La configuration technique est une étape cruciale mais assez confuse lorsque vous configurez le domaine parfait.
Nous verrons ce qu’est le DMARC, comment le configurer et pourquoi il est si important.
Qu’est-ce que le DMARC
DMARC est l’abréviation de « Domain-based Message Authentication, Reporting, and Conformance ».
Il s’agit d’un protocole d’authentification et de sécurité des e-mails conçu pour aider les entreprises à protéger leurs domaines de messagerie contre l’usurpation d’identité, le phishing et d’autres attaques basées sur les e-mails.
Le DMARC s’appuie sur deux autres protocoles d’authentification des e-mails, SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail), pour fournir une approche complète de l’authentification et de la validation des e-mails.
La DMARC est une spécification technique utilisée pour l’authentification des e-mails.
Son objectif est de protéger les domaines d’envoi contre toute utilisation non autorisée. Par cela, nous entendons spécifiquement qu’il aide à prévenir le phishing, compromissions de messagerie professionnelle (BEC), et d’autres escroqueries par e-mail.
Pourquoi la DMARC est-elle importante ?
Nous n’utilisons pas tous le courrier électronique aux mêmes fins.
Nous avons regroupé les utilisateurs de messagerie en trois catégories différentes afin que vous puissiez comprendre en quoi le DMARC vous semblera utile, quel que soit votre poste principal.
- Fournisseurs de boîtes aux lettres
Parfois, les messages échouent lors du processus d’authentification.
La politique de la DMARC fournit toutes les informations dont vous avez besoin pour filtrer ces messages.
En cas de doute, les fournisseurs de boîtes aux lettres envoient généralement un message non authentifié, car un client est plus susceptible de préférer supprimer le courrier indésirable plutôt que de passer à côté d’un e-mail qui aurait pu être utile et significatif.
C’est pourquoi le spam s’infiltre parfois dans votre boîte de réception.
Tous les principaux fournisseurs de boîtes aux lettres prennent en charge la DMARC. En fait, la mise en œuvre de la DMARC indique à ces fournisseurs que vous êtes un expéditeur responsable et fiable en qui ils peuvent avoir confiance.
Tous les principaux fournisseurs de boîtes aux lettres prennent en charge la DMARC. Par exemple :
→ Gmail: Pour configurer correctement le DMARC, DKIM et SPF doivent disposer de messages authentifiés pendant au moins 48 heures.
→ Yahoo : conformément à la politique DMARC de Yahoo, tous les e-mails envoyés depuis un compte @yahoo .com seront rejetés s’ils ne sont pas envoyés directement depuis un serveur Yahoo.
AVERTISSEMENT : À compter du 1er février 2024, certaines modifications pourraient affecter l’envoi de vos e-mails depuis les serveurs Gmail, Yahoo et AOL. Alors n’oubliez pas consultez-les.
→ Microsoft Outlook: vous aurez besoin d’un centre d’administration Microsoft 365 et d’un accès à votre fournisseur DNS pour le configurer.
→ AOL : possède une balise p=reject, il fonctionne donc comme Yahoo. Gardez cela à l’esprit si vous utilisez actuellement un service d’envoi d’e-mails à froid ou en masse.
Certains autres serveurs ne valident pas les enregistrements DMARC, tels que…
→ Mailchimp : vous pouvez néanmoins l’ajouter en plus du SPF ou du DKIM.
- Destinataires des e-mails
Ce groupe bénéficie probablement le plus d’une bonne politique DMARC, car elle garantira qu’aucun e-mail malveillant ou spam n’arrivera dans votre boîte de réception. Cela vous protégera également contre l’usurpation d’identité dans le champ « De », qui peut généralement mener à une fraude.
- Expéditeurs d’e-mails
Le meilleur avantage que les expéditeurs reçoivent de la DMARC est un domaine de messagerie sûr et protégé. Garantir une délivrabilité élevée des e-mails garantira la réputation de votre domaine.
