Démarrer avec DMARC
DMARC
Authentification des messages par domaine, rapports et conformité
Obtenez la visibilité et le contrôle de votre courrier électronique.
DMARC, une norme libre, utilise un concept appelé alignement pour lier le résultat de deux autres normes libres, SPF (une liste publiée de serveurs autorisés à envoyer du courrier électronique au nom d'un domaine) et DKIM (un sceau de domaine inviolable associé à un élément de courrier électronique), au contenu d'un courrier électronique.
Si vous ne l'avez pas encore fait, la mise en place d'un enregistrement DMARC pour votre domaine vous fournira un retour d'information qui vous permettra, le cas échéant, de résoudre les problèmes liés à vos configurations SPF et DKIM. Si vous n'avez pas encore déployé SPF ou DKIM, nous avons des outils pour vous aider.
L'adoption de DMARC implique la création d'un enregistrement DMARC, sa publication et l'utilisation des informations générées pour mieux comprendre et contrôler la manière dont vos domaines traitent les e-mails.
DMARC aide à légitimer votre courriel en faisant deux choses :
- Donne des informations sur l'e-mail lui-même, y compris des informations sur l'alignement SPF et/ou DKIM.
- Indique aux récepteurs de courrier électronique (comme Gmail et Yahoo) comment traiter les messages qui ne sont pas conformes à ces protocoles.
Pour mieux comprendre le fonctionnement de DMARC et les protections qu'il offre à une organisation, nous avons créé la DMARC Academy, un programme gratuit destiné à aider les gens à comprendre et à déployer DMARC.
Il est important de commencer par évaluer la taille et la complexité de l'infrastructure de messagerie de votre organisation. Les domaines de messagerie sont une ressource partagée au sein de la plupart des organisations, dont l'utilisation s'étend à plusieurs départements, à des fournisseurs tiers et même aux applications de l'organisation orientées vers l'internet. Les domaines étant partagés, la réussite d'un projet DMARC nécessite une forte communication entre les services et des processus clairs de gestion des domaines.
Lors du déploiement de DMARC, il est préférable de l'étendre à l'ensemble des domaines d'une organisation plutôt que de se concentrer sur des domaines individuels. Le déploiement de DMARC dans l'ensemble de votre portefeuille de domaines offre une visibilité organisationnelle, et les responsables disposent de nouveaux outils pour s'assurer que tous les courriels sont envoyés conformément aux normes de l'organisation.
Pour commencer, dressez une liste de tous les domaines de votre organisation afin de pouvoir mettre en place DMARC de manière systématique. Il sera également important de savoir qui, au sein de l'organisation, utilise les domaines et est propriétaire des fournisseurs tiers pour ce domaine, car vous aurez besoin de leur soutien pour ne pas perturber les flux de courrier.
Une politique DMARC permet à un propriétaire de domaine d'indiquer que ses messages sont protégés par SPF et/ou DKIM, et indique au destinataire ce qu'il doit faire si aucun de ces éléments n'est vérifié pour un courriel particulier, par exemple le marquer comme courrier indésirable ou rejeter la livraison du message. Les propriétaires de domaines peuvent définir leur politique DMARC (appelée "p=") afin de déterminer ce qu'il convient de faire des courriers électroniques non conformes :
- Surveillance (p=none) pas d'impact sur les flux de courrier (seul le retour d'information DMARC est collecté).
- Mettre en quarantaine (p=quarantine) les messages qui ne répondent pas aux critères DMARC (par exemple, les déplacer dans le dossier spam).
- Rejeter (p=reject) les messages qui ne répondent pas aux critères DMARC (ne pas accepter le courrier du tout).
Les politiques DMARC commencent généralement par un état de p=none, qui est une phase de surveillance donnant une visibilité sur la façon dont votre domaine est utilisé et sur le fonctionnement de SPF et/ou DKIM, et évoluent vers une politique de p=reject.
Avant de mettre en œuvre votre politique DMARC, assurez-vous que toutes vos sources sont alignées, c'est-à-dire que le domaine figurant dans l'en-tête "From :" doit correspondre au domaine validé par SPF et/ou au domaine source figurant dans une signature DKIM valide.
Pour commencer à générer des données DMARC, vous devez d'abord publier un enregistrement DMARC pour chaque domaine que vous souhaitez surveiller. L'assistant DMARC Record de dmarcian facilite la création d'un enregistrement DMARC.
Un enregistrement DMARC fait partie de votre enregistrement DNS (Domain Name System), qui achemine le trafic sur l'internet. L'enregistrement DMARC de votre domaine est une entrée de texte dans l'enregistrement DNS qui indique au monde la politique de votre domaine de messagerie basée sur les protocoles SPF et DKIM configurés. L'enregistrement DMARC indique également l'adresse à laquelle les rapports DMARC doivent être envoyés, ce qui fait partie du précieux retour d'information fourni par DMARC.
Voici des instructions sur la façon de publier un enregistrement DMARC auprès de votre hôte DNS.
Une fois que vous avez publié les enregistrements DMARC, les données DMARC commencent généralement à être générées en un jour ou deux sous la forme de rapports qui vous donnent un aperçu de la manière dont vos domaines traitent le courrier électronique.
Ces rapports sont basés sur le langage XML et peuvent être difficiles à lire et à interpréter, surtout lorsqu'ils se comptent par milliers.
La plateforme de gestion DMARC de dmarcian est spécialisée dans le traitement de ces rapports et l'identification des domaines d'amélioration afin que DMARC puisse être plus facilement déployé au sein d'une organisation. Vous pouvez tester la plateforme dmarcian gratuitement pendant 14 jours. Nous classons les sources d'email et vous présentons le statut de conformité DMARC (basé sur les sources d'email, DKIM et SPF), et nous vous alertons en cas de menaces potentielles ou d'abus sur vos domaines.
La politique DMARC de p=reject indique aux destinataires du courrier électronique de refuser les courriels qui ne répondent pas aux critères DMARC. Par défaut, les courriels qui échouent dans le cadre d'une politique de rejet ne sont pas acceptés. La politique p=reject est le contrôle ultime pour empêcher les messages non authentifiés d'être délivrés à partir de votre domaine. En savoir plus sur l'amélioration de votre politique DMARC.
Dépannage
La valeur de DMARC réside dans la visibilité qu'il offre sur l'état de santé de votre catalogue de domaines. Pour les domaines d'envoi actifs, les données devraient apparaître dans les 24 à 48 heures suivant la publication d'un enregistrement DMARC, en fonction de la propagation DNS.
Si vous rencontrez des problèmes pour recevoir des données DMARC, consultez cet article pour connaître les problèmes courants et leurs solutions.
Nous sommes des personnes qui aident d'autres personnes
Besoin d'aide ?
On estime que seulement 30 % des organisations qui entament le processus de déploiement de DMARC le terminent.
Le défi n'est pas la spécification elle-même, mais l'écosystème du courrier électronique et l'interprétation du retour d'information fourni par DMARC. Le déploiement de DMARC est un projet qui nécessite une planification, une communication et une exécution au niveau de l'ensemble de l'organisation pour atteindre l'objectif de visibilité et de contrôle de vos domaines de messagerie. Le processus d'adoption de DMARC par une organisation peut être décourageant ; avec le bon partenaire, il peut être facilement géré.
Si vous avez besoin d'aide pour mettre en place DMARC, nous vous proposons quelques options.
