Accueil
/
Qu'est-ce qu'un enregistrement DMARC et comment le configurer ?

Qu'est-ce qu'un enregistrement DMARC et comment le configurer ?

Table des matières

What is DMARC

Domain-based Message Authentication, Reporting, et Conformance (DMARC) est un système de validation des e-mails créé pour protéger votre domaine contre toute utilisation non autorisée, telle que l’usurpation d’adresse e-mail. L’objectif de DMARC est de permettre aux propriétaires de domaines d’e-mail de protéger leur domaine contre toute utilisation abusive à des fins d’hameçonnage, d’usurpation d’identité et d’autres formes de cybercriminalité. Il s’appuie sur deux protocoles existants, SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail), pour améliorer et authentifier la légitimité d’un e-mail.

Comprendre DMARC

DMARC améliore le processus d’authentification des e-mails en s’appuyant sur les protocoles SPF et DKIM. Le processus d’authentification est une série de contrôles effectués sur un e-mail pour vérifier sa légitimité avant qu’il n’atteigne la boîte de réception du destinataire. Ce processus est essentiel pour déterminer si un e-mail provient réellement de l’expéditeur qu’il prétend être ou s’il s’agit d’une menace potentielle.

SPF et DKIM jouent un rôle essentiel dans ce processus d’authentification. SPF permet aux propriétaires de domaines de définir quels serveurs mail sont autorisés à envoyer des e-mails au nom de leur domaine. Lorsqu’un e-mail est reçu, le serveur du destinataire vérifie l’enregistrement SPF pour confirmer que l’e-mail provient d’un serveur répertorié. Cela permet d’empêcher les spammeurs d’envoyer des e-mails avec une adresse “De” falsifiée qui semble provenir de votre domaine.

DKIM ajoute une couche supplémentaire de sécurité en attachant une signature numérique aux e-mails sortants. Cette signature est vérifiée par rapport à une clé cryptographique publique publiée dans les enregistrements DNS du domaine. La présence d’une signature DKIM valide indique que l’e-mail n’a pas été modifié en cours de route, ce qui constitue une forme de contrôle d’intégrité en plus du contrôle d’autorisation du SPF.

DMARC relie ces deux protocoles en spécifiant une politique que le propriétaire du domaine souhaite que les destinataires d’e-mails suivent lorsqu’ils traitent des e-mails qui échouent aux vérifications SPF et DKIM. Il précise également comment le propriétaire du domaine souhaite être informé de ces échecs, ce qui lui permet de prendre des mesures si nécessaire. La politique DMARC est communiquée par le biais d’un enregistrement TXT dans le DNS du domaine et est vérifiée par le serveur du destinataire après les évaluations SPF et DKIM.

Le processus d’authentification des e-mails fonctionne comme suit : lorsqu’un e-mail est envoyé, le serveur d’envoi y joint une signature DKIM et envoie l’e-mail. Le serveur du destinataire consulte l’enregistrement SPF pour vérifier l’autorisation du serveur d’envoi et vérifie la signature DKIM pour s’assurer de l’intégrité de l’e-mail. Si les deux vérifications réussissent et correspondent au domaine indiqué dans l’en-tête ” De ” de l’e-mail, l’e-mail est considéré comme authentifié. Si l’une des vérifications échoue ou s’il y a une erreur de concordance, le serveur du destinataire se réfère à la politique DMARC pour décider de délivrer, de mettre en quarantaine ou de rejeter l’e-mail.

En définissant une politique DMARC, les propriétaires de domaines peuvent demander aux serveurs de réception de mettre en quarantaine ou de rejeter les e-mails non authentifiés, réduisant ainsi la probabilité que leur domaine soit utilisé pour des menaces basées sur l’e-mail. De plus, l’aspect reporting de DMARC fournit des informations sur les activités de courrier électronique légitimes et non autorisées, ce qui permet aux propriétaires de domaines d’affiner leurs mesures de sécurité du courrier électronique au fil du temps.

La structure d’un enregistrement DMARC

Un enregistrement DMARC est un enregistrement TXT dans la zone DNS de votre domaine qui suit une syntaxe spécifique. Cette syntaxe comprend plusieurs balises qui définissent la politique DMARC et la manière dont elle doit être appliquée.

