rapports agrégés | rua=mailto:CUSTOMERID@for.dmarcanalyzer.com |
| ruf | facultatif | Adresses auxquelles les informations médico-légales spécifiques au message doivent être communiquées (liste d'URI en texte clair séparée par des virgules). | ruf=mailto:CUSTOMERID@for.dmarcanalyzer.com |
| rf | facultatif | Format à utiliser pour les rapports d'informations médico-légales spécifiques aux messages (liste de valeurs en texte clair séparées par des virgules). | rf=afrf |
| aspf | facultatif | Mode d'alignement pour SPF | aspf=r |
| adkim | facultatif | Mode d'alignement pour DKIM | adkim=r |
Consultez le registre des balises DMARC pour connaître les autres balises disponibles. Lorsque vous vous connectez sur app.dmarcanalyzer.com, allez dans "DNS Records" pour générer votre enregistrement DMARC. Seules les balisesv (version) et p (policy) sont nécessaires.
3. Choisissez une politique DMARC
Trois paramètres de politique, ou dispositions de message, sont possibles :
- aucune politique: Vous souhaitez simplement contrôler les résultats de DMARC et vous ne voulez pas prendre de mesures spécifiques pour tous les courriels qui échouent. Vous pouvez utiliser la politique "none" pour commencer avec DMARC et rassembler tous les rapports DMARC et commencer à analyser ces données.
- politique de quarantaine: Vous mettez en quarantaine les courriels qui échouent aux contrôles. La plupart de ces courriels finiront dans le dossier indésirable du destinataire.
- politique de rejet: Vous pouvez rejeter tous les courriels qui échouent au contrôle DMARC. Les destinataires du courrier électronique doivent effectuer cette opération "au niveau SMTP". Les courriels rebondiront directement au cours du processus d'envoi.
Choisissez l'une des trois politiques DMARC pour définir la manière dont vous voulez que les destinataires du courrier électronique traitent les courriers électroniques qui échouent aux contrôles DMARC de votre enregistrement DMARC.
Pour réduire le risque de blocage du courrier légitime, la meilleure pratique consiste à appliquer ces politiques progressivement, en commençant par aucune, en passant à la quarantaine et en n'adoptant le rejet que lorsque vous êtes sûr que toutes les sources d'envoi sont correctement authentifiées. Cette approche progressive vous donne le temps de valider les schémas de circulation et de résoudre les problèmes avant que l'application ne devienne plus stricte.
Le mode d'alignement (aspf / adkim) fait référence à la précision avec laquelle les enregistrements de l'expéditeur sont comparés aux signatures SPF et DKIM, les deux valeurs possibles étant relaxed ou strict, représentées respectivement par "r" et "s". En bref, le terme "relaxed" autorise les correspondances partielles, comme les sous-domaines d'un domaine donné, tandis que le terme "strict" exige une correspondance exacte.
Veillez à indiquer votre adresse électronique avec le tag rua optionnel pour recevoir les rapports quotidiens.
4. Ajoutez l'enregistrement DMARC à votre DNS
La création d'un enregistrement TXT avec le nom et la valeur appropriés est différente pour chaque hôte de domaine. Contactez-nous si vous avez besoin d'aide pour le mettre en place avec votre fournisseur.
Il devrait être assez simple et pourrait ressembler à ce qui suit dans le générateur :
| Utilisez le générateur d'enregistrements DMARC pour créer votre propre enregistrement DMARC. |
| Utilisez le DMARC Record Checker pour afficher, tester et vérifier la validité de votre enregistrement DMARC. |
| Utilisez les guides de configuration des enregistrements pour savoir comment configurer votre enregistrement DMARC pour des hébergeurs spécifiques. |
| Logiciel d'analyse DMARCconvivial |
5. Analysez vos rapports DMARC
Les rapports quotidiens sont présentés au format XML. Lisez-les pour mieux comprendre votre flux de courrier. Les rapports vous permettent de vous assurer que vos sources de courrier sortant s'authentifient correctement. Assurez-vous que les différentes adresses IP qui envoient des courriels prétendant provenir de votre domaine sont bien légitimes, configurez-les correctement avec DKIM ou ajoutez-les à leur gamme SPF. Les rapports aident également les administrateurs à prendre des mesures rapides lorsqu'ils disposent d'une politique de blocage en cas de mise en ligne d'une nouvelle source de courrier ou de rupture de la configuration d'une source de courrier existante.
