Créé pour protéger la boîte de réception des spams, DMARC est une méthode simple qui permet aux destinataires d'un courriel de vérifier sa validité et d'éviter les abus de domaine. Les protocoles SPF et DKIM existants font l'objet d'un examen minutieux depuis des années, mais DMARC constitue une avancée majeure dans la lutte contre la cybercriminalité, car il s'appuie sur les protocoles existants pour renforcer encore le système d'authentification. 

Les cybercriminels sont bien connus pour leurs tactiques sournoises. Ils utilisent la réputation de marques de confiance pour inciter les victimes à ouvrir des fichiers malveillants ou des e-mails contenant des logiciels malveillants, ce qui leur permet d'accéder à l'ordinateur de la victime pour y trouver des données confidentielles, par le biais de l'usurpation d'adresse e-mail. Une méthode courante d'abus des domaines d'entreprise est l'usurpation d'identité, lorsque les attaquants se font passer pour les domaines de petites, moyennes et grandes entreprises qui ne pratiquent pas l'authentification des e-mails.

Comment ajouter un enregistrement DMARC ?

DMARC est une norme d'authentification des courriels qui permet d'identifier et de prévenir le phishing par courriel et l'utilisation abusive des domaines d'entreprise. Elle permet aux organisations de publier des politiques de messagerie, en révélant les détails de l'utilisation de leurs domaines pour l'envoi d'e-mails. Pour configurer le protocole, le propriétaire du domaine doit ajouter un enregistrement DMARC à son Domain Naming System.

Un enregistrement DMARC est un enregistrement texte doté d'une syntaxe spécifique qui indique la politique DMARC que vous souhaitez sélectionner pour vos courriels sortants, vos modes d'alignement SPF et DKIM, et les adresses électroniques auxquelles vous souhaitez recevoir vos rapports d'agrégation et d'expertise DMARC.

Avec DMARC, vous pouvez diriger vos serveurs de réception de courriel vers l'un ou l'autre :

  • Délivrer les emails sans authentification (avec la politique p=none)
  • Mettre en quarantaine les emails dont l'authentification échoue (avec p=politique de quarantaine)
  • Rejeter les e-mails dont l'authentification échoue (avec la politique p=rejet)

Il est facile de se tromper dans la syntaxe de votre enregistrement, ce qui peut le rendre invalide. Nous vous recommandons d'utiliser un outil de génération d'enregistrements DMARC qui les crée instantanément pour vous. De plus, il explique individuellement tous les mécanismes de la boîte à outils afin que vous ayez une meilleure compréhension du protocole et de ses fonctionnalités.

Comment DMARC protège-t-il les courriers électroniques de votre domaine ?

Pour une entreprise qui envoie des bulletins d'information et utilise des campagnes de marketing par courriel, DMARC garantit que vous ne recevez que des courriels authentiques et vérifiés provenant de sources autorisées à envoyer des courriels à vos destinataires en votre nom. Les spams et autres courriels frauduleux contenant de fausses informations sont immédiatement arrêtés. En collaboration avec SPF et DKIM, DMARC aligne les en-têtes des courriels pour identifier si le courriel provient d'une source légitime ou s'il a été manipulé à l'aide de tactiques d'ingénierie sociale pour falsifier un domaine légitime.

En plus de ses divers avantages contre l'abus de domaine et l'usurpation d'identité, DMARC :

  • Améliore la réputation du serveur
  • Améliore la délivrabilité des e-mails
  • Réduit le risque que vos courriels soient considérés comme du spam.

PowerDMARC facilite l'adoption de DMARC pour les entreprises

Configurez dès aujourd'hui notre analyseur de rapports DMARC pour non seulement mettre en œuvre le protocole en 3 étapes faciles, mais aussi pour passer à une politique appliquée avec une protection maximale, en un rien de temps. Recevez vos premiers rapports DMARC dans les 72 heures suivant la configuration et visualisez-les sur un tableau de bord organisé et personnalisé pour votre domaine !

PowerDMARC vous apporte l'avantage supplémentaire de mettre en œuvre d'autres protocoles d'authentification tels que MTA-STS et BIMI pour rendre votre marque visuellement identifiable et dynamiser vos campagnes de marketing par e-mail. Tirez le meilleur parti de votre solution logicielle DMARC dès aujourd'hui !

