Enregistrement DMARC, images d'entête de blogue par IA.

Guide complet sur les enregistrements DMARC pour protéger vos courriels

par

Daniel Berthiaume
dans ,

Mise à jour le :

Introduction : Qu’est-ce que DMARC et pourquoi est-il essentiel ?

C’est là que DMARC entre en jeu. Ce protocole, dont le nom complet est Domain-based Message Authentication, Reporting & Conformance, protège les courriels envoyés depuis votre domaine.

DMARC, quant à lui, vérifie l’origine des messages et applique des règles de conformité définies par le propriétaire du domaine. Grâce à ce protocole, il devient possible de bloquer efficacement les messages frauduleux. En parallèle, DMARC renforce la crédibilité de votre domaine et, par conséquent, améliore la délivrabilité de vos courriels.

Dans cet article, nous verrons ensemble les éléments clés d’un enregistrement DMARC, à quoi ils servent, et comment bien les configurer.

Qu’est-ce qu’un enregistrement DMARC ?

Un enregistrement DMARC est une entrée DNS (Domain Name System) qui s’appuie sur les enregistrements SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail). DMARC permet de valider l’authenticité des courriels envoyés en vérifiant que le message provient d’une source autorisée. En cas d’échec, DMARC permet également de définir des règles de traitement du message, comme le mettre en quarantaine ou le rejeter.

Pourquoi configurer un enregistrement DMARC ?

L’implémentation de DMARC apporte de nombreux avantages :

  • Protection contre le phishing et le spoofing : DMARC empêche les cybercriminels d’usurper votre identité pour tromper vos clients ou partenaires.
  • Amélioration de la réputation de votre domaine : Les serveurs de réception identifient mieux les courriels de confiance.
  • Amélioration de la délivrabilité des courriels : En sécurisant votre domaine et en respectant DMARC, vous augmentez vos chances que vos courriels arrivent dans la boîte de réception.

Comment configurer un enregistrement DMARC ?

1. Configurez vos enregistrements SPF et DKIM

Avant de mettre en place DMARC, assurez-vous d’avoir configuré correctement les enregistrements SPF et DKIM, car ils sont nécessaires au fonctionnement de DMARC. Le protocole SPF précise quels serveurs sont autorisés à envoyer des courriels en votre nom. Tandis que DKIM ajoute une signature numérique pour confirmer que le message n’a pas été modifié en cours de route.

2. Créez votre enregistrement DMARC

Un enregistrement DMARC est une entrée DNS que vous devez configurer dans la zone DNS de votre domaine. Concrètement, il contient plusieurs paramètres qui déterminent le comportement de la politique DMARC. Ces paramètres permettent, entre autres, de définir comment les serveurs de réception doivent traiter les courriels qui échouent aux vérifications d’authenticité.. Voici un exemple d’enregistrement DMARC avec une explication de chaque élément :

v=DMARC1; p=none; rua=mailto:dmarc-reports@votredomaine.com; ruf=mailto:dmarc-failures@votredomaine.com; pct=100; rf=afrf; ri=86400; adkim=s; aspf=r; fo=1

Décomposons cet enregistrement :

  • v=DMARC1 : Indique la version du protocole DMARC. Cela doit toujours être « DMARC1 ».
  • p=none : La politique de traitement des courriels non conformes, qui peut être configurée avec none (observation), quarantine (quarantaine), ou reject (rejet).
  • rua=mailto@votredomaine.com : L’adresse de réception des rapports agrégés DMARC, qui résume l’activité sur votre domaine.
  • ruf=mailto@votredomaine.com : L’adresse de réception des rapports détaillés (forensiques) d’échec, fournissant des informations spécifiques sur chaque courriel qui a échoué. Notez que certains fournisseurs peuvent limiter la fréquence de ces rapports.
  • pct=100 : Le pourcentage de courriels auxquels appliquer la politique DMARC. Utilisez 100 pour appliquer la politique à tous les courriels, ou ajustez le pourcentage si vous souhaitez une approche progressive.

