Qu'est-ce que le DMARC?
DMARC (Domain-based Message Authentification, Reporting & Conformance) est un protocole d'authentification par courriel qui s'appuie sur SPF et DKIM. Il permet aux propriétaires de domaines de publier une politique précisant comment les serveurs récepteurs doivent gérer les messages qui échouent à l'authentification, et fournit des mécanismes de rapport pour surveiller l'authentification par courriel.
Pourquoi DMARC est essentiel
SPF et DKIM à eux seuls ont une lacune critique : ils ne disent pas aux récepteurs ce qu'ils doivent faire des messages ratés. Un attaquant peut envoyer des courriels spoofed sans SPF/DKIM, et les récepteurs n'ont aucune orientation.
Le DMARC résout cela par :
- Définition de la politique: Rejeter, mettre en quarantaine ou autoriser les messages ratés
- Exigeant un alignement : L'en-tête doit correspondre aux domaines SPF/DKIM
- Établissement de rapports : Les rapports agrégés et criminalistiques montrent les résultats d'authentification
Fonctionnement du DMARC
1. L'appel d'offres publie la politique DMARC dans DNS (TXT record at dmarc. (En milliers d'euros)
2. Le courriel est envoyé avec: user@domain.com
3. Vérifications de réception SPF et DKIM
4. Le destinataire vérifie l'alignement: Est-ce que le domaine authentifié correspond de l'en-tête ?
5. Politique appliquée: D'après les dossiers du DMARC (aucun, quarantaine, rejet)
6. Rapports envoyés: Agrément des rapports aux adresses spécifiées
Alignement du DMARC
DMARC exige un "alignement" – le domaine de l'en-tête From doit correspondre à l'un ou l'autre :
- Alignement du FPS: Le domaine de l'expéditeur d'enveloppes (MAIL FROM)
- Alignement DKIM: Le domaine d= de la signature DKIM
Sans alignement, SPF/DKIM passe mais DMARC échoue.
Format de l'enregistrement DMARC
Les enregistrements DMARC sont des enregistrements TXT à dmarc.yourdomain.com:
_dmarc.example.com. IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc@example.com"Étiquettes DMARC
| Balise | Requis | Désignation des marchandises | Exemple |
|---|---|---|---|
| V | Oui | Version | v=DMARC1 |
| p | Oui | Politique | p=none/quarantine/rejet |
| Rua | Numéro | Rapport global URI | Rua=mailto:reports@example.com |
| uf | Numéro | Rapport médico-légal URI | uf=mailto:forensic@example.com |
| pct | Numéro | Pourcentage politique | pct=100 |
| Sp | Numéro | Sous-domaine politique | sp=reject |
| adkim | Numéro | Mode d'alignement DKIM | adkim=s (strict) ou adkim=r (relaxé) |
| aspf | Numéro | Mode d'alignement SPF | aspf=s ou aspf=r |
Politiques du DMARC
p=none: Surveillez seulement — ne prenez aucune mesure sur les messages échouésv=DMARC1; p=none; rua=mailto:dmarc@example.comv=DMARC1; p=quarantine; rua=mailto:dmarc@example.comv=DMARC1; p=reject; rua=mailto:dmarc@example.comVoie de mise en œuvre du DMARC
Phase 1: Surveillance (p=none)
Commencez par la surveillance pour comprendre votre écosystème de courriel:
v=DMARC1; p=none; rua=mailto:dmarc-reports@example.comAnalyser les rapports de 2 à 4 semaines pour déterminer :
- Services d'envoi légitimes manquants SPF/DKIM
- expéditeurs non autorisés
- Questions d'alignement
Phase 2: quarantaine (p=quarantine)
Une fois les sources légitimes authentifiées:
v=DMARC1; p=quarantine; pct=10; rua=mailto:dmarc-reports@example.comUtiliser pct=10 pour la quarantaine seulement 10% initialement, augmentant progressivement.
Phase 3: Rejet (p=rejeter)
Protection complète:
v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.comRapports du DMARC
Rapports agrégés (rua)
Rapports XML quotidiens montrant les résultats d'authentification sur tout votre courriel :
- Volume des courriels
- Taux de réussite/échec pour SPF, DKIM, DMARC
- Envoi des adresses IP
- Organisations bénéficiaires
Rapport médico-légal (ruf)
Rapports de défaillance individuels (pas tous les récepteurs les envoient en raison de la vie privée):
- En-têtes complets des messages
- Détails de défaillance d'authentification
Traitement des rapports
Les rapports bruts du DMARC sont XML et difficiles à lire. Utilisez des services comme:
- Analyseur DMARC
- Dmarcien
- Valimail
- Marque postale DMARC
Vérification du DMARC
dig _dmarc.example.com TXTcurl "https://domscan.net/v1/health?domain=example.com"
# Returns hasDMARC status
Questions communes au DMARC
Aucun rapport reçu : Assurez-vous que l'adresse rua peut recevoir de grands courriels; certains fournisseurs filtrent. Échec légitime du courriel: Vérifiez la configuration SPF/DKIM pour tous les services d'envoi; vérifiez l'alignement. Services de tiers défaillants : De nombreux services nécessitent une configuration DKIM personnalisée pour l'alignement DMARC.DMARC est la pierre angulaire de l'authentification des courriels – l'appliquer après que SPF et DKIM fonctionnent correctement.