En outre, vous recevrez des rapports sur les adresses IP qui envoient du courrier au nom de votre domaine. Cela vous permet de garder un œil sur l’usurpation d’adresse e-mail et de savoir si les e-mails légitimes rencontrent des problèmes d’authentification qui ont un impact sur la délivrabilité.
Comment fonctionne la DMARC ?
Le DMARC arrive en dernier dans un processus d’authentification en trois étapes.
Tout d’abord, vous devez configurer votre SPF et votre DKIM.
SPF (Sender Policy Framework)
Le SPF permet au propriétaire d’un domaine de spécifier quels serveurs de messagerie sont autorisés à envoyer des e-mails pour le compte de ce domaine. Les destinataires d’e-mails peuvent ensuite vérifier les enregistrements SPF des e-mails entrants pour vérifier leur authenticité.
La configuration du SPF est une étape essentielle pour empêcher l’usurpation d’adresse e-mail et les attaques de phishing.
Voici les étapes à suivre pour configurer le SPF :
- Comprenez la syntaxe SPF : les enregistrements SPF sont publiés sous forme d’enregistrements TXT DNS (Domain Name System) pour votre domaine. Vous devez spécifier quelles adresses IP ou quels serveurs de messagerie sont autorisés à envoyer des e-mails au nom de votre domaine à l’aide de la syntaxe SPF. Les enregistrements SPF sont définis dans un enregistrement TXT dans vos paramètres DNS.
- Déterminez vos serveurs de messagerie autorisés : avant de créer un enregistrement SPF, vous devez identifier les serveurs de messagerie autorisés à envoyer des e-mails au nom de votre domaine. Cela peut inclure vos propres serveurs de messagerie, les services de marketing par e-mail et toute autre source légitime.
- Créez votre enregistrement SPF : Une fois que vous avez identifié les serveurs de messagerie autorisés, vous pouvez créez votre enregistrement SPFLes enregistrements .SPF sont généralement ajoutés aux enregistrements DNS de votre domaine sous forme d’enregistrement TXT. La syntaxe SPF vous permet de spécifier quels serveurs sont autorisés à envoyer du courrier depuis votre domaine.
- Voici un exemple d’enregistrement SPF :
v=SPF1
indique qu’il s’agit d’un enregistrement SPF.incluez:_spf.google.com
autorise n’importe quel serveur de messagerie répertorié dans le_spf.exemple.com
Enregistrement SPF pour envoyer des e-mails au nom de votre domaine.~tous
est un mécanisme de défaillance logicielle qui indique aux serveurs de messagerie récepteurs de marquer les e-mails provenant de sources non autorisées comme « échec des contrôles SPF », mais de ne pas nécessairement les rejeter.
Vous pouvez personnaliser votre enregistrement SPF en fonction de vos besoins spécifiques.
4. Ajoutez l’enregistrement SPF au DNS : accédez à l’interface de gestion DNS de votre domaine, qui est souvent fournie par votre bureau d’enregistrement de domaine ou votre fournisseur d’hébergement. Créez un nouvel enregistrement TXT avec le nom de votre domaine (par exemple, exemple.com) et collez votre enregistrement SPF comme valeur de l’enregistrement. Enregistrez les modifications.
5. Testez votre enregistrement SPF : Après avoir ajouté l’enregistrement SPF, il est essentiel de le tester pour vous assurer qu’il est correctement configuré. Il existe des outils de test d’enregistrement SPF en ligne tels que « SPF Record Testing Tools » de dmarcian, qui peuvent vous aider à vérifier si votre enregistrement SPF est correctement configuré.
6. Surveillez les modifications des enregistrements SPF : surveillez votre enregistrement SPF, en particulier lorsque vous apportez des modifications à votre infrastructure de messagerie. Des configurations SPF incorrectes peuvent entraîner le marquage des e-mails légitimes comme spam ou leur rejet.
DKIM (DomainKeys Identified Mail)
DKIM ajoute une signature numérique aux e-mails sortants, qui peut être vérifiée par les destinataires à l’aide de la clé publique publiée dans les enregistrements DNS du domaine.
Cela permet de s’assurer que le contenu de l’e-mail n’a pas été altéré pendant le transit.