Paramètres Avancés de DMARC

  • rf=afrf : Ce paramètre (report format) définit le format des rapports forensiques. La valeur la plus courante est afrf, qui indique un format de rapport de rétroaction pour l’authentification des courriels.
  • ri=86400 : Ce paramètre (report interval) indique la fréquence d’envoi des rapports agrégés en secondes. Par défaut, 86400 secondes, soit 24 heures, est recommandé pour un rapport quotidien.
  • adkim=s : Ce paramètre définit le mode de correspondance DKIM (aligned DKIM). Les options sont s (strict) ou r (relaxed). s signifie que le sous-domaine doit correspondre exactement au domaine signé par DKIM, tandis que r permet une correspondance plus flexible.
  • aspf=r : Ce paramètre détermine le mode de correspondance SPF (aligned SPF). Comme pour adkim, les options sont s (strict) et r (relaxed). r signifie que les sous-domaines peuvent être alignés de manière flexible, tandis que s exige une correspondance stricte avec le domaine principal.
  • fo=1 : Ce paramètre (failure reporting options) spécifie les conditions dans lesquelles un rapport d’échec doit être généré. Les options incluent :
    • 0 : Pas de rapport d’échec généré.
    • 1 : Un rapport est généré pour tous les échecs SPF et DKIM.
    • d : Un rapport est généré pour les échecs DKIM uniquement.
    • s : Un rapport est généré pour les échecs SPF uniquement.

En combinant ces options, vous pouvez affiner votre enregistrement DMARC pour répondre aux besoins spécifiques de votre domaine et de ses sous-domaines.

3. Choisissez une Politique (Policy)

La politique détermine le traitement des courriels qui échouent la vérification DMARC :

  • p=none : Le système n’applique aucune action aux courriels non conformes provenant du domaine.
  • p=quarantine : Lorsque les courriels du domaine échouent les vérifications, le système de sécurité les marque comme indésirables ou les place en quarantaine
  • p=reject : Les courriels échoués sont directement rejetés par le serveur de réception.

En général, commencez par p=none pour observer les résultats et ajustez progressivement jusqu’à p=reject pour une sécurité maximale.

4. Définir la Politique pour les Sous-domaines (sp)

DMARC vous permet également de spécifier une politique pour les sous-domaines de votre domaine principal. Cela peut être utile si vous souhaitez qu’une politique différente s’applique aux courriels envoyés depuis des sous-domaines (comme support.votredomaine.com) par rapport au domaine principal (votredomaine.com). Pour cela, ajoutez le paramètre sp dans votre enregistrement DMARC.

Voici les options disponibles pour le paramètre sp :

  • sp=none : Le système n’applique aucune action aux courriels non conformes provenant des sous-domaines.
  • sp=quarantine : Lorsque les courriels des sous-domaines échouent les vérifications, le système de sécurité les marque comme indésirables ou les place en quarantaine
  • sp=reject : Les courriels non conformes des sous-domaines sont rejetés.

5. Définissez les Adresses de Rapports

DMARC vous permet de recevoir des rapports d’activité et d’échec pour vos courriels. On utilise deux types d’adresses dans ce contexte :

  • rua : Les rapports agrégés contenant un résumé de l’activité DMARC.
  • ruf : Les rapports de forensique, fournissant des détails sur chaque échec.

Assurez-vous que ces adresses sont valides et capables de recevoir un grand volume de rapports.

6. Ajustez le Pourcentage de Courriels Affectés

Le paramètre pct vous permet de contrôler le pourcentage de courriels auquel appliquer DMARC. Utilisez pct=100 pour appliquer DMARC à tous les courriels, ou réduisez le pourcentage si vous souhaitez tester DMARC progressivement.

Tester et Ajuster Votre Enregistrement DMARC

Une fois votre enregistrement DMARC configuré, surveillez les rapports pour détecter des anomalies. Voici quelques points d’attention :

  • Vérifiez les taux d’échec : Si de nombreux courriels échouent la vérification, cela peut indiquer des erreurs dans la configuration SPF/DKIM ou des activités suspectes.
  • Ajustez la politique : Au besoin, passez d’une politique p=none à p=quarantine ou p=reject pour renforcer la sécurité.
  • Analysez les rapports : Les rapports agrégés vous permettent d’identifier les sources de courriels non conformes et de corriger les éventuels problèmes.

