Comment configurer DMARC ?
Retour à dnsLe courrier électronique est utilisé par de nombreuses personnes et/ou entreprises, mais il est malheureusement souvent utilisé à mauvais escient par des pirates informatiques.
Il vous est peut-être déjà arrivé d'utiliser une adresse électronique de manière abusive ou de voir votre site web envoyer un grand nombre de courriers électroniques parce qu'il a été piraté
site web a envoyé un grand nombre de courriers électroniques parce qu'il avait été piraté.
Diverses mesures de protection ont été mises en place au fil du temps pour lutter contre les spammeurs.
Par exemple, nous disposons déjà de l'enregistrement SPF, qui vérifie si le serveur de messagerie est effectivement autorisé à envoyer des courriers électroniques.
En outre, nous disposons également de DKIM, une sorte de signature du serveur de messagerie, qui vérifie également s'il est correct sur la base du DNS.
Malheureusement, si votre site web ou votre mot de passe est piraté et que vous envoyez ensuite des messages, SPF et DKIM seront toujours corrects.
Outre SPF et DKIM, une autre sécurité a été ajoutée, qui permet de mieux comprendre le trafic de courrier électronique, à savoir DMARC.
Qu'est-ce que DMARC et à quoi sert-il ?Un enregistrement DMARC vous permet de mieux comprendre les courriers électroniques envoyés par le serveur de messagerie.
Vous pouvez également indiquer au destinataire ce qu'il doit faire du courrier.
Vous pouvez configurer l'enregistrement DMARC pour qu'il vérifie SPF, DKIM ou les deux.
Dans l'enregistrement dmarc, vous indiquez entre autres une adresse électronique à laquelle les rapports sont envoyés.
Quand recevrai-je mon rapport DMARC et à quelle fréquence ?Après 24 heures, vous recevrez souvent votre premier rapport DMARC.
Un jour plus tard, vous recevrez un autre rapport.
Que contient ce rapport ?
L'e-mail contient une pièce jointe XML. Lorsque vous le lisez, il vous indique exactement combien d'e-mails ont été envoyés et combien d'entre eux étaient accompagnés de DKIM et de SPF.
Vous pouvez également obtenir une copie du contenu si l'une des exigences SPF/DKIM n'est pas respectée.
Cela vous permet de savoir si tous les courriels ont été envoyés correctement.
DMARC peut-il poser des problèmes s'il est mal configuré ?Oui, il peut le faire. Par exemple, si vous n'avez pas correctement défini SPF ou DKIM et que vous utilisez p=reject, le courrier sera souvent rejeté par d'autres parties.
A quoi ressemble un enregistrement DMARC ?Dmarc est un enregistrement DNS TXT et peut être configuré dans votre panneau de contrôle sous dns.
En outre, DMARC peut être configuré de différentes manières, en fonction de la façon dont vous souhaitez que le courrier fonctionne.
Voici un exemple d'enregistrement DMARC :
v=DMARC1 ; p=quarantine ; rua=mailto:dmarcrapport@voorbeelddomein.nl ;
V=DMARC1 ;L'enregistrement commence par v=DMARC1 ;
Cela indique qu'il s'agit d'un DMARC et non d'un SPF ou d'un DKIM.
P=quarantine ;Ensuite, il est écrit : p=quarantine ;
Le P est l'abréviation de Policy (que nous connaissons également sous le nom de SPF (Sender Policy Framework)).
Pour la politique, vous avez trois options, qui indiquent les conseils à donner à la partie destinataire lorsque le DMARC n'est pas correct, à savoir
- aucun (cela signifie que le destinataire n'en fait rien, mais vous permet de recevoir des rapports, ce qui est utile pour la recherche)
- quarantaine (cela signifie que le destinataire doit placer les messages dans le dossier spam)
- rejet (cela signifie que le destinataire ne doit pas accepter le courrier).
RUA (agrégation des rapports DMARC)Il s'agit de l'adresse électronique à laquelle les rapports sont envoyés.
Vous recevrez chaque jour un fichier XML indiquant le nombre d'e-mails envoyés et le nombre de messages SPF et/ou DKIM valides.
Par défaut, vous recevez un rapport une fois par jour ; vous pouvez optionnellement spécifier si vous voulez le recevoir une fois par semaine.
Pour ce faire, ajoutez ri=xxx secondes à l'enregistrement DMARC.
RUF (forensic DMARC failure reports)Outre RUA, il existe également une option RUF, qui affiche le contenu des courriers non conformes à DMARC, alors que RUA l'affiche de manière plus globale.
Lors de la configuration de l'enregistrement DMARC, vous pouvez spécifier pour RUF quand vous souhaitez recevoir un rapport RUF.
Par exemple, cela peut être lorsque SPF échoue, ou lorsque DKIM échoue, ou lorsque SPF et DKIM échouent tous les deux.
Détendu ou strictVous pouvez spécifier si le dmarc doit être détendu ou strict en ce qui concerne les conditions des courriels.
Dans l'exemple que j'ai donné plus haut, vous ne voyez pas de valeur "relaxed" ou "strict".
Cela s'explique par le fait que la valeur par défaut de DMARC est "relaxed".
En mode strict du DKIM, le DMARC vérifie que le DKIM correspond exactement.
En mode relaxed, le DKIM vérifie uniquement si l'e-mail est signé par le domaine racine.
Toutefois, selon certaines sources, l'utilisation du mode strict n'apporte pas de sécurité supplémentaire.
C'est pourquoi il est conseillé d'utiliser le mode relaxed, car le mode strict rend la configuration beaucoup plus difficile.
Supposons que vous souhaitiez toujours effectuer une vérification stricte du SPF et/ou du DKIM, vous pouvez le spécifier avec :
adkim=s ; aspf=s
L'adkim indique DKIM, et le =s indique qu'il doit effectuer un contrôle strict (rigoureux).
Il en va de même pour l'aspf.
pct=100Il est également possible de vérifier un pourcentage de mails envoyés.
Par défaut, le pourcentage est fixé à 100 %, et il n'est pas nécessaire de le spécifier si vous souhaitez conserver ce pourcentage. Par contre, si vous souhaitez scanner un pourcentage plus faible, il est nécessaire de l'inclure dans l'enregistrement DMARC.
Comment puis-je obtenir un enregistrement DMARC ?Il est compréhensible que vous ne tapiez pas un enregistrement DMARC comme ça, c'est pourquoi vous pouvez trouver sur l'internet plusieurs outils pour générer un enregistrement DMARC.
Un exemple de générateur DMARC est dmarcian ou mxtoolbox
