Configurer le DMARC

Le DMARC s'appuie sur deux mécanismes existants, le SPF et le DKIM. Il permet au propriétaire administratif d'un domaine de publier une politique sur le mécanisme (DKIM, SPF ou les deux) utilisé pour l'envoi de courrier électronique à partir de ce domaine et sur la manière dont le destinataire doit faire face aux défaillances.

À un niveau élevé, le DMARC est conçu pour répondre aux exigences suivantes :

  •    Minimiser les faux positifs.
  •    Fournir des rapports d'authentification solides.
  •    Faire valoir la politique de l'expéditeur auprès des destinataires.
  •    Réduire le nombre de réussites d’hameçonnage.
  •    Travailler à l'échelle d'Internet
  •    Minimiser la complexité.

Anatomie d'un enregistrement de ressource DMARC dans le DNS:

Les politiques DMARC sont publiées dans le DNS sous la forme d'enregistrements de ressources textuelles (TXT records) et énoncent ce qu'un destinataire de courrier électronique doit faire du courrier non aligné qu'il reçoit.

v=DMARC1;p=none;rua=mailto:postmaster@dmarcdomain.com

Configurer une politique DMARC de 'none' (néant)

Étapes pour établir et mettre en œuvre un enregistrement DMARC :

Contactez l'administrateur du système de noms de domaine (DNS) de votre entreprise.

Demandez à votre administrateur DNS de créer un enregistrement TXT dans le DNS pour _dmarc [votre-domaine] avec votre enregistrement DMARC.

Utilisez la syntaxe suivante dans l'enregistrement TXT DMARC :

        v=DMARC1 ; p=none ; fo=1 ; rua=mailto:entrez votre adresse électronique ; ruf=entrez votre adresse électronique 

Par exemple : 

        v=DMARC1 ; p=none ; fo=1 ; rua=mailto:dmarc_rua@auth.returnpath.net ; ruf=mailto:dmarc_ruf@auth.returnpath.net

Veillez à saisir vos adresses électroniques après "mailto :". Ces adresses sont celles où les rapports sont envoyés.

Si vous travaillez avec un fournisseur de services de messagerie ou une autre tierce partie qui recevra les rapports DMARC en votre nom, demandez-leur quelles adresses électroniques vous devez utiliser.

v=DMARC1 indique la version du protocole.

L'enregistrement DMARC suggéré ci-dessus comprend une politique « néant » (p=none). Cela signifie que vous ne donnez pas d'instructions aux fournisseurs de boîtes aux lettres pour qu'ils prennent des mesures à l'égard de votre courrier électronique dont l'authentification échoue. 

fo permet aux fournisseurs de boîtes aux lettres de savoir que vous voulez des échantillons de messages électroniques qui ont échoué à l'authentification SPF et/ou DKIM :

  • Utilisez la valeur fo = 0 pour recevoir un rapport en cas d'échec de SPF et DKIM. (par défaut)
  • Utilisez fo =1 pour recevoir un rapport si le SPF ou le DKIM échoue. (recommandé)

rua contient l'adresse où vous souhaitez recevoir les rapports résumés.

ruf contient l'adresse où vous souhaitez recevoir les rapports forensiques.

Pour commencer à recevoir les rapports DMARC sans impact sur votre programme de courrier électronique, nous vous suggérons de publier l'enregistrement avec p=none. 

Assurez-vous d'avoir au moins un enregistrement A, un enregistrement Mail Exchange (MX) ou un enregistrement AAAA dans le DNS du domaine si vous prévoyez de l'utiliser pour envoyer du courrier électronique.

Après avoir mis en place le DMARC, nous vous recommandons de surveiller vos domaines pendant au moins 30 jours. Cela peut vous aider à vous assurer que votre propre courrier électronique légitime s'authentifie correctement avant de décider de mettre en œuvre une politique de rejet (p=reject) ou de quarantaine (p=quarantine).

 

Communication d'informations sur la destination

Le DMARC permet d'envoyer des rapports à plusieurs adresses de destination. Cependant, vous devez éviter d'utiliser plus de deux destinations différentes, car de nombreux fournisseurs de boîtes aux lettres n'envoient pas de rapports à plus de deux adresses. 

Dans le cas où plusieurs adresses de courrier électronique sont nécessaires pour les rapports DMARC, chaque destination doit être indiquée dans les blocs de déclaration RUA et RUF dans l'enregistrement DMARC. En outre, chaque destination doit être délimitée par une virgule dans les blocs RUA et RUF. 

Note : N'indiquez pas plusieurs déclarations RUA et RUF, sinon votre enregistrement DMARC sera considéré comme incorrect et les rapports ne seront pas générés.

Exemple d'enregistrement DMARC correct avec plusieurs destinations de déclaration :

v=DMARC1;p=none;fo=1;

rua=mailto:dmarc_agg@auth.returnpath.net,mailto:dmarc_aggdata@exampledestination.com;

ruf=mailto:dmarc_afrf@auth.returnpath.net,mailto:dmarc_forensic@exampledestination.com

Exemple d'enregistrement DMARC incorrect avec plusieurs destinations de signalement :

v=DMARC1;p=none;fo=1;

rua=mailto:dmarc_agg@auth.returnpath.net,rua=mailto:dmarc_aggdata@exampledestination.com;

ruf=mailto:dmarc_afrf@auth.returnpath.net,ruf=mailto:dmarc_forensic@exampledestination.com

Configurer une politique DMARC de 'quarantine' (quarantaine)

En mode de quarantaine, les utilisateurs reçoivent toujours les courriers (par opposition à la politique de "rejet"), mais ils sont directement envoyés dans le dossier spam.

Les utilisateurs doivent récupérer manuellement un courrier suspect et peuvent ensuite le marquer comme "sûr". Vous devez mettre à jour vos dossiers en conséquence.

Vous trouverez de plus amples informations sur le DMARC à l'adresse suivante : https://dmarc.org/overview/

Configurer une politique DMARC de 'reject' (rejet)

Prenons un exemple d’enregitrement DMARC TXT pour le domaine "sender.dmarcdomain.com" qui dit

"v=DMARC1;p=rejet;pct=100;rua=mailto:postmaster@dmarcdomain.com"

Dans cet exemple, l'expéditeur demande au destinataire de rejeter tous les messages non alignés et d'envoyer un rapport, dans un format global spécifié, sur les rejets à une adresse donnée.

Les enregistrements DMARC suivent la syntaxe extensible "tag-value" pour les enregistrements clés basés sur le DNS définis dans DKIM. Le tableau suivant illustre certaines des balises disponibles :

v          Version du protocole                                                  v=DMARC1

pct       Pourcentage de messages soumis à un filtrage         pct=20

ruf       Adresse pour les rapports forensiques                      ruf=mailto:authfail@example.com

rua       Adresse pour les rapports résumés                            rua=mailto:aggrep@example.com

p          Politique pour le Domaine Organisationnel               p=quarantine

sp        Politique pour les sous-domaines du DO                   sp=reject

adkim Mode d'alignement pour DKIM                                  adkim=s

aspf     Mode d'alignement pour le SPF                                 aspf=r