Exemples d’Enregistrements DMARC pour Divers Scénarios

Voici quelques exemples adaptés à différents besoins :

Observation uniquement (p=none)

En mode observation, l’enregistrement DMARC se contente d’enregistrer les courriels échoués dans les rapports, sans appliquer de mesures.

v=DMARC1; p=none; rua=mailto:dmarc-reports@votredomaine.com; pct=100; rf=afrf; ri=86400; adkim=r; aspf=r; fo=0

Détails :

  • Politique principale (p=none) : Le serveur de réception va seulement consignés les courriels échoués du domaine principal pour suivi, sans subir d’action.
  • Rapports agrégés (rua) : Envoyés à dmarc-reports@votredomaine.com.
  • Pourcentage (pct=100) : La politique s’applique à tous les courriels.
  • Format des rapports (rf=afrf) : Les rapports forensiques utilisent le format afrf.
  • Intervalle de rapport (ri=86400) : Les serveurs de courriels vont envoyés un rapport toutes les 24 heures.
  • Correspondance DKIM et SPF (adkim=r, aspf=r) : Correspondance flexible pour DKIM et SPF.
  • Options de rapport d’échec (fo=0) : Le serveur de courriel ne va pas généré de rapport d’échec détaillé.

Quarantaine pour les courriels échoués (p=quarantine)

Cet enregistrement place en quarantaine tous les courriels qui échouent la vérification DMARC.

v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@votredomaine.com; pct=100; rf=afrf; ri=86400; adkim=r; aspf=r; fo=1

Détails :

  • Politique principale (p=quarantine) : Le serveur de réception place en quarantaine les courriels échoués du domaine principal.
  • Rapports agrégés (rua) : Les rapports sont envoyés à l’adresse suivante : dmarc-reports@votredomaine.com. Ces rapports résument l’activité des courriels pour le domaine.
  • Pourcentage d’application (pct=100) : La politique s’applique à 100 % des courriels envoyés. Aucun message n’échappe à la règle.
  • Format des rapports forensiques (rf=afrf) : Les rapports détaillés suivent le format AFRF, une norme pour les rapports d’analyse de courriels.
  • Intervalle de rapport (ri=86400) : Les serveurs de courriels vont envoyés un rapport toutes les 24 heures.
  • Correspondance DKIM et SPF (adkim=r, aspf=r) : La correspondance est dite « relaxée ». Cela permet une certaine flexibilité dans l’alignement des signatures DKIM et SPF.
  • Options de rapport d’échec (fo=1) : Un rapport forensique est généré pour chaque échec de validation DKIM ou SPF, ce qui permet une meilleure analyse.

Rejet des courriels échoués (p=reject)

Cet enregistrement rejette tous les courriels qui échouent la vérification DMARC.

v=DMARC1; p=reject; rua=mailto:dmarc-reports@votredomaine.com; pct=100; rf=afrf; ri=86400; adkim=s; aspf=s; fo=1

Détails :

  • Politique principale (p=reject) : Le serveur de réception rejette les courriels échoués du domaine principal.
  • Rapports agrégés (rua) : Envoyés à dmarc-reports@votredomaine.com.
  • Pourcentage (pct=100) : La politique s’applique à tous les courriels.
  • Format des rapports (rf=afrf) : Les rapports forensiques utilisent le format afrf.
  • Intervalle de rapport (ri=86400) : Les serveurs de courriels vont envoyés un rapport toutes les 24 heures.
  • Correspondance DKIM et SPF (adkim=s, aspf=s) : Correspondance stricte requise pour DKIM et SPF.
  • Options de rapport d’échec (fo=1) : Le serveur de réception va généré un rapport pour tous les échecs SPF et DKIM.

