Qu'est-ce qu'un enregistrement DNS DMARC ?

Dernière mise à jour sur 24 janv. 2024 à 16:33:12.
Catégorie: E-mail | Tout savoir sur les noms de domaine

DNS E-mail spam

Pourquoi créer un enregistrement DMARC ?

Vous avez probablement déjà entendu parler d'un enregistrement SPF. Grâce à un enregistrement SPF, le destinataire sait si le serveur de messagerie qui a envoyé le message original était autorisé à envoyer ce courrier.

Si vous souhaitez en savoir plus sur l'enregistrement SPF, nous vous conseillons de lire l'article suivant.

Voilà pour l'impact d'un enregistrement SPF... mais qu'en est-il de l'adresse électronique de l'expéditeur ? C'est là qu'intervient la politique DMARC.
En configurant un enregistrement DMARC(Domain-based Message Authentication, Reporting and Conformance) avec une"politique" correcte, le serveur de messagerie récepteur peut également vérifier comment une adresse électronique From : doit être traitée et comment elle doit être signalée à l'administrateur du serveur de messagerie expéditeur.

Que fait exactement une politique DMARC ?

Une politique DMARC permet à un expéditeur d'indiquer que son nom de domaine est sécurisé par des enregistrements SPF et/ou DKIM et indique au destinataire ce qu'il doit faire si aucune de ces méthodes d'autorisation n'aboutit.

Une politique détermine ce qui se passe en cas de correspondance incorrecte des valeurs SPF et/ou DKIM : rejeter le message électronique ou le mettre en quarantaine.

Qu'est-ce que l'alignement ?

Le terme "alignement" revient souvent dans la configuration de DMARC.
Plus précisément, il s'agit de la relation entre l'adresse électronique "From:" visible par le client et l'adresse utilisée entre les serveurs.
Si les deux correspondent, les adresses sont alignées et seront traitées correctement par la politique DMARC. Dans le cas contraire, la politique DMARC échoue et les règles de signalement peuvent ou non prendre effet.

À quoi ressemble un enregistrement DNS DMARC ?

Un enregistrement DMARC minimal est "présent" dans la zone de nom de domaine, mais ne contient pas de politique spécifique.

nslookup -type=TXT _dmarc.votredomaine.be

Cela peut renvoyer la politique de base suivante :

_dmarc.votredomaine.be. IN TXT "v=DMARC1; p=none;"

Il s'agit de l'enregistrement DMARC le plus simple que vous puissiez définir : il n'a aucune incidence sur la distribution de votre courrier électronique, mais n'offre aucune protection.
Toutefois, si vous ajoutez une règle de signalement (voir ci-dessous), vous pouvez être tenu informé de tout retour d'information.

Un enregistrement de rapport de base :

_dmarc.votredomaine.be. IN TXT "v=DMARC1; p=none; rua=mailto:postmaster@votredomaine.be;"

Cet enregistrement fournit un rapport sommaire à postmaster@votredomaine.be sous la forme d'un fichier XML.

Un enregistrement DMARC plus complet et plus complexe peut ressembler à ceci :

_dmarc.votredomaine.be. IN TXT "v=DMARC1; p=quarantine; fo=0; pct=25; adkim=r; aspf=r; rua=mailto:postmaster@votredomaine.be;"

Concrètement, cela signifie

v: la version du protocole DMARC.

p: la politique appliquée, qui peut être aucune, la quarantaine (informe le destinataire que le message qui ne répond pas au contrôle doit être traité comme suspect, de sorte qu'il peut être étiqueté ou placé dans un dossier spam/junk) et enfin le rejet (rejette le message qui ne répond pas au contrôle).

pct: le pourcentage de courrier qui doit être mis en quarantaine dans ce cas : 25% sera traité comme suspect, 75% se verra attribuer la politique "none" et passera donc. En augmentant le pourcentage, vous pouvez rendre la politique plus stricte.