Voici comment configurer DKIM :
1. Générez une paire de clés DKIM :
a. Accédez au panneau de contrôle ou à l’interface de votre serveur de messagerie ou de votre fournisseur d’hébergement. De nombreux hébergeurs proposent la possibilité de générer des paires de clés DKIM directement depuis leur panneau de contrôle.
b. Si votre service de messagerie ne propose pas cette fonctionnalité, vous pouvez utiliser un outil de génération de clés DKIM ou un générateur en ligne pour créer une paire de clés DKIM. OpenSSL est un outil populaire :
openssl rsa -in private.pem -pubout -out public.pem
Ces commandes généreront une clé privée (private.pem) et une clé publique correspondante (public.pem).
2. Configurez votre serveur de messagerie :
a. Accédez à la configuration ou au panneau de configuration de votre serveur de messagerie, puis localisez la section relative aux paramètres DKIM.
b. Téléchargez ou copiez la clé privée (private.pem) dans la configuration DKIM de votre serveur de messagerie. La méthode à suivre peut varier en fonction du logiciel de votre serveur de messagerie.
c. Assurez-vous que la clé privée est sécurisée et qu’elle n’est pas exposée à des personnes non autorisées.
3. Ajoutez un enregistrement DNS DKIM :
a. Après avoir configuré votre serveur de messagerie avec la clé privée, vous devez créer un enregistrement DNS DKIM. Cet enregistrement DNS permettra aux serveurs de réception de vérifier l’authenticité de vos e-mails.
b. Dans votre interface de gestion DNS (fournie par votre bureau d’enregistrement de domaine ou votre fournisseur d’hébergement), créez un enregistrement TXT dont le nom suit le format du sélecteur DKIM. Le sélecteur DKIM est un nom unique que vous choisissez et qui est utilisé dans la signature DKIM. Il s’agit généralement d’un nom court et descriptif, comme « 2024 » ou « par défaut ».
Par exemple, si votre domaine est example.com et que vous avez choisi « par défaut » comme sélecteur DKIM, le nom de votre enregistrement DNS peut ressembler à ceci :
c. La valeur de cet enregistrement TXT doit être votre clé publique (public.pem) entre guillemets doubles. Cela devrait ressembler à ceci :
Veillez à remplacer l’exemple ci-dessus par votre clé publique DKIM actuelle.
4. Publiez l’enregistrement DKIM :
Après avoir créé l’enregistrement DNS DKIM, enregistrez vos modifications. La propagation des enregistrements DNS sur Internet peut prendre un certain temps, alors soyez patient. Vous pouvez utiliser des vérificateurs DKIM en ligne pour vérifier que votre enregistrement DKIM est correctement publié.
5. Testez l’authentification DKIM :
Pour vous assurer que DKIM fonctionne correctement, envoyez un e-mail depuis votre domaine et vérifiez les en-têtes des e-mails. Vous devriez voir un en-tête de signature DKIM qui indique que l’authentification DKIM est en place.
6. Surveiller et entretenir :
Surveillez régulièrement votre configuration DKIM pour vous assurer qu’elle continue de fonctionner correctement. Si vous apportez des modifications à votre infrastructure de messagerie ou si vous alternez vos clés DKIM, mettez à jour les enregistrements DNS en conséquence.
La mise en œuvre de DKIM renforce la sécurité des e-mails et contribue à établir la confiance avec les destinataires des e-mails en empêchant l’usurpation d’identité et en garantissant l’intégrité de vos messages sortants.
Enfin et surtout… les politiques de la DMARC
La DMARC aide les organisations à lutter contre l’usurpation d’adresse e-mail et les attaques de phishing en leur fournissant un moyen d’appliquer des politiques d’authentification pour leurs domaines. Il permet également aux propriétaires de domaines d’obtenir des informations sur la distribution des e-mails et d’identifier les menaces de sécurité potentielles grâce à des rapports et à une surveillance.
