Qu’est-ce que DMARC ?

DMARC (Domain-based Message Authentication, Reporting, and Conformance) est un protocole d'authentification de courrier électronique qui aide les FAI à vérifier l'identité de l'expéditeur et empêche l'usurpation d'identité de domaine.

À quelle fréquence dois-je vérifier mon enregistrement DMARC ?

Vérifiez votre enregistrement DMARC chaque fois que vous changez de fournisseur d'envoi d'e-mails ou que vous souhaitez vérifier que vos politiques d'authentification actuelles sont correctement publiées.

Quelle est la différence entre la politique principale et la politique de sous-domaine ?

La politique principale s'applique à votre domaine racine, tandis que la politique de sous-domaine s'applique aux sous-domaines tels que « mail.example.com ». Vous pouvez définir des politiques différentes pour chacun.

Dois-je utiliser « aucun », « quarantaine » ou « rejeter » ?

Commencez par « aucun » pour surveiller les résultats, passez à « quarantaine » pour une application modérée et utilisez « rejeter » uniquement lorsque vous êtes sûr de votre configuration SPF et DKIM.

Vérifiez votre enregistrement DMARC

Vérifiez gratuitement votre enregistrement DNS DMARC (Domain-based Message Authentication). Protégez votre domaine contre toute utilisation non autorisée.

Qu'est-ce que le DMARC ?

DMARC (Domain-based Message Authentication, Reporting & Conformance) est défini dans la norme RFC 7489. Il s'appuie sur le SPF et le DKIM en ajoutant deux capacités clés : une politique qui indique aux destinataires comment gérer le courrier non authentifié (surveiller, mettre en quarantaine ou rejeter) et un mécanisme de rapport qui vous envoie des rapports XML sur l'identité des expéditeurs utilisant votre domaine et la réussite ou l'échec de leur authentification.

Crucialement, DMARC ajoute le concept d'**alignement** — le domaine dans l'en-tête « From » visible de l'e-mail doit correspondre au domaine authentifié par SPF ou DKIM. Cela empêche les attaquants de réussir SPF/DKIM sur un domaine différent tout en usurpant votre domaine dans l'en-tête From.

Pourquoi avez-vous besoin du DMARC ?

1Protection de l'en-tête From

Le SPF et le DKIM seuls ne protègent pas l'adresse From visible — le DMARC comble cette lacune avec l'alignement

2Politique d'application

Vous décidez de ce qu'il advient du courrier en échec : le surveiller, l'envoyer en spam ou le rejeter purement et simplement

3Rapports agrégés

Les rapports XML quotidiens (RUA) montrent chaque IP envoyant du courrier avec votre domaine et les taux de réussite/échec

4Rapports forensiques

Les rapports d'échec (RUF) envoient une copie caviardée des messages individuels en échec pour enquête

5Requis par Google/Yahoo

Depuis février 2024, les expéditeurs de masse doivent avoir au minimum DMARC p=none pour atteindre les boîtes de réception Gmail/Yahoo

6Protection de la marque

Empêche les e-mails de phishing qui usurpent votre marque d'atteindre vos clients

Comment fonctionne le DMARC — étape par étape

Vous publiez un enregistrement TXT DMARC sur `_dmarc.votre-domaine.com` spécifiant votre politique et les adresses de rapport.

Un message arrive au serveur récepteur. Il exécute les vérifications SPF et DKIM indépendamment.

L'alignement DMARC est testé : le domaine authentifié (par SPF ou DKIM) correspond-il au domaine de l'en-tête From ?

Si l'un ou l'autre de SPF+alignement OU DKIM+alignement réussit, DMARC réussit pour le message.

Si les deux échouent, le récepteur applique votre politique : none (livrer), quarantine (dossier spam) ou reject (rebond).

Le récepteur collecte les données d'authentification pour votre domaine et envoie des rapports agrégés (RUA) ou forensiques (RUF) aux adresses spécifiées.