Avoir de multiples enregistrements DMARC sur votre domaine est un véritable non-sens, et voici pourquoi ! Nous savons que la mise en œuvre de protocoles d'authentification des e-mails comme DMARC est essentielle pour la réputation d'une organisation et la sécurité des données, et pour ce faire, les propriétaires de domaines doivent publier un enregistrement TXT dans leur DNS. Mais une question qui revient souvent dans la communauté est la suivante : "Puis-je avoir plusieurs enregistrements DMARC sur mon domaine ?" La réponse est non. Plusieurs enregistrements DMARC sur le même domaine peuvent invalider votre enregistrement et donc la politique d'authentification DMARC définie pour votre domaine ne fonctionne pas.

Comment un enregistrement DMARC est-il traité par les MTA ?

Un enregistrement DMARC publié dans le DNS de votre domaine ressemble à ceci :

TXT mydomain.com v=DMARC1 ; p=reject ; rua=mailto:[email protected]

Par conséquent, lorsqu'un domaine pour lequel DMARC est configuré envoie un courriel, le MTA qui reçoit le courriel récupère tous les enregistrements TXT qui commencent par v=DMARC1. Le MTA interroge le DNS du domaine expéditeur et peut rencontrer les scénarios suivants :

  1. Il trouve un seul enregistrement DMARC valide dans le DNS du domaine source et traite l'e-mail conformément aux spécifications de la politique DMARC.
  2. Il ne trouve pas d'enregistrement DMARC pour le domaine d'envoi et le traitement DMARC s'arrête automatiquement, le courriel est livré sans vérification de la source.
  3. Il trouve plusieurs enregistrements DMARC sur le même domaine et dans ce cas, le traitement DMARC est également interrompu et la politique appliquée ne peut être exécutée.

Enregistrements DMARC multiples : Comment y remédier ?

Lorsque vous configurez DMARC pour votre domaine et que vous définissez une politique, vous souhaitez que les MTA répondent à vos e-mails d'une manière conforme à vos intentions. C'est ainsi que DMARC peut protéger votre domaine contre l'usurpation d'identité et l'usurpation d'identité. Afin d'aider le protocole configuré à fonctionner efficacement, nous recommandons les étapes suivantes :

  • Vérifiez que vous n'avez pas publié plusieurs enregistrements DMARC pour votre domaine.
  • Assurez-vous que votre enregistrement DMARC ne contient pas d'erreurs de syntaxe.
  • Au lieu de générer manuellement votre enregistrement DMARC, utilisez des outils fiables comme notregénérateur d'enregistrement DMARC gratuit qui fera le travail pour vous.
  • Activez les rapports DMARC pour votre domaine afin de surveiller de temps en temps le flux d'e-mails et les résultats de l'authentification, de manière à pouvoir suivre les problèmes de livraison et prendre des mesures contre les sources d'envoi malveillantes.
  • Assurez-vous de rester en dessous de la limite de consultation de SPF 10 pour éviter le résultat de la permerror.

Une alternative aux différentes étapes que vous pouvez suivre pour implémenter correctement DMARC pour votre domaine et éviter les enregistrements DMARC multiples serait de vous inscrire simplement à notre analyseur DMARC.

PowerDMARC gère la plupart des complexités en arrière-plan pour automatiser votre parcours d'authentification des e-mails et vous aider à atténuer les erreurs de configuration qui peuvent causer des problèmes de délivrabilité des e-mails.

Qu'est-ce qu'un rapport DMARC ?

Avant de voir comment lire les rapports DMARC, nous devons d'abord savoir ce qu'est un rapport DMARC. La norme Domain-based Message Authentication Reporting and Conformance (DMARC) ne protège pas seulement votre domaine contre les attaques de type BEC, l'usurpation d'identité de domaine et la fraude par courriel, mais il vous offre également une visibilité sur vos canaux de messagerie, afin que vous soyez toujours au courant de ce qui se passe en arrière-plan.

DMARC fournit un mécanisme de rapport, sous la forme de rapports DMARC, qui permet aux propriétaires de domaine de lire les résultats d'authentification pour chaque courriel envoyé au nom de leur domaine. Cela vous aide essentiellement à suivre les problèmes de délivrabilité, à prendre des mesures contre les sources d'envoi malveillantes et à résoudre rapidement les erreurs de mise en œuvre du protocole. 

Pourquoi avez-vous besoin de rapports DMARC ?

Avant de voir comment lire les rapports DMARC, il convient de comprendre pourquoi vous en avez besoin en premier lieu. Malgré les mécanismes SPF et DKIM, il existe une certaine probabilité que les messages originaux soient correctement traités, et que l'identité de l'expéditeur passe inaperçue. De plus, il arrive fréquemment que les rapports du destinataire sur les échecs ne parviennent pas à l'expéditeur. En général, les services évoluent et s'améliorent en permanence.

