Introduction : Qu’est-ce que DMARC et pourquoi est-il essentiel ?
La sécurité des courriels est aujourd’hui une priorité pour les entreprises et les organisations, surtout face aux cybermenaces comme le phishing et le spoofing. DMARC, pour « Domain-based Message Authentication, Reporting & Conformance« , est un protocole de sécurité qui aide à protéger les courriels envoyés depuis votre domaine contre ces types d’attaques. En vérifiant l’origine des courriels et en définissant des règles de conformité, DMARC améliore la crédibilité de votre domaine et augmente la délivrabilité de vos courriels. Dans cet article, nous allons explorer les éléments clés des enregistrements DMARC, leur utilité et les étapes de configuration.
Qu’est-ce qu’un enregistrement DMARC ?
Un enregistrement DMARC est une entrée DNS (Domain Name System) qui s’appuie sur les enregistrements SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail). DMARC permet de valider l’authenticité des courriels envoyés en vérifiant que le message provient d’une source autorisée. En cas d’échec, DMARC permet également de définir des règles de traitement du message, comme le mettre en quarantaine ou le rejeter.
Pourquoi configurer un enregistrement DMARC ?
L’implémentation de DMARC apporte de nombreux avantages :
- Protection contre le phishing et le spoofing : DMARC empêche les cybercriminels d’usurper votre identité pour tromper vos clients ou partenaires.
- Amélioration de la réputation de votre domaine : Les serveurs de réception identifient mieux les courriels de confiance.
- Amélioration de la délivrabilité des courriels : Un domaine sécurisé et conforme DMARC est moins susceptible de voir ses courriels classés comme spam.
Comment configurer un enregistrement DMARC ?
1. Vérifiez que vos enregistrements SPF et DKIM sont configurés
Avant de mettre en place DMARC, assurez-vous d’avoir configuré correctement les enregistrements SPF et DKIM, car ils sont nécessaires au fonctionnement de DMARC. SPF indique quels serveurs sont autorisés à envoyer des courriels pour votre domaine, tandis que DKIM ajoute une signature numérique pour garantir l’intégrité du message.
2. Créez votre enregistrement DMARC
Un enregistrement DMARC est une entrée DNS que vous configurez dans la zone DNS de votre domaine. Il inclut plusieurs paramètres qui déterminent le comportement de la politique DMARC. Voici un exemple d’enregistrement DMARC avec une explication de chaque élément :
v=DMARC1; p=none; rua=mailto:dmarc-reports@votredomaine.com; ruf=mailto:dmarc-failures@votredomaine.com; pct=100; rf=afrf; ri=86400; adkim=s; aspf=r; fo=1
Décomposons cet enregistrement :
- v=DMARC1 : Indique la version du protocole DMARC. Cela doit toujours être « DMARC1 ».
- p=none : La politique de traitement des courriels non conformes, qui peut être configurée avec
none
(observation),quarantine
(quarantaine), oureject
(rejet). - rua=mailto@votredomaine.com : L’adresse de réception des rapports agrégés DMARC, qui résume l’activité sur votre domaine.
- ruf=mailto@votredomaine.com : L’adresse de réception des rapports détaillés (forensiques) d’échec, fournissant des informations spécifiques sur chaque courriel qui a échoué. Notez que certains fournisseurs peuvent limiter la fréquence de ces rapports.
- pct=100 : Le pourcentage de courriels auxquels appliquer la politique DMARC. Utilisez 100 pour appliquer la politique à tous les courriels, ou ajustez le pourcentage si vous souhaitez une approche progressive.
Paramètres Avancés de DMARC
- rf=afrf : Ce paramètre (report format) définit le format des rapports forensiques. La valeur la plus courante est
afrf
, qui indique un format de rapport de rétroaction pour l’authentification des courriels. - ri=86400 : Ce paramètre (report interval) indique la fréquence d’envoi des rapports agrégés en secondes. Par défaut, 86400 secondes, soit 24 heures, est recommandé pour un rapport quotidien.
- adkim=s : Ce paramètre définit le mode de correspondance DKIM (aligned DKIM). Les options sont
s
(strict) our
(relaxed).s
signifie que le sous-domaine doit correspondre exactement au domaine signé par DKIM, tandis quer
permet une correspondance plus flexible. - aspf=r : Ce paramètre détermine le mode de correspondance SPF (aligned SPF). Comme pour adkim, les options sont
s
(strict) etr
(relaxed).r
signifie que les sous-domaines peuvent être alignés de manière flexible, tandis ques
exige une correspondance stricte avec le domaine principal. - fo=1 : Ce paramètre (failure reporting options) spécifie les conditions dans lesquelles un rapport d’échec doit être généré. Les options incluent :
- 0 : Pas de rapport d’échec généré.