Voici un extrait d'un rapport présentant les résultats des messages envoyés à partir de deux adresses IP, l'une envoyée directement et l'autre transférée. Les deux messages sont passés :
<record>
<row>
<source_ip>207.126.144.129</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
</policy_evaluated>
</row>
<identities>
<header_from>yourdomain.com</header_from>
</identities>
<auth_results>
<dkim>
<domain>yourdomain.com</domain>
<result>pass</result>
<human_result></human_result>
</dkim>
<spf>
<domain>yourdomain.com</domain>
<result>pass</result>
/spf>
</spf>
</auth_results>
</record>
<record>
<row>
<source_ip>.126.144.131</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<reason>
<type>forwarded</type>
<comment></comment>
</reason>
</policy_evaluated>
</row>
<identities>
<header_from>yourdomain.com</header_from>
</identities>
<auth_results>
<dkim>
<domain>yourdomain.com</domain>
<result>pass</result>
<human_result></human_result>
</dkim>
<spf>
<domain>yourdomain.com</domain>
<result>pass</result>
< /spf
</spf>
</auth_results>
</record>
6. Déployez progressivement votre politique DMARC
Nous vous recommandons vivement d'augmenter progressivement l'utilisation de DMARC en appliquant ces politiques dans l'ordre suivant. Tout d'abord, surveillez votre trafic et recherchez les anomalies dans les rapports, comme les messages qui ne sont pas encore signés ou qui sont peut-être usurpés. Ensuite, lorsque les résultats vous conviennent, modifiez le paramètre de stratégie de l'enregistrement TXT en le faisant passer de "aucun" à "quarantaine". Examinez à nouveau les résultats, cette fois-ci dans votre capture de spam et dans les rapports DMARC quotidiens. Enfin, une fois que vous êtes absolument certain que tous vos messages sont signés, modifiez le paramètre de la politique en le faisant passer à "rejeter" afin d'utiliser pleinement DMARC. Revoir les rapports pour s'assurer que les résultats sont acceptables.
De même, la balise optionnelle pct peut être utilisée pour mettre en scène et échantillonner votre déploiement DMARC. Étant donné que la valeur par défaut est de 100%, si vous indiquez "pct=20" dans votre enregistrement DMARC TXT, un cinquième de tous les messages concernés par la politique recevront la disposition au lieu de la totalité. Ce paramètre est particulièrement utile lorsque vous décidez de mettre le courrier électronique en quarantaine et de le rejeter. Commencez par un pourcentage plus faible et augmentez-le tous les deux ou trois jours.
Ainsi, un cycle de déploiement prudent ressemblerait à ce qui suit :
- Surveillez tout.
- Quarantaine 1%.
- Quarantaine 5%.
- Quarantaine 10%.
- Quarantaine 25%.
- Quarantaine 50%.
- Mettez-les tous en quarantaine.
- Rejeter 1%.
- Rejeter 5%.
- Rejeter 10%.
- Rejeter 25%.
- Rejeter 50%.
- Rejeter tout.
Essayez de supprimer les pourcentages pour terminer le déploiement. Comme toujours, passez en revue vos rapports quotidiens.
7. Maintenir une conformité et une sécurité permanentes
La mise en place de DMARC n'est qu'un début. Une gestion continue est essentielle pour que votre domaine reste protégé. Au fil du temps, de nouveaux services d'envoi de courrier électronique peuvent être ajoutés, ou les services existants peuvent changer de comportement. C'est pourquoi des audits réguliers de vos enregistrements DMARC, SPF et DKIM sont nécessaires pour s'assurer que tout reste aligné et que votre authentification DMARC reste intacte. Maintenez la conformité en examinant périodiquement les enregistrements DNS de votre domaine et en confirmant que toutes les sources de courrier autorisées continuent de passer les contrôles d'authentification.
Il est également important de mettre à jour les balises rua et ruf si vos adresses de notification ou votre infrastructure changent, afin d'éviter de manquer des données de notification DMARC essentielles. Cette diligence permanente permet de mettre en place une configuration DMARC saine qui s'adapte à la croissance de votre organisation. Le fait de se tenir au courant des normes de sécurité du courrier électronique en constante évolution permet de se protéger contre les menaces d'usurpation d'identité, d'améliorer la délivrabilité du courrier électronique et de renforcer la réputation de votre domaine en tant qu'expéditeur. Utilisez régulièrement les outils de validation DMARC pour détecter les problèmes avant qu'ils n'affectent la distribution des messages.
