DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance) est une spécification technique destinée à réduire l’usage abusif des emails (spam, phishing) en proposant une solution de déploiement et de surveillance des problèmes liés à l’authentification des emails.

 

Comment fonctionne le DMARC ?

DMARC standardise la façon dont les destinataires réalisent l’authentification des emails via les mécanismes de SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail). C’est-à-dire que l’expéditeur va recevoir les résultats des authentifications de messages par AOL, Gmail, Microsoft, Yahoo! ou tout autre destinataire implémentant DMARC.

DMARC permet à l’expéditeur d’indiquer que ses messages sont protégés par SPF et/ou DKIM et indique aux destinataires quoi faire si l’authentification échoue.

La politique DMARC d’un domaine est publiée dans une entrée TXT (TXT record) du DNS (Domain Name System) public et décrit ce que doit faire le destinataire de l’email si celui-ci ne satisfait pas les mécaniques d’authentification.

 

Syntaxe d’une politique DMARC

v=DMARC1;p=quarantine;pct=100;rua=mailto:postmaster@example.org;ruf=mailto:forensik@example.org;adkim=s;aspf=r

 

Paramètre Description
v Version du protocole
pct Pourcentage de messages à filtrer
ruf Destinataire du rapport forensique
rua Destinataire du rapport agrégé
p Procédure avec le domaine principal
sp Procédure avec le sous-domaine
adkim Règle pour le DKIM (relaxed / strict)
aspf Règle pour le SPF (relaxed / strict)

 

Incidence du DMARC sur mon adresse expéditrice

Il est très important d’utiliser une adresse expéditrice dont le domaine vous appartient pour maîtriser au mieux les problématiques d’authentification. Dans le cas contraire, vos emails seront soumis à la politique DMARC du domaine tierce et vos emails pourraient être rejetés.

Exemple avec la politique DMARC de Yahoo!

v=DMARC1;p=reject;pct=100;rua=mailto:dmarc_y_rua@yahoo.com;

 

Si vous souhaitez utiliser votre adresse « yahoo.fr » pour envoyer vos emails, étant donné que votre routeur ne sera pas Yahoo!, les authentifications échoueront. La politique de Yahoo! indique qu’il faut rejeter tous les emails ne validant pas DMARC (« p=reject ») donc vos emails ne seront pas délivrés.

 

Voici quelques exemples de politique DMARC

AOL

v=DMARC1; p=reject; pct=100; rua=mailto:d@rua.agari.com; ruf=mailto:d@ruf.agari.com;

Gmail

v=DMARC1; p=none; rua=mailto:mailauth-reports@google.com hotmail.com

Microsoft

v=DMARC1; p=none; pct=100; rua=mailto:d@rua.agari.com; ruf=mailto:d@ruf.agari.com; fo=1

Yahoo!

v=DMARC1;p=reject;pct=100;rua=mailto:dmarc_y_rua@yahoo.com;

Yahoo! et AOL sont déjà configurés pour rejeter les emails envoyés en leur nom sans autorisation. Gmail prévoit à terme d’en faire de même.

 

Retrouvez plus d’informations sur le site officiel DMARC


L’article ne répond pas à toutes vos questions ? N’hésitez pas à nous contacter pour avoir plus d’informations.


Romain Didier

Twitter : @RomainDidier


Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Le temps imparti est dépassé. Merci de recharger le CAPTCHA.