Paramètres clés d’un enregistrement DMARC

La balise “p” d’un enregistrement DMARC indique la politique à appliquer aux e-mails qui échouent aux contrôles DMARC. Les valeurs possibles pour cette balise sont les suivantes :

  • none : Le propriétaire du domaine demande qu’aucune action spécifique ne soit entreprise sur le courrier qui échoue à la vérification DMARC. Ce paramètre est généralement utilisé pour la surveillance et la collecte de données sans impact sur la distribution des e-mails.
  • quarantine : Les e-mails qui échouent au contrôle DMARC sont considérés comme suspects. En fonction du serveur d’e-mail du destinataire, ces messages peuvent se retrouver dans le dossier SPAM.
  • reject : Cette politique demande au serveur e-mail de réception de rejeter les e-mails qui n’ont pas été vérifiés par DMARC, ce qui les empêche d’être livrés dans la boîte de réception du destinataire.

La balise “sp” spécifie la politique pour les sous-domaines et peut prendre les mêmes valeurs que la balise “p“. Si la balise “sp” n’est pas spécifiée, la politique spécifiée dans la balise “p” s’appliquera également aux sous-domaines.

La balise “rua” est utilisée pour spécifier une adresse e-mail où sont envoyés les rapports globaux des échecs DMARC, tandis que la balise “ruf” est destinée aux rapports judiciaires qui fournissent des informations plus détaillées sur les échecs individuels. Ces rapports sont essentiels pour comprendre et améliorer votre configuration d’authentification des e-mails.

La balise “pct” définit le pourcentage de messages soumis à la politique DMARC, ce qui est utile pour mettre en œuvre progressivement des changements de politique. Par exemple, “pct=20” signifie que seuls 20 % des e-mails qui échouent seront traités conformément à la politique DMARC spécifiée.

Les balises “adkim” et “aspf” définissent le mode d’alignement pour DKIM et SPF, respectivement. Les valeurs possibles sont “r” pour relaxed et “s” pour strict. L’alignement détendu autorise les correspondances partielles (comme les sous-domaines), tandis que l’alignement strict exige une correspondance exacte entre le domaine dans l’en-tête et le domaine dans les enregistrements SPF/DKIM.

Par exemple, un enregistrement DMARC peut ressembler à ceci :

v=DMARC1; p=quarantine; sp=none;
rua=mailto:dmarc-reports@example.com;
ruf=mailto:dmarc-failures@example.com; pct=100; adkim=r; aspf=r;

Cet enregistrement demande que les e-mails qui échouent aux contrôles DMARC soient mis en quarantaine, sans politique spécifique pour les sous-domaines, demande d’envoyer des rapports globaux à dmarc-reports@example.com, d’envoyer des rapports d’échec à dmarc-failures@example.com, applique la politique à 100 % des messages qui échouent et utilise un alignement relâché à la fois pour DKIM et SPF.

Comment configurer et mettre en œuvre un enregistrement DMARC dans le DNS ?

Pour configurer un enregistrement DMARC, vous devez créer un enregistrement DNS TXT dans la zone DNS de votre domaine. La plupart des hébergeurs proposent une fonction d’édition de la zone DNS qui vous permet de contrôler les enregistrements DNS de votre domaine. Il est important de se rappeler que les modifications DNS doivent être effectuées à partir du compte qui détient la zone DNS faisant autorité pour votre domaine. Peut importe le service d’hébergement que vous utilisez, votre domaine doit être pointé par les serveurs de noms vers cet emplacement. Ce n’est qu’ainsi que les modifications de la zone DNS auront un effet.

Si le DNS de votre domaine est géré par SiteGround, un enregistrement DMARC de base a été créé automatiquement pour votre domaine dans la zone DNS du domaine lorsque vous avez créé votre site web. Pour le modifier, suivez ces étapes :

  1. Connectez-vous à votre Espace Client SiteGround et allez dans les Site Tools pour le site web que vous voulez gérer.
  2. Naviguez vers Domaine > Editeur de zone DNS.
  3. Sélectionnez votre nom de domaine dans le menu déroulant.
  4. Dans la section Gérer les enregistrements DNS, recherchez l’enregistrement DMARC existant. Il doit s’agir d’un enregistrement de type TXT, qui commence par “v=DMARC1”.
  5. Cliquez sur l’icône du crayon à côté pour la modifier.
  6. Dans la fenêtre contextuelle qui s’affiche, dans le champ Valeur, saisissez votre enregistrement DMARC, par exemple “v=DMARC1 ; p=none ; rua=mailto:your-email@example.com;” en remplaçant your-email@example.com par l’adresse e-mail à laquelle vous souhaitez recevoir les rapports.
  7. Cliquez sur le bouton Créer pour ajouter l’enregistrement.

