DMARC utilise un concept appelé alignement pour lier le résultat de deux autres standards open source au contenu d’un courriel : SPF (une liste publiée des serveurs autorisés à envoyer des courriels au nom d’un domaine) et DKIM (sceau de domaine inviolable associé à un courriel). Si vous ne l’avez pas encore fait, ajoutez un enregistrement DMARC à votre domaine. Vous recevrez par la suite de la rétroaction qui vous aidera à configurer SPF et DKIM si nécessaire.

L’implémentation de DMARC implique la création et publication d’un enregistrement DMARC, et l’utilisation des informations générées pour avoir un aperçu et un contrôle sur la façon dont vos domaines gèrent le courrier électronique. DMARC aide à légitimer votre courrier électronique en faisant deux choses :

  • Elle donne un retour d’information sur le courrier électronique lui-même, y compris des informations sur l’alignement SPF et/ou DKIM.
  • Elle indique aux destinataires du courrier électronique (comme Gmail et Yahoo) comment traiter les messages qui ne sont pas conformes à ces protocoles.

dmarcian peut aider votre organisation à chaque étape : avec le déploiement des technologies sous-jacentes de DMARC et la compréhension des données qu’il génère, mais aussi avec l’obtention d’une vision et d’un contrôle total sur la façon dont vos domaines de messagerie sont utilisés.

Évaluation

Le travail nécessaire au déploiement de DMARC est directement lié à la taille et à la complexité de l’infrastructure de messagerie d’une organisation. DMARC est un contrôle de la messagerie électronique basé sur un domaine et les domaines de messagerie sont une ressource partagée au sein de la plupart des organisations, ayant comme utilisateurs: des employés, des départements entiers, des parties externes qui envoient des messages électroniques au nom de l’organisation et ses propres applications orientées vers l’Internet.

Lors du déploiement de DMARC, il est préférable de la déployer sur l’ensemble des domaines d’une organisation plutôt que de se concentrer sur des domaines individuels. Lorsque la norme DMARC est déployée dans une organisation sur l’ensemble du portefeuille de domaines, le processus de déploiement lui-même devient beaucoup plus facile car il y a une visibilité complète de l’organisation, et les responsables disposent de nouveaux outils pour s’assurer que tous les courriers électroniques soient envoyés en conformité avec les normes de l’organisation.

Publier un enregistrement DMARC

Pour commencer à générer des données DMARC, vous devez d’abord publier un enregistrement DMARC pour chaque domaine que vous souhaitez surveiller. Avec DMARC Record Wizard (assistant d’enregistrement DMARC) de dmarcian il est facile de créer un enregistrement DMARC.

Un enregistrement DMARC existe dans le cadre de votre enregistrement DNS (Domain Name System), qui achemine le trafic sur l’internet. Vous pouvez inclure des informations supplémentaires dans le DNS, telles que l’enregistrement DMARC de votre domaine : une entrée de texte dans l’enregistrement DNS qui indique la politique de votre domaine de messagerie électronique en fonction de la configuration des protocoles SPF et DKIM.

Voici des instructions sur comment publier un enregistrement DMARC avec votre hôte DNS

Une fois les enregistrements DMARC publiés, les données DMARC commencent à être générées généralement dans un jour ou sous la forme de rapports qui vous fourniront un aperçu de la façon dont vos domaines traitent les courriels. Ces rapports sont basés sur XML et peuvent être difficiles à lire et à comprendre, surtout lorsqu’ils se comptent par milliers. La plateforme DMARC SaaS de dmarcian se spécialise dans le traitement de ces rapports et l’identification des étapes nécessaires pour déployer plus facilement DMARC dans une organisation. Nous classons les sources de courrier électronique et vous indiquons le statut de conformité à DMARC (basé sur la source de courrier électronique, DKIM et SPF), et nous vous informons de toute menace potentielle ou de toute utilisation abusive de vos domaines.