La DMARC permet au propriétaire administratif d’un domaine de publier une politique dans ses enregistrements DNS afin de spécifier quel mécanisme (DKIM, SPF ou les deux) est utilisé pour envoyer des e-mails depuis ce domaine ; comment vérifier le champ « De : » présenté aux utilisateurs finaux ; comment le destinataire doit gérer les défaillances, et un mécanisme de reporting pour les actions effectuées dans le cadre de ces politiques.
Sur la base des résultats reçus par SPF et DKIM, il existe trois résultats possibles pour le DMARC :
1. Politique de « quarantaine » :
L’e-mail sera envoyé mais il sera marqué comme spam ou directement envoyé dans le dossier des courriers indésirables.
- Comportement : Lorsque vous spécifiez une politique DMARC de « quarantaine », les e-mails qui échouent à l’authentification DMARC sont généralement envoyés dans le dossier de courrier indésirable ou de quarantaine du destinataire. Le comportement exact peut varier en fonction du fournisseur de services de messagerie du destinataire.
- Exemple d’enregistrement DMARC :
2. Politique de « rejet » :
Ces e-mails sont bloqués et ne peuvent donc pas atteindre leurs destinataires, pas plus qu’aucun autre e-mail envoyé par le même expéditeur.
- Comportement : Dans le cadre d’une politique DMARC de « rejet », les e-mails qui échouent à l’authentification DMARC sont purement et simplement rejetés par le serveur de messagerie destinataire. Ces e-mails ne sont pas envoyés dans la boîte de réception, le dossier de courrier indésirable ou le dossier de quarantaine du destinataire. Au lieu de cela, ils sont rejetés et peuvent entraîner un message de rebond à l’expéditeur.
- Exemple d’enregistrement DMARC :
3. Politique « Aucune » :
Les e-mails arrivent dans la boîte de réception du destinataire et sont prêts à être ouverts et lus.
- Comportement : Une politique DMARC « nulle » est essentiellement une politique de surveillance. Il demande aux serveurs de messagerie de réception de ne prendre aucune mesure spécifique en fonction des résultats de la DMARC. Au lieu de cela, il vous permet de collecter des rapports DMARC à des fins d’analyse sans affecter la livraison des e-mails.
- Exemple d’enregistrement DMARC :
Dans le cadre de chacune de ces politiques, la DMARC fournit également des mécanismes permettant de spécifier les actions à entreprendre lorsque les e-mails passent l’authentification DMARC. L’objectif principal de ces politiques est de savoir comment gérer les e-mails qui échouent aux contrôles DMARC.
Il est important de noter que le comportement exact des serveurs de messagerie peut varier et que tous les fournisseurs de services de messagerie n’appliquent pas pleinement les politiques de la DMARC.
Pour garantir une mise en œuvre correcte de la DMARC et surveiller son impact, il est essentiel de consulter régulièrement les rapports de la DMARC et d’ajuster les paramètres de votre politique si nécessaire.
En outre, les organisations peuvent commencer par une politique « aucune » ou de « quarantaine » et passer progressivement à une politique de « rejet » à mesure qu’elles gagnent en confiance dans leurs pratiques d’authentification des e-mails.
Il existe des balises DMARC supplémentaires telles que :
v= | Version of DMARC used (DMARC1) |
p= | DMARC enforcement policy: none, quarantine, or reject |
rua= | List of email addresses where DMARC aggregate reports are sent |
pct= | Percentage of messages that are subject to the enforcement policy. Default is pct=100 |
aspf= | Defines the alignment mode for SPF, which could be strict or relaxed with pass/fail scenarios |
adkim= | Defines the alignment mode for DKIM, which could be strict or relaxed with pass/fail scenarios |
sp= | Represents different enforcement policies for subdomains |
ruf= | Lists email addresses for sending DMARC failure/forensic reports. |
fo= | Indicated the options for creating a DMARC failure/forensic report |
rf= | Declares the forensic reporting format for message-specific failure reports |
ri= | Sets the interval for sending DMARC reports, which is defined in second but is usually 24 hours or more |
Comment publier un enregistrement DMARC
Pour publier un enregistrement DMARC, procédez comme suit :
- Assurez-vous d’avoir préalablement configuré votre SPF et votre DKIM et qu’ils fonctionnent depuis au moins 48 heures.
