Étapes pour créer un enregistrement DMARC

1. Vérifiez vos enregistrements SPF et DKIM

Avant de configurer DMARC, assurez-vous que vos enregistrements SPF et DKIM sont correctement configurés. Ces protocoles sont essentiels pour l'authentification des e-mails.

2. Accédez à votre panneau de configuration DNS

Connectez-vous à votre fournisseur de services DNS où votre domaine est enregistré. Vous devrez ajouter un nouvel enregistrement DNS pour DMARC.

3. Créez un nouvel enregistrement TXT

Nom de l'enregistrement : Utilisez "_dmarc" comme nom de l'enregistrement. Par exemple, "_dmarc.votredomaine.com".

Valeur de l'enregistrement : La valeur doit inclure les balises DMARC nécessaires. Voici un exemple de base :

v=DMARC1; p=none; rua=mailto:dmarc-reports@votredomaine.com; ruf=mailto:dmarc-failures@votredomaine.com; sp=none; adkim=s; aspf=s

4. Comprendre les balises DMARC

• v=DMARC1 : balise obligatoire : Indique la version de DMARC utilisée. Doit toujours être indiqué en premier dans votre enregistrement DMARC
• p=none : balise obligatoire : Indique la politique à appliquer aux e-mails destinés au domaine, qui échouent à la vérification DMARC. Les options sont "none" (aucune action), "quarantine" (mettre en quarantaine) ou "reject" (rejeter).
• pct=.. : Le pourcentage de messages auxquels la politique DMARC doit être appliquée (ex: pct=60). Si cette balise est absente: pct=100. Utilisé pour tester progressivement l'impact de la politique.
• rua=mailto:... : L'adresse e-mail où envoyer les rapports agrégés.
• ri=.. : Intervalle de temps (en seconde) pour les rapports agrégés (par exemple, ri=86400 pour des rapports quotidiens). Par défaut (si cette balise est absente): 86400
• ruf=mailto:... : L'adresse e-mail où envoyer les rapports de forensique (détails sur les échecs).
• fo=.. : La balise fo dans DMARC permet de contrôler les rapports de forensique avec les options suivantes : 0 pour aucun rapport, 1 pour un rapport par échec, d pour les échecs de DKIM, et s pour les échecs de SPF.
• rf=afrf : Indique qu'on souhaite recevoir les rapports de forensique au format AFRF (Authentication Failure Reporting Format).
• sp=.. : La politique à appliquer aux e-mails destinés aux sous-domaines, qui échouent à la vérification DMARC. Les options sont "none" (aucune action), "quarantine" (mettre en quarantaine) ou "reject" (rejeter).
• adkim=.. : Alignement DKIM (strict ou relaxed). Si cette balise est absente: relaxed. Voir explications ci-dessous.
• aspf=.. : Alignement SPF (strict ou relaxed). Si cette balise est absente: relaxed. Voir explications ci-dessous.

Notes

• Chaque balise DMARC doit être séparée de la suivante par un point-virgule.
• Si vous souhaitez envoyer les rapports DMARC à une adresse mail d'un autre domaine, il faut créer un enregistrement TXT dans le DNS de cet autre domaine pour indiquer que cet autre domaine souhaite bien recevoir les rapports DMARC.
  Exemple : si votredomaine.com souhaite envoyer les rapports à dmarc@exemple.com, il faut dans le DNS de exemple.com créer un enregistrement TXT votredomaine.com._report._dmarc.exemple.com avec la valeur : v=DMARC1. Si exemple.com veut accepter tous les rapports DMARC venant de n'importe quel domaine, il faut créer un enregistrement TXT *._report._dmarc.exemple.com avec la valeur : v=DMARC1.

Alignement des domaines avec adkim et aspf

L'alignement des domaines est une caractéristique clé de DMARC qui permet de vérifier que le domaine visible dans l'en-tête "From" d'un e-mail correspond à un domaine authentifié par SPF ou DKIM. Cela aide à garantir que l'e-mail provient bien d'une source légitime et non d'un usurpateur.

adkim (Alignement DKIM)

La balise adkim spécifie le mode d'alignement pour DKIM (DomainKeys Identified Mail). Elle indique si le domaine utilisé dans la signature DKIM doit correspondre exactement ou de manière relâchée au domaine visible dans l'en-tête "From".

Valeurs possibles :

• adkim=s : Alignement strict. Le domaine dans la signature DKIM doit correspondre exactement au domaine de l'en-tête "From".
• adkim=r : Alignement relâché : L'alignement est réussi si le domaine dans la signature DKIM et le domaine de l'en-tête "From" partagent le même domaine parent, même s'ils sont des sous-domaines différents.

aspf (Alignement SPF)

La balise aspf spécifie le mode d'alignement pour SPF (Sender Policy Framework). Elle indique si le domaine autorisé par l'enregistrement SPF doit correspondre exactement ou de manière relâchée au domaine visible dans l'en-tête "From".

Valeurs possibles :

• aspf=s : Alignement strict. Le domaine autorisé par SPF doit correspondre exactement au domaine de l'en-tête "From".
• aspf=r : Alignement relâché : L'alignement est réussi si le domaine autorisé par SPF et le domaine de l'en-tête "From" partagent le même domaine parent, même s'ils sont des sous-domaines différents.

Importance de l'Alignement

L'alignement est crucial pour DMARC car il permet de renforcer la sécurité des e-mails en s'assurant que les domaines visibles pour l'utilisateur final (dans l'en-tête "From") sont effectivement contrôlés par l'expéditeur. Cela réduit les risques d'usurpation d'identité et de phishing, car les attaquants ne peuvent pas facilement falsifier les en-têtes visibles sans échouer aux vérifications SPF ou DKIM.

Exemples de politiques DMARC

Politique de surveillance (p=none)

Commencez par une politique de surveillance pour collecter des données sans affecter la délivrabilité des e-mails :

v=DMARC1; p=none; rua=mailto:dmarc-reports@votredomaine.com; sp=none; adkim=s; aspf=s

Politique de quarantaine (p=quarantine)

Une fois que vous êtes à l'aise avec les rapports, vous pouvez passer à une politique de quarantaine :

v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@votredomaine.com; ruf=mailto:dmarc-failures@votredomaine.com; sp=quarantine; adkim=s; aspf=s

Politique de rejet (p=reject)

Enfin, pour une protection maximale, vous pouvez configurer une politique de rejet :

v=DMARC1; p=reject; pct=100; rua=mailto:dmarc-reports@votredomaine.com; ruf=mailto:dmarc-failures@votredomaine.com; sp=reject; adkim=s; aspf=s

Surveillance et ajustements

Après avoir configuré DMARC, surveillez régulièrement les rapports pour ajuster vos politiques en fonction des résultats. Cela vous aidera à identifier les sources légitimes d'e-mails et à bloquer les tentatives d'usurpation.

Vous pouvez, par exemple, utiliser notre Analyseur de rapport DMARC :