- 1 : Un rapport est généré pour tous les échecs SPF et DKIM.
- d : Un rapport est généré pour les échecs DKIM uniquement.
- s : Un rapport est généré pour les échecs SPF uniquement.
En combinant ces options, vous pouvez affiner votre enregistrement DMARC pour répondre aux besoins spécifiques de votre domaine et de ses sous-domaines.
3. Choisissez une Politique (Policy)
La politique détermine le traitement des courriels qui échouent la vérification DMARC :
- p=none : Mode d’observation. Les courriels échoués ne subissent aucune action mais sont enregistrés dans les rapports.
- p=quarantine : Les courriels échoués sont marqués comme spam ou placés en quarantaine.
- p=reject : Les courriels échoués sont directement rejetés par le serveur de réception.
En général, commencez par p=none
pour observer les résultats et ajustez progressivement jusqu’à p=reject
pour une sécurité maximale.
4. Définir la Politique pour les Sous-domaines (sp)
DMARC vous permet également de spécifier une politique pour les sous-domaines de votre domaine principal. Cela peut être utile si vous souhaitez qu’une politique différente s’applique aux courriels envoyés depuis des sous-domaines (comme support.votredomaine.com) par rapport au domaine principal (votredomaine.com). Pour cela, ajoutez le paramètre sp
dans votre enregistrement DMARC.
Voici les options disponibles pour le paramètre sp :
- sp=none : Aucune action n’est appliquée aux courriels non conformes provenant des sous-domaines.
- sp=quarantine : Les courriels non conformes des sous-domaines sont mis en quarantaine.
- sp=reject : Les courriels non conformes des sous-domaines sont rejetés.
5. Définissez les Adresses de Rapports
DMARC vous permet de recevoir des rapports d’activité et d’échec pour vos courriels. Deux types d’adresses sont utilisés :
- rua : Les rapports agrégés contenant un résumé de l’activité DMARC.
- ruf : Les rapports de forensique, fournissant des détails sur chaque échec.
Assurez-vous que ces adresses sont valides et capables de recevoir un grand volume de rapports.
6. Ajustez le Pourcentage de Courriels Affectés
Le paramètre pct
vous permet de contrôler le pourcentage de courriels auquel appliquer DMARC. Utilisez pct=100
pour appliquer DMARC à tous les courriels, ou réduisez le pourcentage si vous souhaitez tester DMARC progressivement.
Tester et Ajuster Votre Enregistrement DMARC
Une fois votre enregistrement DMARC configuré, surveillez les rapports pour détecter des anomalies. Voici quelques points d’attention :
- Vérifiez les taux d’échec : Si de nombreux courriels échouent la vérification, cela peut indiquer des erreurs dans la configuration SPF/DKIM ou des activités suspectes.
- Ajustez la politique : Au besoin, passez d’une politique
p=none
àp=quarantine
oup=reject
pour renforcer la sécurité. - Analysez les rapports : Les rapports agrégés vous permettent d’identifier les sources de courriels non conformes et de corriger les éventuels problèmes.
Exemples d’Enregistrements DMARC pour Divers Scénarios
Voici quelques exemples adaptés à différents besoins :
Observation uniquement (p=none)
Cet enregistrement DMARC est en mode observation, ce qui signifie que les courriels échoués sont seulement enregistrés dans les rapports sans action prise sur eux.
v=DMARC1; p=none; rua=mailto:dmarc-reports@votredomaine.com; pct=100; rf=afrf; ri=86400; adkim=r; aspf=r; fo=0
Détails :
- Politique principale (p=none) : Les courriels échoués sont enregistrés pour observation.
- Rapports agrégés (rua) : Envoyés à dmarc-reports@votredomaine.com.
- Pourcentage (pct=100) : La politique s’applique à tous les courriels.
- Format des rapports (rf=afrf) : Les rapports forensiques utilisent le format
afrf
. - Intervalle de rapport (ri=86400) : Les rapports sont envoyés toutes les 24 heures.
- Correspondance DKIM et SPF (adkim=r, aspf=r) : Correspondance flexible pour DKIM et SPF.
- Options de rapport d’échec (fo=0) : Aucun rapport d’échec détaillé n’est généré.
Quarantaine pour les courriels échoués (p=quarantine)
Cet enregistrement place en quarantaine tous les courriels qui échouent la vérification DMARC.
v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@votredomaine.com; pct=100; rf=afrf; ri=86400; adkim=r; aspf=r; fo=1
Détails :
- Politique principale (p=quarantine) : Les courriels échoués sont placés en quarantaine.
- Rapports agrégés (rua) : Envoyés à dmarc-reports@votredomaine.com.
