DMARC introduit le concept d'« alignement d'identifiants » dans le monde de l'e-mail. Le concept est nécessaire parce que SPF et DKIM sont des technologies autonomes capables d'associer un domaine à un courrier électronique.

Quand un récepteur utilise SPF, le destinataire examine le domaine trouvé dans RFC5321.MailFrom pour savoir où chercher un enregistrement SPF. L’adresse RFC5321.MailFrom est l’entité transmise dans le cadre de la commande « MAIL FROM » pendant la conversation SMTP. Pour aggraver les choses, cette adresse est également appelée « adresse de rebond », « adresse de l'enveloppe », « SPF address », ou l'adresse « ReturnPath »(car elle est copiée dans le contenu des messages électroniques en tant qu'en-tête ReturnPath: en-tête par le destinataire de l'e-mail!). Quand un SPF Si le contrôle est terminé avec succès, les destinataires se voient attribuer un « Identifiant Autorisé » qui est le domaine de RFC5321.MailFrom.

DKIM est similaire en ce sens qu'il génère également un « Identifiant Autorisé ». Cependant, l'identifiant DKIM vient de la balise “d =” qui fait partie de chaque signature DKIM.

Dans le monde de DMARC, tout Identifiant Autorisé doit être pertinent pour le domaine examiné par DMARC, et c'est toujours le domaine trouvé dans l'en-tête From: d'un e-mail.

L'Alignment d'Identifiants est donc le processus de vérification pour s'assurer que les domaines authentifiés par SPF et DKIM soient pertinents pour le domaine trouvé dans l'en-tête From: d'un e-mail.

Un concept déroutant pour ceux qui démarrent avec DMARC.

L'alignement d'identifiants est requis car tout le monde peut déployer SPF et DKIM pour tout courrier électronique aujourd'hui. Si un criminel essaie de parodier bank.com et met en place un domaine criminel.net pour obtenir SPF et DKIM, le fait que SPF et DKIM passent ne veut pas dire que l'authentification ait quelque chose à voir avec bank.com.

De même, les destinataires d'e-mails ne peuvent pas gérer d'énormes listes pour associer les différents domaines de messagerie. Ils doivent traiter leurs e-mails le plus rapidement possible et n'ont pas le temps de démêler les nuances subtiles entre les domaines. Par exemple, si votre fournisseur de service de messagerie utilise «banknewsletter.com» pour SPF et DKIM tout en envoyant au nom de bank.com, l'infrastructure de réception d'e-mails d'Internet n'a aucune idée si banknewsletter.com est légitime, un site d'hameçonnage créé avec soin ou détenu et exploité par la même entité que bank.com.

L'Alignement d'Identifiants indique comment les technologies d'authentification d'e-mails existantes sont adaptées au contenu d'un e-mail.