Après l’ajout de l’enregistrement DMARC, il peut s’écouler un certain temps avant que les modifications ne se propagent sur l’internet.

N’oubliez pas de commencer par une politique de “none” et de surveiller les rapports que vous recevez pour vous assurer que les e-mails légitimes ne sont pas affectés.

Bonnes pratiques pour les enregistrements DMARC

Lors de la mise en œuvre des enregistrements DMARC, il est important de commencer par une politique de “none” afin de surveiller la façon dont vos e-mails sont traités sans affecter leur livraison. Cette phase initiale de surveillance vous permet de collecter des données sur vos flux d’e-mails et de vous assurer que les e-mails légitimes sont authentifiés correctement. Progressivement, vous pouvez passer à des politiques plus restrictives telles que “quarantaine” ou “reject” à mesure que vous devenez plus confiant dans vos processus d’authentification des e-mails.

Examinez régulièrement vos rapports DMARC afin d’identifier tout problème de configuration ou toute utilisation non autorisée de votre domaine. Maintenez vos tags “rua” et “ruf” à jour pour vous assurer de recevoir ces précieux rapports. De plus, sensibilisez votre équipe à l’importance de DMARC et veillez à ce que tous les expéditeurs d’e-mails au sein de votre organisation respectent les normes SPF et DKIM.

Conclusion

La mise en œuvre d’un enregistrement DMARC est une étape essentielle pour sécuriser vos communications par e-mail et protéger votre domaine contre les abus. En mettant en place une règle DMARC, vous pouvez spécifier comment les destinataires d’e-mails doivent traiter les e-mails qui échouent aux contrôles d’authentification, ce qui permet d’éviter les attaques de phishing et l’usurpation de domaine. Face à l’augmentation des menaces liées aux e-mails, l’adoption de DMARC n’est pas seulement recommandée ; elle devient une nécessité pour une gestion responsable du domaine.

FAQ DMARC

  1. Que se passe-t-il si je ne crée pas d’enregistrement DMARC pour mon domaine ? Sans enregistrement DMARC, vous n’avez aucun contrôle sur la manière dont les serveurs mail destinataires traitent les e-mails qui semblent provenir de votre domaine mais qui ne passent pas les contrôles SPF ou DKIM. Cela pourrait conduire à l’utilisation de votre domaine dans des attaques de phishing à votre insu.
  2. À quelle fréquence dois-je vérifier mes rapports DMARC ? Il est conseillé de vérifier régulièrement vos rapports DMARC, au moins une fois par semaine lorsque vous commencez à mettre en œuvre DMARC. Au fur et à mesure que vous vous familiariserez avec les caractéristiques de votre trafic d’e-mails, vous pourrez ajuster la fréquence.
  3. DMARC peut-il empêcher tous les types d’usurpation d’identité par e-mail ? Bien que DMARC réduise considérablement le risque d’usurpation de domaine direct, il n’empêche pas tous les types d’usurpation d’e-mail, tels que les attaques par domaine “cousin” ou la tromperie sur le nom d’affichage. Il doit être utilisé dans le cadre d’une stratégie globale de sécurité des e-mails, et non comme unique méthode de défense.
  4. Y a-t-il un risque que des e-mails légitimes soient rejetés avec une politique de “rejet” DMARC ? Oui, si des e-mails légitimes ne passent pas les contrôles SPF ou DKIM, ils peuvent être rejetés. C’est pourquoi il est essentiel de commencer par une politique “none” et de s’assurer que vos flux d’e-mails légitimes sont correctement authentifiés avant de passer à une politique “reject”.
  5. Est-ce que tous les fournisseurs de services d’e-mail prennent en charge le protocole DMARC ? La plupart des grands fournisseurs de services d’e-mail prennent en charge le protocole DMARC, mais il se peut que certains d’entre eux ne le mettent pas pleinement en œuvre. Ainsi, les serveurs qui traitent les e-mails des destinataires de vos messages ne suivent pas tous les instructions que vous avez configurées dans l’enregistrement DMARC.

Partager cet article