- Ajoutez votre enregistrement DMARC à votre DNS en créant un nouvel enregistrement.
- Utiliser le type d’enregistrement TXT
- Entrez _dmarc dans le champ Nom ou Hôte.
- Déterminez la politique DMARC que vous souhaitez mettre en œuvre et le degré de rigueur que vous souhaitez qu’elle soit.
aucune
Mode de surveillance uniquement. Vous collectez des rapports DMARC sans affecter la livraison des e-mails.quarantaine
Les e-mails qui échouent sont envoyés dans le dossier de courrier indésirable ou de quarantaine du destinataire.rejeter
Les e-mails qui échouent sont rejetés et ne sont pas envoyés dans la boîte de réception du destinataire.
- Créer un enregistrement DMARC
Pour créer un enregistrement DMARC, vous devez spécifier la version, la politique et d’autres balises facultatives du DMARC.
Voici un exemple d’enregistrement DMARC de base :
REMARQUE : Remplacez dmarc@example.com par votre propre adresse e-mail.
Vous pouvez inclure des balises supplémentaires si nécessaire pour personnaliser votre politique DMARC.
- Connectez-vous au site Web de votre fournisseur d’hébergement DNS ou accédez au panneau de contrôle de votre bureau d’enregistrement de domaines dans lequel vous gérez les enregistrements DNS de votre domaine.
- Recherchez l’option permettant d’ajouter ou de modifier un enregistrement DNS DMARC et de créer un nouvel enregistrement TXT au format suivant :
- Nom de l’enregistrement :
_dmarc.votredomaine.com
(remplacez yourdomain.com par votre domaine actuel) - Type d’enregistrement : TXT
- Valeur : collez l’enregistrement DMARC que vous avez créé précédemment.
Par exemple, si votre domaine est example.com, le nom de votre enregistrement DNS DMARC serait _dmarc.exemple.com
- Enregistrez ou créez l’enregistrement DMARC. L’enregistrement DNS DMARC prend généralement quelques heures ou jusqu’à 48 heures.
- Testez votre enregistrement DMARC Pour vous assurer que votre enregistrement DMARC est correctement publié et fonctionne comme prévu, vous pouvez utiliser des outils de test d’enregistrement DMARC en ligne ou recevoir et analyser des rapports DMARC.
- Surveillez les rapports DMARC envoyés à l’adresse e-mail spécifiée dans le rua étiquette
Ces rapports fournissent des informations sur l’état d’authentification des e-mails pour votre domaine et vous aident à affiner votre politique DMARC. - Ajustez progressivement votre politique.
Vous pouvez commencer par une politique moins stricte (par exemple, p=aucun) et augmentez progressivement la rigueur de la politique (par exemple, p=quarantaine ou p=rejeter) au fur et à mesure que vous gagnez en confiance dans vos pratiques d’authentification des e-mails.
La publication d’un enregistrement DMARC (Domain-based Message Authentication, Reporting, and Conformance) implique l’ajout d’un enregistrement DNS TXT aux paramètres DNS de votre domaine.
Cet enregistrement DMARC définit la politique DMARC de votre domaine et spécifie où les rapports DMARC doivent être envoyés. Voici un guide étape par étape sur la façon de publier un enregistrement DMARC :
Rapport de la DMARC
Essentiellement, comme tous les autres rapports, un rapport DMARC vous permet d’évaluer la délivrabilité d’un domaine particulier.
Vous recevrez des informations complètes sur comment et où vos e-mails atterrissent, ainsi que sur leur authenticité. Vous serez également en mesure de repérer les e-mails prétendument envoyés depuis votre domaine.
Grâce à ces informations, vous verrez clairement les problèmes que vous devez résoudre (ainsi que ce que vous faites correctement).
Malheureusement, les rapports sont envoyés dans un format XML qui peut être assez difficile à analyser. Il s’agit donc d’un outil qui rendra ces rapports plus lisibles, tel que L’analyseur de rapports DMARC d’EasyDMARC peut s’avérer très utile.