DMARC est un programme d'authentification du courrier électronique qui garantit que votre communication par courrier électronique est authentifiée par SPF ou DKIM. Il garantit la fiabilité de vos e-mails et contribue à éliminer les risques d'usurpation en permettant au destinataire de vérifier la validité des en-têtes avant même d'ouvrir le courrier. Afin d'assurer la sécurité de vos données, vous avez besoin d'une sécurité du courrier électronique hautement fiable et robuste. DMARC est l'une de ces normes qui vérifie l'intégrité de vos adresses et aide à prévenir les attaques de phishing tout en améliorant les taux de délivrabilité de vos e-mails.

Lorsque vous publiez un enregistrement DMARC dans votre DNS, cela vous permet de spécifier comment votre domaine doit réagir à la réception d'un courriel qui échoue à l'authentification DKIM et SPF. Avec un enregistrement DMARC correctement configuré, les fournisseurs de boîtes aux lettres vous enverront des rapports directement à votre adresse électronique, par HTTP ou HTTPS, vous permettant ainsi de surveiller la livraison des e-mails envoyés depuis votre domaine. En configurant les rapports DMARC, vous pourrez obtenir de nombreuses informations précieuses sur le trafic de votre courrier sortant. Ces informations peuvent être utilisées dans le but d'authentifier vos sources authentiques et de bloquer vos sources illégitimes.

Nous allons maintenant voir comment lire les rapports bruts DMARC, et comment vous pouvez les rendre lisibles par l'homme pour faciliter votre compréhension.

Comment activer le rapport DMARC pour vos domaines ?

Afin de configurer le rapport DMARC pour votre domaine vous devez :

  1. Créez un enregistrement DMARC pour votre domaine
  2. Lors de la création de votre fiche, dans le critère "rua", vous devez saisir l'adresse électronique à laquelle vous souhaitez que vos rapports agrégés soient envoyés.
  3. Dans le critère "ruf", vous devez saisir l'adresse électronique à laquelle vous souhaitez que vos rapports de police scientifique soient envoyés
  4. Après avoir rempli avec succès les autres critères et appuyé sur le bouton "générer", l'IA créera un enregistrement TXT que vous pourrez publier sur votre DNS.

Remarque: les rapports d'expertise DMARC ne sont pas pris en charge par tous les domaines. En savoir plus.

Comment lire les rapports DMARC : Lire les rapports bruts DMARC

Vos rapports DMARC, également appelés rapports bruts, fournissent des données essentielles sur l'activité de messagerie sur votre domaine, qui sont nécessaires pour vous aider à vous protéger contre de futures attaques de phishing. Ils sont disponibles au format XML et sont généralement envoyés par e-mail avec pour objet "Rapport DMARC". Il existe essentiellement deux types de rapports :

  • Rapport d'agrégation DMARC (RUA)
  • Rapport DMARC Forensic (RUF)

Vous pouvez consulter la base de connaissances de PoweDMARC pour en savoir plus sur chacun d'entre eux et sur la manière de les configurer facilement pour votre domaine.

La lecture des rapports DMARC RUA peut être un peu fastidieuse pour une personne non technique, voici un exemple de rapport brut :

<?xml version=”1.0″ encoding=”UTF-8″ ?>

<feedback>

  <report_metadata>

    <org_name>google.com</org_name>

    <email>[email protected]</email>

   <extra_contact_info>http://google.com/dmarc/support</extra_contact_info>

    <report_id>8293631894893125362</report_id>

    <date_range>

      <begin>1234573120</begin>

      <end>1234453590</end>

    </date_range>

  </report_metadata>

  <policy_published>

    <domain>yourdomain.com</domain>

    <adkim>r</adkim>

    <aspf>r</aspf>

    <p>none</p>

    <sp>none</sp>

    <pct>100</pct>

  </policy_published>

  <record>

    <row>

      <source_ip>302.0.214.308</source_ip>

      <count>2</count>

      <policy_evaluated>

        <disposition>none</disposition>

        <dkim>fail</dkim>

        <spf>pass</spf>

      </policy_evaluated>

    </row>

    <identifiers>

      <header_from>yourdomain.com</header_from>

    </identifiers>

    <auth_results>

      <dkim>

        <domain>yourdomain.com</domain>

        <result>fail</result>

        <human_result></human_result>

      </dkim>

      <spf>

        <domain>yourdomain.com</domain>

        <result>pass</result>

      </spf>

    </auth_results>

  </record>

</feedback>

Décomposer un rapport brut DMARC

Nous allons vous présenter les différentes sections du rapport pour vous aider à comprendre comment lire les rapports DMARC, ce qu'ils représentent et comment les lire. Dans le fichier brut de vos rapports, vous pouvez trouver des informations sur :

  •  Votre ISP, le nom de votre fournisseur de services de courrier électronique.