Vous souhaitez créer votre propre enregistrement DMARC ?
| Utilisez le générateur d'enregistrements DMARC pour créer votre propre enregistrement DMARC. |
Les erreurs courantes de configuration de DMARC à éviter
1. Ignorer les rapports DMARC
Sans examen des rapports, les problèmes d'authentification passent inaperçus. Les données agrégées mettent en évidence les expéditeurs non autorisés, les mauvaises configurations et les lacunes de l'infrastructure de messagerie électronique qui apparaissent généralement au début de l'adoption. L'analyse régulière des rapports guide les ajustements de la politique et réduit les échecs d'authentification, garantissant un chemin sans encombre vers une configuration DMARC plus stricte.
2. SPF ou DKIM manquant pour un service expéditeur
Si un seul système légitime n'est pas authentifié, des échecs DMARC se produisent et peuvent déclencher des échecs d'authentification plus larges dans votre environnement. De nombreuses entreprises oublient d'authentifier les systèmes secondaires tels que les plateformes de facturation, les outils de marketing ou les courriels générés par les systèmes de gestion de la relation client. Chaque service doit être ajouté à SPF ou configuré avec sa propre clé DKIM dans le cadre de votre configuration DMARC pour assurer une couverture complète.
3. Domaines "de" mal alignés
L'adresse "From" visible doit être alignée sur les domaines de signature SPF et DKIM afin d'éviter les échecs DMARC. L'alignement échoue lorsque des expéditeurs tiers utilisent leurs propres domaines par défaut ou lorsque les sous-domaines connectés à un domaine personnalisé ne sont pas inclus dans la conception de la politique. En garantissant une utilisation cohérente du domaine dans tous les outils, vous éviterez les lacunes qui pourraient compromettre les paramètres et l'application de DMARC.
4. Une application trop stricte et trop précoce
Si vous activez le rejet trop tôt, vous risquez d'interrompre les courriels et les flux de travail légitimes des clients. La plupart des organisations ont besoin d'un déploiement progressif, en commençant par ne pas collecter de données et en renforçant progressivement l'application de la loi. Une approche progressive garantit que tous les expéditeurs sont authentifiés avant d'être mis en quarantaine ou rejetés, ce qui permet à votre configuration DMARC de rester stable tout au long de la transition.
5. Utilisation d'une politique sans rapport
Une autre erreur courante consiste à publier un enregistrement DMARC tel que V=DMARC1, p=none, mais à ne pas inclure les adresses de notification. Bien que les courriels soient toujours délivrés dans le cadre d'une politique "none", les organisations ne reçoivent aucun rapport global ou judiciaire si aucune adresse rua ou ruf n'est définie. Sans ces rapports d'authentification, les équipes restent aveugles aux tentatives d'usurpation, aux expéditeurs mal alignés et aux lacunes de configuration, ce qui rend difficile la validation ou le renforcement de l'application de DMARC au fil du temps.
Mon flux de courrier électronique est-il correctement configuré ?
Lors de la mise en œuvre de DMARC, vous utiliserez les données DMARC pour analyser vos flux de courrier électronique actuels. Vous pouvez le faire en contrôlant les données et en vérifiant que vos sources d'envoi sont correctement configurées.
Veuillez noter que si vous testez un enregistrement DNS mis à jour (DKIM ou SPF), il peut y avoir un cache DNS qui influence le résultat. Les mises à jour de votre enregistrement SPF doivent toujours être testées avant d'être effectuées à l'aide de notre vérificateur de prévalidation SPF.
Logiciel d'analyse DMARC convivial
Mimecast fournit un logiciel d'analyse DMARC facile à utiliser et agit en tant que guide expert pour vous faire évoluer vers une politique de rejet le plus rapidement possible. DMARC Analyzer est une solution SaaS qui permet aux organisations de gérer facilement un déploiement DMARC complexe. La solution offre une visibilité et une gouvernance à 360° sur l'ensemble des canaux de messagerie. Tout est conçu pour vous faciliter la tâche.
| Utilisez le générateur d'enregistrements DMARC pour créer votre propre enregistrement DMARC. |
| Utilisez le DMARC Record Checker pour afficher, tester et vérifier la validité de votre enregistrement DMARC. |
| Utilisez les guides de configuration des enregistrements pour savoir comment configurer votre enregistrement DMARC pour des hébergeurs spécifiques. |
| Logiciel d'analyse DMARCconvivial |
Mimecast fournit un logiciel d'analyse DMARC facile à utiliser et agit en tant que guide expert pour vous faire évoluer vers une politique de rejet le plus rapidement possible.