- Pourcentage (pct=100) : La politique s’applique à tous les courriels.
- Format des rapports (rf=afrf) : Les rapports forensiques utilisent le format afrf.
- Intervalle de rapport (ri=86400) : Les rapports sont envoyés toutes les 24 heures.
- Correspondance DKIM et SPF (adkim=r, aspf=r) : Correspondance flexible pour DKIM et SPF.
- Options de rapport d’échec (fo=1) : Un rapport d’échec est généré pour tous les échecs SPF et DKIM.
Rejet des courriels échoués (p=reject)
Cet enregistrement rejette tous les courriels qui échouent la vérification DMARC.
v=DMARC1; p=reject; rua=mailto:dmarc-reports@votredomaine.com; pct=100; rf=afrf; ri=86400; adkim=s; aspf=s; fo=1
Détails :
- Politique principale (p=reject) : Les courriels échoués sont rejetés.
- Rapports agrégés (rua) : Envoyés à dmarc-reports@votredomaine.com.
- Pourcentage (pct=100) : La politique s’applique à tous les courriels.
- Format des rapports (rf=afrf) : Les rapports forensiques utilisent le format afrf.
- Intervalle de rapport (ri=86400) : Les rapports sont envoyés toutes les 24 heures.
- Correspondance DKIM et SPF (adkim=s, aspf=s) : Correspondance stricte requise pour DKIM et SPF.
- Options de rapport d’échec (fo=1) : Un rapport d’échec est généré pour tous les échecs SPF et DKIM.
Rejet des courriels échoués (p=reject) et quarantaine pour les courriels en provenance des sous-domaines (sp=quarantine)
Cette configuration rejette les courriels échoués provenant du domaine principal et place en quarantaine ceux provenant des sous-domaines.
v=DMARC1; p=reject; sp=quarantine; rua=mailto:dmarc-reports@votredomaine.com; pct=100; rf=afrf; ri=86400; adkim=s; aspf=r; fo=1
Détails :
- Politique principale (p=reject) : Les courriels échoués du domaine principal sont rejetés.
- Politique des sous-domaines (sp=quarantine) : Les courriels échoués des sous-domaines sont mis en quarantaine.
- Rapports agrégés (rua) : Envoyés à dmarc-reports@votredomaine.com.
- Pourcentage (pct=100) : La politique s’applique à tous les courriels.
- Format des rapports (rf=afrf) : Les rapports forensiques utilisent le format afrf.
- Intervalle de rapport (ri=86400) : Les rapports sont envoyés toutes les 24 heures.
- Correspondance DKIM et SPF (adkim=s, aspf=r) : Correspondance stricte pour DKIM et flexible pour SPF.
- Options de rapport d’échec (fo=1) : Un rapport d’échec est généré pour tous les échecs SPF et DKIM.
Exemple d’enregistrement DMARC complet
Cet enregistrement applique la politique quarantine
au domaine principal et reject
aux sous-domaines, en incluant tous les paramètres avancés pour une protection optimale.
v=DMARC1; p=quarantine; sp=reject; rua=mailto:dmarc-reports@votredomaine.com; ruf=mailto:dmarc-failures@votredomaine.com; pct=100; rf=afrf; ri=86400; adkim=s; aspf=r; fo=1
Détails :
- Politique principale (p=quarantine) : Les courriels échoués sont mis en quarantaine.
- Politique des sous-domaines (sp=reject) : Les courriels échoués des sous-domaines sont rejetés.
- Rapports agrégés (rua) : Envoyés à dmarc-reports@votredomaine.com.
- Rapports détaillés d’échec (ruf) : Envoyés à dmarc-failures@votredomaine.com.
- Pourcentage (pct=100) : La politique s’applique à tous les courriels.
- Format des rapports (rf=afrf) : Les rapports forensiques utilisent le format afrf.
- Intervalle de rapport (ri=86400) : Les rapports sont envoyés toutes les 24 heures.
- Correspondance DKIM et SPF (adkim=s, aspf=r) : Correspondance stricte pour DKIM et flexible pour SPF.
- Options de rapport d’échec (fo=1) : Un rapport d’échec est généré pour tous les échecs SPF et DKIM.
Conclusion
La configuration d’un enregistrement DMARC est un investissement essentiel pour protéger votre domaine contre les attaques par courriel. En suivant ces étapes, vous améliorez non seulement la sécurité de vos communications, mais vous contribuez également à renforcer la réputation de votre domaine auprès de vos destinataires. Pensez à surveiller régulièrement vos rapports DMARC et à ajuster vos paramètres en fonction des résultats pour assurer une protection optimale de votre domaine.
Laisser un commentaire