Comment configurer l'authentification DMARC

L'authentification DMARC est un mécanisme de protection qui permet de renforcer la sécurité, protéger contre la fraude, les tentatives d’hameçonnage et de garantir la légitimité des messages électroniques. La politique DMARC complète le SPF et DKIM en fournissant une politique d'authentification pour le domaine. Elle aide à définir les actions à prendre pour les courriels qui échouent aux vérifications SPF et/ou DKIM, comme les mettre en quarantaine ou les rejeter. De plus, DMARC vous permet d’obtenir des rapports détaillés afin de pouvoir détecter s'il y a eu des tentatives d'usurpation d'identité de votre domaine. En savoir plus sur l'authentification des courriels >

Comment créer un enregistrement DMARC

Avant de commencer

Important : il existe plusieurs options et variations possibles pour créer un enregistrement DMARC, en fonction du degré de contrôle que vous souhaitez avoir sur les messages qui échouent la validation DMARC, des actions que vous souhaitez que les autres prennent si tel est le cas, et de votre désir de recevoir ou non des rapports DMARC. Consultez un expert ou votre hébergeur pour prendre les bonnes décisions en fonction de votre organisation et de l’usage que vous faites de vos courriels.

Comment faire

Pour créer un enregistrement DMARC, vous devez ajouter un enregistrement de format TXT (texte) dans vos DNS. En voici un exemple : 

Type: TXT
Host/Name: _dmarc.votresiteweb.com
Value: v=DMARC1; p=none; rua=mailto:rapportdmarc@votresiteweb.com;

Signification des différentes balises

• v= : il s'agit de la version DMARC. La valeur doit être DMARC1. Cette balise est obligatoire.
• p= : indique quelle action poser quand le message reçu échoue à la vérification DMARC. Il y a 3 valeurs possibles : none (ne pas effectuer d’action même si le DMARC échoue), quarantine (marquer le courriel comme spam et mettre dans le courrier indésirable) ou reject (bloquer/supprimer le message). Apprenez-en plus dans cet article de Gmail >
• rua= : adresse courriel permettant de recevoir des rapports sur l’activité DMARC de votre domaine. Bien que non obligatoires, ces rapports vous permettent de savoir quels messages envoyés depuis votre domaine réussissent ou non les validations SPF, DKIM et DMARC. Prévoir qu’il est possible que vous receviez une grande quantité de courriels à l’adresse indiquée dans la balise “rua=”. Les rapports reçus sont sous forme de fichiers XML. Ceux-ci sont malheureusement difficiles et peu agréables à lire, mais il existe des services en ligne vers lesquels vous pouvez envoyer vos rapports et qui les analysent pour vous.

Bon à savoir

Il existe divers outils sur le web pour vous guider dans la génération de votre enregistrement DMARC, ainsi que pour vous aider à interpréter des rapports DMARC, tels que EasyDMARC et Dmarcian. Gmail offre également un tutoriel et plusieurs articles informatifs simples à consulter sur l’implémentation de DMARC.

Vérifier votre enregistrement DMARC

Une fois votre enregistrement en place (notez que parfois un certain délai peut être requis avant que l’enregistrement soit visible et disponible partout), il est possible de valider si celui-ci a un format correct en utilisant un outil en ligne. En voici quelques uns : 

• https://dmarcian.com/dmarc-inspector/
• https://mxtoolbox.com/dmarc.aspx
• https://easydmarc.com/tools/dmarc-lookup