Mais quelles informations exactement trouverez-vous dans votre rapport ?
- Tous les domaines qui envoient des e-mails en utilisant votre domaine dans leur champ « De »
- Adresses IP des domaines utilisant votre domaine
- Le nombre d’e-mails quotidiens
- Résultats des authentifications SPF et DKIM
- Résultats de la DMARC
- E-mails mis en quarantaine
- E-mails qui ont été rejetés
- Rapports médico-légaux et rapports de défaillance
Comment activer les rapports DMARC
- Créez un enregistrement DMARC.
- Entrez l’adresse e-mail à laquelle vous souhaitez recevoir des rapports agrégés dans le champ « E-mail du rapport ». Nous vous recommandons de ne pas utiliser votre adresse e-mail principale afin de ne pas encombrer votre boîte de réception de rapports quotidiens.
- Entrez votre adresse e-mail dans le champ « Signalement des défaillances » pour recevoir les rapports médico-légaux de la DMARC.
- Une fois que vous avez rempli le reste de vos informations, cliquez sur « générer »
- Publiez votre enregistrement dans votre DNS lorsqu’il est prêt.
Maintenant que nous avons discuté de l’utilisation et du processus des rapports DMARC, analysons les deux types de rapports :
Rapports agrégés (rua)
Les rapports comportant une balise rua sont essentiellement des rapports descriptifs généraux.
Ces rapports sont envoyés au format XML et peuvent apparaître comme suit :
Quelles sont les informations clés incluses dans un rapport DMARC agrégé ?
Reporting Period | Timeframe the Report Covers |
Sender IP Addresses | IP addresses that sent emails on behalf of your domain |
SPF Results | Including nº of messages that passed SPF, nº of messages that failed SPF, and domains involved in SPF authentication |
DKIM Results | Including nº of messages that passed DKIM, nº of messages that failed DKIM, and DKIM signatures used |
DMARC Results | Including nº of messages that aligned with your DMARC policy, nº of messages that did not align and the disposition applied |
Authentication Results | Summary of authentication methods used |
Message Count | Total number of messages received from each source |
Failure Details | Information on failed authentication methods |
Message Headers | Headers of failed authentication messages |
Aggregate Statistics | Summary statistics including percentage of authenticated and failed messages, among other metrics |
Reporting Identifier | An identifier to match reports to specific DMARC configurations |
Rapports de défaillance (ruf)
Ces rapports sont envoyés en temps réel et concernent des messages spécifiques, généralement en texte brut.
Message Headers | Full header of the failed email |
Message Body | Content of failed email |
Authentication Results | Authentication check details and why they failed |
Envelope Sender | Email address used as the return path for the failed message |
DKIM Signature Information | In case of DKIM authentication failure, report includes details of the DKIM signature used, such as selector and domain |
SPF Information | In case of SPF authentication failure, the report includes information about the SPF record for the sending domain and the IP address that sent the message |
Autenthication-Results Header | Summary of authentication results, including failure checks and why they failed |
DMARC Policy | Policy type (quarantine or reject) |
Timestamps | When the message was received and when the failure report was generated |
Message Size | Size of the failed message |
Reporting Source | Information about the source that generated and sent the DMARC failure report |
Additional Metadata | Additional information that can be helpful in the failure analysis and authentication failure |
Principaux points à retenir
La configuration technique de votre domaine est essentielle si vous souhaitez protéger la délivrabilité de vos e-mails et vous assurer que vos e-mails arrivent là où vous le souhaitez.
Si vous débutez, assurez-vous de garder votre politique DMARC légère et de vérifier régulièrement vos rapports agrégés et médico-légaux afin de mieux comprendre ce que vous devez corriger et ajuster. Au fur et à mesure, vous serez en mesure de définir une politique plus stricte.
Maintenant que vous faites tout ce qui est en votre pouvoir pour protéger la délivrabilité de vos e-mails, laissez-nous vous aider également.
Avec tire-lait vous pouvez activer votre compte e-mail pour ne pas être signalé comme spam lorsque vous lancez vos campagnes !