Comment configurer un enregistrement DMARC pour répondre aux besoins de mon organisation ?

OVH

DMARC est un protocole permettant la surveillance et le contrôle des flux e-mails d’un domaine de messagerie.

Si vous n'êtes pas encore familiarisé avec DMARC, SPF et DKIM, il est recommandé de lire des articles sur ces sujets avant de commencer à configurer vos premiers rapports DMARC. :

  • Qu’est-ce que DMARC ? (lien
  • Qu’est-ce que SPF ? (lien)
  • Qu’est-ce que DKIM ? (lien)
  • Comment analyser vos rapports DMARC ? (lien
  • DMARC : études de cas ? (lien)

Prêts à configurer votre premier enregistrement DMARC ?

Pour bénéficier des nombreux avantages offerts par DMARC, il vous suffit de configurer un enregistrement DMARC dans la zone DNS de votre domaine :

  • Hostname : _dmarc.votredomaine.com 
  • Type : TXT 
  • Valeur : plusieurs valeurs possibles

La configuration de cet enregistrement ne prend normalement pas plus de 5 mins. L’objet de cet article est de vous présenter plusieurs valeurs possibles pour votre enregistrement DMARC, qui permettront à votre organisation de répondre à ses besoins sécuritaires, légaux et de contrôle.

Exemples d’enregistrements DMARC communs :

Si vous souhaitez recevoir des rapports DMARC pour savoir qui émet des e-mails avec votre nom de domaine, ainsi que des exemples d’e-mails émis avec votre nom de domaine mais échouant leurs tests SPF ou DKIM :

v=DMARC1; p=none; rua=mailto:votremail@votredomaine.com; ruf=mailto:votremail@votredomaine.com; fo=1;

Si vous souhaitez recevoir des rapports DMARC pour savoir qui émet des e-mails avec votre nom de domaine, mais, vous ne souhaitez pas recevoir des exemples d’e-mails émis avec votre nom de domaine, afin de ne stocker aucune donnée personnelle (adresses e-mails, sujets d’e-mails, etc.) :

v=DMARC1; p=none; rua=mailto:votremail@votredomaine.com;

Si vous souhaitez que vos destinataires réceptionnent les e-mails non authentifiés par votre organisation dans leur dossier de spams :

v=DMARC1; p=quarantine; rua=mailto:votremail@votredomaine.com;

Si vous souhaitez que vos destinataires ne réceptionnent pas les e-mails non authentifiés par votre organisation :

v=DMARC1; p=reject; rua=mailto:votremail@votredomaine.com;

Si vous souhaitez que vos destinataires ne réceptionnent pas les e-mails non authentifiés par votre organisation lorsqu’ils sont émis par votre top domaine, mais, vous souhaitez tolérer la réception d’e-mails non authentifiés lorsque ceux-ci sont émis avec des sous domaines :

v=DMARC1; p=reject; sp=none; rua=mailto:votremail@votredomaine.com;

Si vous souhaitez que vos destinataires ne réceptionnent pas les e-mails non authentifiés par votre organisation, mais, vous acceptez qu’ils réceptionnent des e-mails non authentifiés lorsque ceux-ci sont émis par un sous domaine en particulier :

Configurer une politique DMARC de type surveillance sur le « sous domaine » à ne pas contrôler :

  • Hostname : _dmarc.sousdomaineanepasproterger.votredomaine.com
  • Type : TXT
  • Valeur : v=DMARC1; p=none; rua=mailto:votremail@votredomaine.com;

Si vous souhaitez que vos destinataires réceptionnent seulement 30% des e-mails non authentifiés par votre organisation dans leur dossier de spams :

v=DMARC1; p=quarantine; pct=30 ; rua=mailto:votremail@votredomaine.com;

Cet enregistrement DMARC permet de progressivement déployer DMARC en mode « quarantine » en contrôlant les risques au cas ou certaines sources e-mails légitimes n’auraient pas été identifiées lors de l’analyse des rapports DMARC.

Si vous souhaitez cloisonner vos fournisseurs afin qu’ils ne puissent émettre des e-mails qu’avec le sous domaine qu’il leur a été confié :

v=DMARC1; p=reject; adkim=s; aspf=s; rua=mailto:votremail@votredomaine.com;

La surveillance des rapports DMARC : une tâche régulière sur la durée 

La mise en place de ces enregistrements DMARC vous permettra de réceptionner un grand nombre de rapports XML DMARC comme celui-ci :

Un exemple de rapport DMARC (fichier XML)

Une fois DMARC implémenté en mode « blocage », il sera nécessaire d'analyser régulièrement les rapports DMARC pour vous assurer que toutes vos sources légitimes d’e-mails ont été authentifiés avec SPF/DKIM. Le mécanisme (SPF/DKIM/DMARC) nécessite un entretien régulier et minutieux.

Pour vous assister, notre solution permet de recevoir des alertes en temps réel si un nouveau système légitime envoie des e-mails sous votre nom de domaine, en cas d'usurpation massive de votre domaine par des pirates, ou si des domaines similaires aux vôtres ou à ceux de vos partenaires sont enregistrés. Prochainement, pour contrôler le taux de plaintes sur Gmail et éviter le dossier spam, notre outil d'analyse DMARC offrira des alertes automatiques lorsque le taux de spam de vos domaines et sous-domaines excédera 0,1% (1 pour 1000).

Sécurité renforcée des e-mails avec DMARC : La détection des comptes d'envoi compromis est améliorée grâce à l'utilisation de statistiques appliquées combinées à l'apprentissage automatique, ce qui permet un blocage rapide des attaques.

Rejoignez notre réseau de clients

broken image