Aujourd’hui clôturons ensemble le sujet délivrabilité et écritures DNS en parlant un peu, beaucoup, passionnément de la stratégie DMARC.
DMARC (Domain_based Message Authentication, Reporting & Conformance) est un mécanisme de sécurité qui permet aux propriétaires de domaines de protéger leur nom de domaine contre les utilisations non autorisées, notamment les spams et les phising.
DMARC fonctionne en utilisant les en-têtes de courrier éléctronique existants, tels que SPF (c’est ici que c’est expliqué) et DKIM (c’est ici qu’il est décrit), pour vérifier l’authenticité des messages envoyés à partir d’un nom de domaine donné. Ainsi, les propriétaires de domaines peuvent définir des politiques pour indiquer comment les messages non authentifiés doivent être traités, par exemple en les bloquant ou en les marquant comme spam.
De fait, l’utilisation de DMARC permet de mieux comprendre comment son nom de domaine est utilisé et de prendre des mesures pour protéger la réputation en ligne. Il permet également aux entreprises de recevoir des rapports sur les messages qui tentent de se faire passer pour des messages officiels de l’entreprise alors que ce sont des faux messages.
Pour mettre en place DMARC, les entreprises doivent publier un enregistrement DNS de type texte qui décrit la protocole DMARC.
Voici un exemple d’enregistrement TXT pour DMARC
_dmarc.lafrenchsfmc.fr IN TXT "v=DMARC1; p=none; rua=mailto:dmarc@lafrenchsfmc.fr; ruf=mailto:dmarc@lafrenchsfmc.fr; sp=none"Cet enregistrement indique que le propriétaire de « lafrenchsfmc.fr » c’est à dire moi (héhé) utilise la version 1 de DMARC (v=DMARC1).
Il indique aussi, que je n’ai pas de politique pour bloquer ou marquer les messages (p=none). Cette politique peut aussi être noté sur le rejet ou la mise en quarantaine des messages, c’est ce que je peux voir de plus en plus chez les marques que je côtoie. Dans le cas du rejet, on va noter p=reject. Ainsi, tous les emails seront rejetés.
Les paramètres rua et ruf, permettent d’envoyer des rapports sur une adresse email que je précise à propos des emails frauduleux qui arriveraient à passer au travers des mailles du filet, mais aussi ceux qui ont été mis en échec par DMARC.
SP=none indique qu’il n’y a pas de politique de autour des sous-domaine de lafrenchsfmc.fr.
Cet exemple est simpliste, c’est important de le noter. Il ne couvre pas toutes les fonctionnalités et paramètres que l’on peut ajouter sur DMARC. Si vous souhaitez connaitre tous les paramètres de l’écriture DMARC, vous pouvez aller tout en bas de ce billet, j’ai fait un petit tableau.
Je vous recommande de vous faire accompagner et de consulter les guides et outils disponibles en ligne qui vous permettront de vous familiariser aux autres paramètres.
Ce qui est certain c’est que DMARC est fortement recommandé pour tous les propriétaires de domaines afin de se protéger des abus d’utilisation du domaine en question.
Vous avez aimez cet article, dites le moi en commentaire, ça fait toujours plaisir, sinon pour me joindre c’est via LinkedIn ou l’onglet contact !
Bonne journée,
| Paramètres | Description |
| Version (v) | C’est un tag qui est requis, il indique la version du protocole utilisé pour le DMARC. |
| Policy (p) | Ce paramètre fixe la procédure à réaliser en cas d’échec avec le domaine : Soit on indique « none », soit « reject » et dans ce cas, les emails sont rejetés par la messagerie, soit on indique « quarantine » et les emails sont mis en spam. Ce n’est pas anodin, car le type de bounce récupéré sera différent. Et donc l’analyse sera différente ainsi que les contre-actions. |
| Percentage (pct) | Fixe le pourcentage d’emails qui utilisent ce domaine à filtrer. Par défaut, il est réglé sur 100%. |
| Report Email Address (RUA) | Destinataire des rapports agrégés |
| Report Email Address (RUF) | Destinataire des rapports d’échecs détaillés |
| Failure Reporting Options (fo) | Fixe la condition pour envoyer un rapport d’échecs détaillés. f=1 : en cas d’échec du DKIM ou SPF f=d : en cas d’échec du DKIM f=s : en cas d’échec du SPF f=0 : en cas d’échec du DKIM et du SPF – c’est la valeur par défaut. |
| ASPF tag (aspf) | Fixe le mode de cohérence des noms de domaine SPF. C’est un peu comme lors d’une rechercheV sur Excel, est-ce que l’on recherche une valeur exacte ou une valeur approximative pour comparer. aspf=s : c’est le mode strict, le domaine doit correspondre à la lettre près. aspf=r : c’est le mode relax, le domaine correspond à peu près, cela suffit |
| ADKIM tag (adkim) | De même que le ASPF, il fixe le mode de cohérence des noms de domaine pour le DKIM. adkim=s : mode strict adkim=r : mode relax |
| Report Format (rf) | Fixe le format des rapports. Bien que le format des rapports, peut aussi se paramétrer directement sur la variable fo. |
| Report Interval (ri) | Fixe la fréquence d’envoi des rapports. |
| Subdomain Policy (sp) | Fixe la procédure à faire en cas d’échec sur un nom de domaine. En cas d’absence de paramètre sp, le paramètre p fixe la procédure pour les sous domaines. C’est ce qu’on appelle un substitut. |
La French SFMC 