Rejet des courriels échoués (p=reject) et quarantaine pour les courriels en provenance des sous-domaines (sp=quarantine)

Cette configuration rejette les courriels échoués provenant du domaine principal et place en quarantaine ceux provenant des sous-domaines.

v=DMARC1; p=reject; sp=quarantine; rua=mailto:dmarc-reports@votredomaine.com; pct=100; rf=afrf; ri=86400; adkim=s; aspf=r; fo=1

Détails :

  • Politique principale (p=reject) : Le serveur de réception rejette les courriels échoués du domaine principal.
  • Politique des sous-domaines (sp=quarantine) : Le serveur de réception place en quarantaine les courriels échoués des sous-domaines.
  • Rapports agrégés (rua) : Envoyés à dmarc-reports@votredomaine.com.
  • Pourcentage (pct=100) : La politique s’applique à tous les courriels.
  • Format des rapports (rf=afrf) : Les rapports forensiques utilisent le format afrf.
  • Intervalle de rapport (ri=86400) : Les serveurs de courriels vont envoyés un rapport toutes les 24 heures.
  • Correspondance DKIM et SPF (adkim=s, aspf=r) : Correspondance stricte pour DKIM et flexible pour SPF.
  • Options de rapport d’échec (fo=1) : Le serveur de réception va généré un rapport pour tous les échecs SPF et DKIM.

Exemple d’enregistrement DMARC complet

Cet enregistrement applique la politique quarantine au domaine principal et reject aux sous-domaines, en incluant tous les paramètres avancés pour une protection optimale.

v=DMARC1; p=quarantine; sp=reject; rua=mailto:dmarc-reports@votredomaine.com; ruf=mailto:dmarc-failures@votredomaine.com; pct=100; rf=afrf; ri=86400; adkim=s; aspf=r; fo=1

Détails :

  • Politique principale (p=quarantine) : Le serveur de réception place en quarantaine les courriels échoués du domaine principal.
  • Politique des sous-domaines (sp=reject) : Le serveur de réception rejette les courriels échoués des sous-domaines.
  • Rapports agrégés (rua) : Envoyés à dmarc-reports@votredomaine.com.
  • Rapports détaillés d’échec (ruf) : Envoyés à dmarc-failures@votredomaine.com.
  • Pourcentage (pct=100) : La politique s’applique à tous les courriels.
  • Format des rapports (rf=afrf) : Les rapports forensiques utilisent le format afrf.
  • Intervalle de rapport (ri=86400) : Les serveurs de courriels vont envoyés un rapport toutes les 24 heures.
  • Correspondance DKIM et SPF (adkim=s, aspf=r) : Correspondance stricte pour DKIM et flexible pour SPF.
  • Options de rapport d’échec (fo=1) : Le serveur de réception va généré un rapport pour tous les échecs SPF et DKIM.

Conclusion

La configuration d’un enregistrement DMARC est un investissement essentiel pour protéger votre domaine contre les attaques par courriel. En suivant ces étapes, vous améliorez non seulement la sécurité de vos communications, mais vous contribuez également à renforcer la réputation de votre domaine auprès de vos destinataires. Pensez à surveiller régulièrement vos rapports DMARC et à ajuster vos paramètres en fonction des résultats pour assurer une protection optimale de votre domaine.

Daniel Berthiaume

Depuis qu’il a découvert la programmation à l’âge de 7 ans grâce à « Logo Writer », Daniel a toujours été captivé par l’informatique. Après avoir passé deux décennies dans le secteur de l’hôtellerie, où il a affiné ses compétences en service à la clientèle, il apporte aujourd’hui son expertise chez Astral Internet. Ici, il se consacre à développer et simplifier les technologies du Cloud, rendant l’accès plus rapide et plus intuitif pour tous.

En dehors du travail, Daniel partage sa passion pour le web en enseignant le WordPress et le HTML au cégep de Saint-Jean-Sur-Richelieu. Sa pédagogie et son enthousiasme font de lui un professeur apprécié, qui sait allumer la flamme de la curiosité chez ses étudiants.

Commentaires

Laisser un commentaire

Votre adresse courriel ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Catégories

Articles récents