fo: la valeur fo est facultative ; elle signifie "failure reporting options" et spécifie le type de rapports à envoyer. Les valeurs possibles sont les suivantes
f=0
: envoi d'un rapport si tous les mécanismes d'authentification sous-jacents refusent de laisser passer le courrier (valeur par défaut).
f=1
: envoi d'un rapport si l'un des mécanismes d'authentification sous-jacents (SPF ou DKIM) refuse de laisser passer le courrier (recommandé).
f=d
: génère un rapport si la signature DKIM est incorrecte, quel que soit l'alignement.
f=s
: génère un rapport si l'enregistrement SPF donne lieu à une erreur, quel que soit l'alignement.
Le paramètre fo peut également être combiné, si vous souhaitez recevoir différents types de rapports, par exemple. Les valeurs doivent alors être placées avec : dans l'enregistrement : f=0:1:s.

adkim: peut être "r" ou "s" et signifie spécifiquement que les règles DKIM sont"strictes" ou"détendues".

aspf: cette valeur peut être "r" ou "s" et signifie que les règles SPF sont"strictes" ou"détendues".

rua: indique où les rapports de synthèse doivent arriver, dans ce cas mailto:postmaster@votredomaine.be, de sorte que les courriers contenant des rapports XML arriveront à l'adresse postmaster@votredomaine.be.

Comment mettre en place une politique DMARC ?

Il est préférable d'introduire progressivement une politique DMARC afin d'éviter les problèmes de distribution du courrier.
Chaque politique a ses propres conséquences et limites :

p=none: aucune protection, les courriers seront toujours envoyés et peuvent inclure des rapports de base.

p=quarantine: introduit une protection partielle et constitue une étape importante dans la mise en œuvre d'une politique correcte ; informe également le destinataire de ce qu'il doit faire des messages suspects.

p=reject: le niveau de protection le plus élevé, informe les destinataires que tous les messages suspects provenant de votre domaine seront immédiatement rejetés et que les messages rejetés peuvent être renvoyés à l'expéditeur.

Nous recommandons donc de commencer par une politique simple telle que :

_dmarc.votredomaine.be. IN TXT "v=DMARC1; p=none; rua=mailtopostmaster@votredomaine.be;"

et d'augmenter progressivement cette politique jusqu'à :

_dmarc.votredomaine.be. IN TXT "v=DMARC1; p=quarantine; pct=25; rua=mailtopostmaster@votredomaine.be;"

Puis élaborer une politique de rejet:

_dmarc.votredomaine.be. IN TXT "v=DMARC1; p=reject; pct=1; rua=mailtopostmaster@votredomaine.be;"

Vous pouvez augmenter le pourcentage au fur et à mesure de la configuration (par exemple de 1% à 25%, à 50% etc).
Attention, un politique "reject" de 100% signifie que les courriers dont les enregistrements ne sont pas alignés seront refusés, mais aussi que les courriers envoyés n'arriveront pas si la configuration n'est pas correcte !

Besoin d'aide pour configurer un enregistrement DMARC correct ?

La configuration d'un enregistrement DNS DMARC n'est pas facile et peut avoir des conséquences majeures sur la distribution du courrier à votre nom de domaine.

Par conséquent, en cas de doute, choisissez la sécurité et contactez un spécialiste Kinamo pour vous guider dans la mise en place d'une stratégie et d'une politique DMARC correctes.


Articles connexes

Je reçois une notification que ma boîte aux lettres est pleine, que dois-je faire ?

Le serveur de messagerie Kinamo envoie automatiquement une notification lorsque votre adresse e-mail est à 95% de sa capacité. Dans...

En savoir plus

Paramètres des serveurs mail Kinamo (feuille de triche)

L'article suivant vous donne un résumé de la configuration et noms du serveurs mail de Kinamo. Avec la liste ici...

En savoir plus

Les courriers envoyés à gmail.com n'arrivent pas au destinataire

Les messages envoyés à une adresse gmail.com n'arrivent pas au destinataire. L'expéditeur reçoit en retour un message d'erreur indiquant que...

En savoir plus

Besoin d'aide supplémentaire?

Vous n'avez pas obtenu de réponse à toutes vos questions?
Ne vous inquiétez pas, faites une demande d'assistance!

Sélectionnez votre langue

Toutes les langues: