Comment configurer un enregistrement DMARC, pour répondre aux besoins de mon organisation ?

DMARC est un protocole permettant la surveillance et le contrôle des flux e-mails d’un domaine de messagerie.

Si vous ne connaissez pas encore DMARC, SPF, et DKIM, nous vous conseillons de lire des articles avant de vous lancer dans la configuration de vos premiers rapports DMARC : 

  • Qu’est-ce que DMARC ? (lien
  • Qu’est-ce que SPF ? (lien)
  • Qu’est-ce que DKIM ? (lien)
  • Comment analyser vos rapports DMARC ? (lien
  • DMARC : études de cas ? (lien)

Prêts à configurer votre premier enregistrement DMARC ?

Pour profiter des multiples avantages que procure DMARC, il suffit de configurer un enregistrement DMARC dans votre zone DNS :

  • Hostname : _dmarc.votredomaine.com 
  • Type : TXT 
  • Valeur : plusieurs valeurs possibles

La configuration de cet enregistrement ne prend normalement pas plus de 5 mins. L’objet de cet article est de vous présenter plusieurs valeurs possibles pour votre enregistrement DMARC, qui permettront à votre organisation de répondre à ses besoins sécuritaires, légaux et de contrôle.

Exemples d’enregistrements DMARC communs :

Vous souhaitez recevoir des rapports pour savoir qui émet des e-mails avec votre nom de domaine, ainsi que des exemples d’e-mails émis avec votre nom de domaine mais échouant leurs tests SPF ou DKIM :

v=DMARC1; p=none; rua=mailto:votremail@votredomaine.com; ruf=mailto:votremail@votredomaine.com; fo=1;

Vous souhaitez recevoir des rapports pour savoir qui émet des e-mails avec votre nom de domaine, mais, vous ne souhaitez pas recevoir des exemples d’e-mails émis avec votre nom de domaine, afin de ne stocker aucune donnée personnelle (adresses e-mails, sujets d’e-mails, etc.) :

v=DMARC1; p=none; rua=mailto:votremail@votredomaine.com;

Vous souhaitez que vos destinataires réceptionnent les e-mails non authentifiés par votre organisation dans leur dossier de spams :

v=DMARC1; p=quarantine; rua=mailto:votremail@votredomaine.com;

Vous souhaitez que vos destinataires ne réceptionnent pas les e-mails non authentifiés par votre organisation :

v=DMARC1; p=reject; rua=mailto:votremail@votredomaine.com;

Vous souhaitez que vos destinataires ne réceptionnent pas les e-mails non authentifiés par votre organisation lorsqu’ils sont émis par votre top domaine, mais, vous souhaitez tolérer la réception d’e-mails non authentifiés lorsque ceux-ci sont émis avec des sous domaines :

v=DMARC1; p=reject; sp=none; rua=mailto:votremail@votredomaine.com;

Vous souhaitez que vos destinataires ne réceptionnent pas les e-mails non authentifiés par votre organisation, mais, vous acceptez qu’ils réceptionnent des e-mails non authentifiés lorsque ceux-ci sont émis par un sous domaine en particulier :

Configurer une politique DMARC de type surveillance sur le « sous domaine » à ne pas contrôler :

  • Hostname : _dmarc.sousdomaineanepasproterger.votredomaine.com
  • Type : TXT
  • Valeur : v=DMARC1; p=none; rua=mailto:votremail@votredomaine.com;

Vous souhaitez que vos destinataires réceptionnent seulement 30% des e-mails non authentifiés par votre organisation dans leur dossier de spams :

v=DMARC1; p=quarantine; pct=30 ; rua=mailto:votremail@votredomaine.com;

Cet enregistrement DMARC permet de progressivement déployer DMARC en mode « quarantine » en contrôlant les risques au cas ou certaines sources e-mails légitimes n’auraient pas été identifiées lors de l’analyse des rapports DMARC.

Vous souhaitez cloisonner vos fournisseurs afin qu’ils ne puissent émettre des e-mails qu’avec le sous domaine qu’il leur a été confié :

v=DMARC1; p=reject; adkim=s; aspf=s; rua=mailto:votremail@votredomaine.com;

La surveillance des rapports DMARC : une tâche régulière sur la durée 

La mise en place de ces enregistrements DMARC vous permettra de réceptionner un grand nombre de rapports XML DMARC comme celui-ci :

Un exemple de rapport DMARC (fichier XML)

Une fois DMARC implémenté en mode « blocage », il sera nécessaire de régulièrement analyser les rapports DMARC pour vous assurer que toutes vos sources légitimes d’e-mails ont été authentifiés avec SPF/DKIM. Le mécanisme (SPF/DKIM/DMARC) nécessite un entretien régulier et minutieux.

Pour vous aider, nous avons mis en place un service géré, facile à utiliser pour vous aider à analyser ces rapports :

Service géré DMARC

Tous Les Articles
×

Vous y êtes presque...

Nous venons de vous envoyer un e-mail. Veuillez cliquer sur le lien contenu dans l'e-mail pour confirmer votre abonnement !

OK