Syntaxe de l'enregistrement DMARC

Enregistrement DNS TXT sur _dmarc.votre-domaine.com

v=DMARC1; p=quarantine; pct=100; sp=reject;
            rua=mailto:dmarc-reports@votre-domaine.com;
            ruf=mailto:dmarc-failures@votre-domaine.com;
            adkim=s; aspf=s; fo=1

Référence des balises

v=DMARC1— version, requis

p=— politique pour le domaine

sp=— politique pour les sous-domaines

pct=— % de messages en échec auxquels la politique s'applique

rua=— destinataires des rapports agrégés (mailto:)

ruf=— destinataires des rapports forensiques (mailto:)

adkim=— alignement DKIM : r=relaxed, s=strict

aspf=— alignement SPF : r=relaxed, s=strict

fo=— options de rapport d'échec (0,1,d,s)

ri=— intervalle de rapport en secondes (86400 par défaut)

Les trois politiques DMARC

p=none

Surveillance uniquement. Le courrier en échec est livré normalement. À utiliser au début pour recueillir des rapports avant l'application.

p=quarantine

Le courrier en échec va dans le dossier spam/courrier indésirable. Une étape intermédiaire avant le rejet complet.

p=reject

Le courrier en échec est rejeté au niveau SMTP et n'est jamais livré. La protection la plus forte.

L'alignement DMARC expliqué

Alignement assoupli (par défaut)

Le domaine authentifié peut être un parent organisationnel. Par ex : mail.votre-domaine.com passe pour votre-domaine.com

Alignement strict

Le domaine authentifié doit correspondre exactement au domaine From. mail.votre-domaine.com ne passe PAS pour votre-domaine.com

Échecs DMARC courants et solutions

Échec d'alignement SPF

Le domaine de l'enveloppe From (return-path) ne correspond pas à l'en-tête From — courant avec les ESP utilisant leur propre return-path

Échec d'alignement DKIM

Le domaine d= dans la signature DKIM ne correspond pas au domaine From visible — configurez votre ESP pour signer avec votre domaine

Adresse RUA manquante

Sans rua=, vous n'avez aucun rapport ni visibilité — incluez toujours au moins une adresse de rapport

Sous-domaines non couverts

Ajoutez sp=reject pour étendre votre politique aux sous-domaines, ou publiez des enregistrements DMARC distincts par sous-domaine

FAQ

Foire aux questions

DMARC (Domain-based Message Authentication, Reporting, and Conformance) est un protocole d'authentification d'e-mail crucial qui fonctionne avec SPF et DKIM. Il donne des instructions aux serveurs de messagerie récepteurs sur la manière de traiter les e-mails qui échouent aux contrôles d'authentification, empêchant ainsi des tiers non autorisés d'usurper votre domaine et protégeant la réputation de votre marque.

Un testeur DMARC vérifie que votre enregistrement est correctement formaté et publié dans vos paramètres DNS. En vous assurant que votre politique DMARC est active (idéalement vers p=reject), vous signalez aux FAI comme Google et Outlook que vos e-mails sont légitimes, ce qui réduit considérablement les chances que vos messages soient marqués comme spam ou bloqués.

La politique 'quarantine' demande au serveur récepteur de livrer les e-mails qui échouent au DMARC dans le dossier spam du destinataire. La politique 'reject' est plus sécurisée, car elle demande au serveur de rejeter entièrement l'e-mail, garantissant qu'il n'atteigne jamais le destinataire. Les deux politiques sont des étapes essentielles pour sécuriser le flux d'e-mails de votre domaine.

L'alignement DMARC se produit lorsque le domaine dans l'en-tête 'From' correspond au domaine validé par SPF ou DKIM. Sans un alignement correct, même un contrôle SPF ou DKIM valide peut entraîner un échec DMARC. L'alignement garantit que l'adresse d'expéditeur visible est celle qui a été réellement authentifiée.

Si vous ne recevez pas de rapports, vérifiez la balise 'rua' de votre enregistrement DMARC. Elle doit contenir un URI mailto: valide. Assurez-vous également que votre enregistrement DNS a été propagé et que l'adresse e-mail de destination est capable de recevoir des rapports DMARC externes.

Les modifications DMARC dépendent des paramètres TTL (Time to Live) de votre enregistrement DNS. Bien que la mise à jour se produise presque instantanément à la source, la propagation mondiale peut prendre de quelques minutes à 48 heures.