Transmettre des données à dmarcian

Il existe différentes façons de faire traiter les données par dmarcian :

  • Envoyer les données directement à dmarcian
    L’option la plus pratique pour faire traiter les données est d’envoyer vos rapports DMARC directement à dmarcian pour traitement. Lors de la création de votre compte, vous recevrez une adresse électronique où vous pourrez envoyer les rapports DMARC pour traitement.
  • Envoyer les données à votre compte dmarcian
    Si vous avez déjà des rapports DMARC en cours de génération, ou si vous ne souhaitez pas envoyer de rapports directement à dmarcian, vous pouvez transmettre les rapports DMARC à l’adresse fournie lors de votre inscription.
  • Télécharger les données directement sur dmarcian
    Si vous disposez déjà de données XML DMARC, vous pouvez les télécharger à l’aide du XML-to-Human Converter (convertisseur XML-humain). Vous recevrez un rapport détaillé de vos données, mais l’historique de vos données ne sera pas stocké si vous n’êtes pas connecté.

Politique DMARC

Pour qu’un courriel soit considéré conforme aux normes DMARC, le domaine trouvé dans l’en-tête « From: » doit correspondre au domaine validé par SPF ou au domaine source trouvé dans une signature DKIM valide. Si les domaines correspondent et qu’au moins un des deux mécanismes réussit à la vérification, les destinataires peuvent dire en toute sécurité que le courriel provient légitimement du domaine spécifié.

Table avec différentes formes d'alignement avec dmarc, spf et dkim

* Si SPF ou DKIM est absent, cette vérification individuelle échouera, entraînant une réussite uniquement pour l’un de deux. Si le SPF et le DKIM sont tous deux absents, DMARC échouera automatiquement.

Une politique DMARC permet à un propriétaire de domaine d’indiquer que ses messages sont protégés par SPF et/ou DKIM et indique au destinataire ce qu’il doit faire si aucun des deux n’est vérifié dans un courriel particulier, par exemple le marquer comme courrier indésirable ou refuser la livraison du message. Les propriétaires de domaines peuvent définir leurs politiques DMARC (appelées « p= ») pour déterminer ce qu’il faut faire avec des courriers électroniques non conformes :

  • Surveillance (p=none) n’affecte pas le flux des courriels (seul le retour d’information du DMARC est collecté)
  • Quarantaine (p=quarantine) les messages qui ne passent pas le contrôle DMARC (déplacer, par exemple, vers le dossier Courrier électronique indésirable)
  • Rejet (p=reject) les messages qui ne passent pas le contrôle de DMARC (rejeter le courriel)

Le chemin vers p=reject

Les politiques DMARC commencent généralement à un état de p=none, une phase de surveillance qui donne une visibilité sur la façon dont votre domaine est utilisé et comment SPF et / ou DKIM fonctionnent et évoluent vers une politique de p=reject. Rejet est une indication pour les destinataires des courriels de refuser un courriel qui échoue DMARC. Par défaut, les courriels qui échouent sous une politique de rejet ne sont pas acceptés. Ce comportement constitue un excellent contrôle contre l’envoi de courriels non autorisés utilisant votre domaine.

On estime que seulement 30% des organisations qui commencent le processus d’implémentation DMARC arrivent à le compléter. Le défi n’est pas dans la spécification elle-même, mais dans l’écosystème de messagerie et dans l’interprétation des commentaires fournis. Le processus d’adoption de DMARC dans une organisation peut être décourageant, mais avec le bon partenaire, il peut être facilement géré.

Dépannage

Des problèmes dans des enregistrements DMARC

Des problèmes dans un enregistrement DMARC peuvent empêcher la génération fiable de données DMARC. Utilisez DMARC Inspector  (l’inspecteur DMARC) pour inspecter votre domaine et résoudre les problèmes liés à votre enregistrement DMARC.

Des problèmes courants pendant l’enregistrement :

  • La balise v =DMARC1 n’est pas facultative et est sensible à la casse. Attention ! DMARC1 doit être en majuscule !
  • Les adresses à l’intérieur des étiquettes rua et ruf doivent être au format URI (c’est-à-dire mailto:user@example.com)
  • Votre enregistrement DMARC doit être inclus dans l’adresse: _dmarc.[votredomain].com

Problèmes de livraison de données DMARC à dmarcian

Pour les domaines d’envoi actifs, vous commencerez généralement à voir des données DMARC dans un jour ou deux. Si votre domaine n’envoie pas une quantité importante de courriels, cela prendra plus de temps avant que les données DMARC n’apparaissent. Si vous rencontrez des difficultés pour générer des données dans votre compte dmarcian, essayez les ressources suivantes :

Si vous avez toujours des problèmes pour faire entrer des données DMARC dans votre compte, veuillez nous contacter et nous faire savoir quel est votre problème.