L'email est un outil incontournable pour la communication professionnelle et personnelle. Cependant, il est également un vecteur de menaces potentielles, comme le phishing. Pour atténuer ces risques, la configuration du DMARC en complément du DKIM et du SPF constitue le trio d'authentification indispensable à tout annonceur soucieux de sa délivrablité.
Dans cet article, nous allons expliquer ce qu'est le DMARC, pourquoi il est essentiel de le configurer, et comment le faire, avec des exemples concrets.
A compter du 1er février 2024, la mise en place d'une politique DMARC est obligatoire pour tous les expéditeurs utilisant un service d'emailing professionnel.
TABLE DES MATIÈRES
- Qu'est-ce que le DMARC ?
- Pourquoi est-il important de configurer DMARC ?
- Où configurer DMARC ?
- Exemple concret de configuration DMARC
Qu'est-ce que le DMARC ?
DMARC (Domain-based Message Authentication, Reporting, and Conformance) est une norme de sécurité de courrier électronique conçue pour empêcher l'usurpation de domaines, c'est-à-dire l'envoi de courriers électroniques frauduleux prétendant provenir d'un domaine légitime. En combinant des protocoles tels que SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail), DMARC vérifie l'authenticité des courriers électroniques et offre un moyen de signaler les résultats de ces vérifications.
Pourquoi est-il important de configurer DMARC ?
- Prévention du phishing : La configuration du DMARC permet de réduire considérablement les risques de phishing en empêchant les attaquants d'usurper votre domaine pour envoyer des courriels malveillants.
- Amélioration de la réputation du domaine : DMARC contribue à renforcer la réputation de votre domaine en signalant aux fournisseurs de services de messagerie que vos courriers électroniques sont authentiques. Cela peut augmenter la délivrabilité de vos courriers électroniques.
- Suivi et rapport : DMARC fournit des rapports détaillés sur les tentatives d'usurpation de domaine, permettant ainsi aux administrateurs de surveiller la sécurité de leurs domaines et de prendre des mesures en cas d'incidents.
Où configurer DMARC ?
La configuration de DMARC se fait au niveau du DNS (Domain Name System) de votre domaine.
Voici les étapes à suivre :
Accès au DNS : Connectez-vous au service DNS de votre domaine, généralement fourni par votre registrar de domaine ou votre hébergeur web.
Création d'un enregistrement DMARC : Créez un enregistrement DNS de type "DMARC" si votre fournisseur le permet ou créez un nouvel enregistrement "TXT"
La déclaration minimale pour un DMARC valide est la suivante :
_dmarc.monentreprise.com. IN TXT v=DMARC1; p=none; rua=mailto:reports@example.com
Liste de l'ensemble des paramètres DMARC :
- v= (Version) : Indique la version du protocole DMARC. Exemple : v=DMARC1.
- p= (Politique) : Détermine la politique de gestion des messages non authentifiés. Les valeurs possibles sont :
- none : Aucune action spécifique demandée.
- quarantine : Marquer les messages non authentifiés comme suspects.
- reject : Rejeter les messages non authentifiés.
- pct= (Pourcentage) : Spécifie le pourcentage du flux de messages auquel la politique DMARC doit être appliquée. La valeur par défaut est 100.
- sp= (Politique pour les Sous-domaines) : Détermine la politique à adopter par le destinataire pour tous les sous-domaines. Si absent, la politique spécifiée par p= est appliquée aux sous-domaines.
- adkim= (Mode d'Alignement pour DKIM) et aspf= (Mode d'Alignement pour SPF) : Indique le mode d'alignement DKIM et SPF . Les valeurs possibles sont :
- r (relaxed) : Mode souple.
- s (strict) : Mode strict.
- rua= (URI de Rapports Agrégés) : Adresses email ou URI où les rapports agrégés (rapports de conformité) doivent être envoyés. dans le cas où les rapports sont envoyé vers une adresse email faire précéder l'email par mailto (rua=mailto:postmaster@exemple.com)
- ruf= (URI de Rapports de Forensic) : Adresses email ou URI où les rapports de forensic (rapports détaillés) doivent être envoyés. dans le cas où les rapports sont envoyé vers une adresse email faire précéder l'email par mailto (ruf=mailto:postmaster@exemple.com)
- fo= (Options de Rapport) : Spécifie les options de rapport. Les valeurs possibles sont :
- 0 : Aucun rapport généré.
- 1 : Rapport généré pour les échecs uniquement.
- d : Rapport généré pour les échecs et les succès.
- rf= (Format de Rapport) : Spécifie le format des rapports. Les valeurs possibles sont :
- afrf : Format AFRF (Authentication Failure Reporting Format).
- iodef : Format IODEF (Incident Object Description Exchange Format).
- ri= (Intervalle de Rapport) : Indique l'intervalle en secondes auquel les rapports doivent être générés.
Test et validation : Avant de définir une action stricte pour les courriers non authentifiés, commencez par configurer DMARC en mode "none". Cela permettra de collecter des rapports sans affecter la délivrabilité des courriers électroniques.
Progression vers le mode "quarantine" ou "reject" : Après avoir analysé les rapports, vous pouvez choisir de passer à un mode plus restrictif, comme "quarantine" (mettre en quarantaine) ou "reject" (rejeter les courriers non authentifiés).
Exemple concret de configuration DMARC
Imaginons que vous gérez le domaine "monentreprise.com".
Voici un exemple d'enregistrement DMARC pour votre domaine
_dmarc.monentreprise.com. IN TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc-rapports@monentreprise.com; ruf=mailto:dmarc-echecs@monentreprise.com; sp=quarantine;"
Dans cet exemple, les rapports DMARC seront envoyés à "dmarc-rapports@monentreprise.com", et les courriers non authentifiés seront mis en quarantaine.
La configuration de DMARC est une étape cruciale pour renforcer la sécurité de votre domaine et prévenir les attaques de phishing. Assurez-vous de surveiller régulièrement les rapports DMARC pour optimiser votre configuration. La mise en place de DMARC est une initiative proactive pour protéger votre entreprise, sa réputation et sa sécurité emailing.