Passer au contenu principal
Modes de politique DMARC : Mise en quarantaine ou Rejet

Modes de politique DMARC : Mise en quarantaine ou Rejet

19 décembre 2020
DéploiementConseils techniques

Publiée dans le DNS, une politique DMARC permet à un propriétaire de domaine d'indiquer que ses messages électroniques sont protégés par SPF et/ou DKIM et est utilisée pour déterminer ce qui est fait des e-mails non conformes :

  • p=none est utilisé pour collecter des retours et obtenir une visibilité sur les flux d'e-mails sans impacter les flux existants. C'est une première étape cruciale.
  • p=quarantine permet aux récepteurs d'e-mails de traiter les e-mails qui échouent à la vérification DMARC comme suspects et de les classer dans un dossier SPAM.
  • p=reject demande aux récepteurs d'e-mails de rejeter les e-mails qui échouent à la vérification DMARC.

Les gens nous demandent souvent : « Quelle est la différence entre les politiques DMARC de quarantaine et de rejet, et que se passera-t-il lorsque je publierai ces politiques ? »

Comprendre ce qui se passe lorsqu'une politique DMARC de quarantaine ou de rejet est publiée est assez important, nous avons donc rassemblé des informations pour aider à clarifier leurs différences.

Quarantaine

Une politique DMARC définie sur p=quarantine demande aux récepteurs d'e-mails de traiter les e-mails qui échouent à la vérification DMARC avec une vigilance accrue. L'e-mail est toujours accepté et il appartient à chaque récepteur d'implémenter ce que quarantine signifie. Les implémentations possibles incluent les suivantes :

  • Livrer dans le dossier de spam : si un récepteur d'e-mails héberge la boîte aux lettres du destinataire, alors le récepteur pourrait être en mesure de livrer les e-mails non conformes dans le dossier de spam du destinataire.
  • Quarantaine temporaire : un récepteur d'e-mails peut choisir de mettre temporairement en quarantaine les e-mails non conformes afin qu'une analyse supplémentaire de l'e-mail puisse être effectuée. Un opérateur peut ensuite libérer l'e-mail de la quarantaine après examen.
  • Augmenter l'agressivité du filtrage anti-spam : Le filtrage anti-spam est un compromis entre l'identification d'un maximum de spams et l'identification accidentelle d'e-mails souhaités comme spams. Les e-mails qui relèvent d'une politique DMARC définie sur quarantaine sont plus susceptibles d'être jugés comme des spams.

L'important à savoir concernant la publication d'une politique de quarantaine est que les e-mails non conformes sont toujours livrés. En raison de technologies non-DMARC qui peuvent être présentes pour bloquer le spam, l'e-mail peut ou non arriver à sa destination finale, mais les e-mails continueront de circuler depuis les serveurs de messagerie.

L'impact d'une politique de quarantine sur les e-mails légitimes non conformes ne sera donc pas immédiatement évident pour les sources de ces e-mails. La source d'e-mails légitimes mais non conformes constatera une diminution des performances de ses communications par e-mail. En raison des différentes manières dont la politique DMARC de quarantine est implémentée, l'e-mail de la source sera classé comme spam, retardé et potentiellement supprimé par les récepteurs d'e-mails. À moins que la source de l'e-mail affecté ne prête une attention particulière à ses propres performances, l'impact de la quarantine pourrait passer inaperçu pendant une longue période.

Rejeter

Une politique DMARC définie sur p=reject demande aux récepteurs d'e-mails de refuser d'accepter les e-mails qui échouent à la vérification DMARC. Il existe deux implémentations connues :

  • Refuser d'accepter les e-mails non conformes au moment du SMTP. C'est l'implémentation préférée et la plus largement adoptée car la livraison aux récepteurs vérifiant DMARC est empêchée. Les expéditeurs seront immédiatement informés des raisons pour lesquelles les e-mails non conformes ne sont pas livrés.
  • Accepter initialement l'e-mail via SMTP, puis empêcher la livraison finale de l'e-mail qui échoue à la vérification DMARC. Cette implémentation est moins optimale car la responsabilité de la livraison d'un e-mail a été assumée via SMTP, et pourtant l'e-mail n'est finalement pas livré. Lorsque la livraison échoue, l'une des deux choses suivantes peut se produire :
    • une notification d'état de livraison (également appelée message de « bounce ») est générée, ou
    • l'e-mail non conforme est silencieusement supprimé.

Par défaut, les e-mails qui tombent sous une politique DMARC p=reject ne sont pas livrés. Ce comportement constitue un excellent contrôle contre l'envoi d'e-mails non autorisés.

L'impact d'une politique de reject sur les e-mails légitimes mais non conformes sera donc immédiatement évident – les e-mails cesseront de circuler. Lors du passage à une politique de reject, un propriétaire de domaine doit être prêt à gérer les sources légitimes d'e-mails qui pourraient rencontrer des politiques basées sur le reject, car la source de l'e-mail nécessitera sûrement une assistance pour se conformer à DMARC.

Minimiser l'impact de la politique

DMARC est conçu pour offrir aux propriétaires de domaines une visibilité, via des rapports de feedback, sur la performance de leurs domaines. Les propriétaires de domaines sont censés utiliser cette visibilité pour mettre leurs sources légitimes d'e-mails en conformité avec DMARC avant de déployer la politique DMARC de quarantine ou de reject. Lorsqu'elles sont déployées correctement, l'impact des politiques de quarantine ou de reject sur les e-mails légitimes est minimal.

Une note sur le transfert d'e-mails

Même lorsque les propriétaires de domaines suivent les étapes appropriées pour déployer DMARC et que toutes les sources légitimes d'e-mails envoient des e-mails conformes à DMARC, le transfert d'e-mails peut présenter des défis. Lorsque le transfert a lieu, les e-mails peuvent circuler vers les récepteurs par des routes qui compromettent la capacité de DMARC à déterminer si l'e-mail est autorisé. Même si le propriétaire du domaine fait tout correctement, certains e-mails légitimes peuvent toujours être affectés par les politiques DMARC de quarantine ou de reject. La visibilité que DMARC offre aux propriétaires de domaines peut décrire l'étendue de cet impact (elle varie selon le domaine et la destination des e-mails), et devrait être prise en compte dans toute décision de passer à des politiques de quarantine ou de reject.

Nous sommes là pour vous aider
Avec une équipe d'experts en sécurité e-mail et une mission visant à rendre l'e-mail et Internet plus fiables grâce à la sécurité des domaines, dmarcian est là pour aider à évaluer le catalogue de domaines d'une organisation, et à implémenter et gérer DMARC sur le long terme.

Commencez avec notre essai de 30 jours

Vous souhaitez poursuivre la conversation ? Rendez-vous sur le Forum dmarcian.

conformitéenregistrements DMARC

Articles connexes