<?xml version=”1.0″ encoding=”UTF-8″ ?>

<feedback>

  <report_metadata>

    <org_name>google.com</org_name>

    <email>[email protected]</email>

   <extra_contact_info>http://google.com/dmarc/support</extra_contact_info>

  •  Le numéro d'identification du rapport

 <report_id>8293631894893125362</report_id>

  • La plage de dates de début et de fin (en secondes)

<date_range>

      <begin>1234573120</begin>

      <end>1234453590</end>

    </date_range>

  • Les spécifications de votre enregistrement DMARC telles que publiées dans le DNS de votre domaine.

 <policy_published>

    <domain>yourdomain.com</domain>

    <adkim>r</adkim>

    <aspf>r</aspf>

    <p>none</p>

    <sp>none</sp>

    <pct>100</pct>

  </policy_published>

  • Adresse IP de la source d'envoi

<source_ip>302.0.214.308</source_ip>

  • Un aperçu de vos résultats d'authentification (résumé des résultats SPF et DKIM pass/fail)

  <policy_evaluated>

        <disposition>none</disposition>

        <dkim>fail</dkim>

        <spf>pass</spf>

      </policy_evaluated>

  • De : domaine

 <header_from>yourdomain.com</header_from>

  • Résultats de l'authentification DKIM

<dkim>

        <domain>yourdomain.com</domain>

        <result>fail</result>

        <human_result></human_result>

      </dkim>

  • Résultats de l'authentification SPF

<spf>

        <domain>yourdomain.com</domain>

        <result>pass</result>

      </spf>

Les rapports DMARC lisibles par l'homme de PowerDMARC

Comme vous l'avez probablement déjà compris, si les rapports DMARC sont extrêmement importants pour surveiller le flux d'e-mails de votre organisation et visualiser les résultats de l'authentification, ils ne sont pas très agréables à regarder. Les rapports DMARC inondant chaque jour vos boîtes de réception, vous ne voudriez pas avoir la peine de les parcourir et de les analyser ligne par ligne, à la recherche d'informations utiles. Nous allons voir ici comment lire plus facilement les rapports DMARC avec PowerDMARC.

C'est pourquoi PowerDMARC vous permet de visualiser facilement vos rapports DMARC Aggregate RUA dans un format tabulaire organisé, en analysant les données et en séparant les informations en catégories avec la possibilité de filtrer les données en fonction des adresses IP, des organisations, des sources d'envoi et de statistiques spécifiques.

Utilisation d'une boîte aux lettres dédiée VS utilisation du lecteur de rapports DMARC de PowerDMARC

Afin d'organiser vos rapports DMARC plus facilement et plus efficacement, vous pouvez maintenir une boîte aux lettres dédiée dans laquelle vous pouvez rediriger tous les rapports DMARC que vous recevez de divers tiers et fournisseurs d'e-mails que vous utilisez pour envoyer vos e-mails marketing et commerciaux. Si vous êtes une entreprise qui envoie quotidiennement un flux constant d'e-mails (en vrac) à votre clientèle, le fait de ne pas configurer une boîte aux lettres dédiée pour rassembler vos données sous une seule bannière peut rendre leur suivi presque impossible.

Notez toutefois qu'une boîte aux lettres dédiée à vos rapports ne vous aidera qu'à mieux organiser et gérer vos données. Elle ne vous aidera pas à analyser ou à lire les fichiers XML et ne fournira pas d'interface conviviale ou exploitable pour visualiser, trier ou filtrer les résultats de votre authentification.

Avantages de la configuration des rapports DMARC de PowerDMARC : 

  • Sur le tableau de bord, vous pouvez consulter les rapports DMARC RUA dans 7 formats d'affichage distincts, pour visualiser les résultats : par organisation, par résultat, par source d'envoi, par hôte, par pays, selon les géo-localisations, et séparer les statistiques détaillées.
  • Entrez le(s) domaine(s) de votre choix pour filtrer les résultats pour ce domaine particulier uniquement dans la barre de recherche.
  • Sélectionnez une plage de dates spécifique pour filtrer les résultats pour cette période.
  • Une palette de couleurs vives et un tableau de bord interactif qui vous permettent de comprendre vos résultats d'authentification en un coup d'œil lorsque vous êtes pressé, ainsi que dans les moindres détails.

Inscrivez-vous dès aujourd'hui pour obtenir votre analyseur DMARC gratuit !

Si vous rencontrez régulièrement l'invite " Politique DMARC non activée " pour votre domaine, cela signifie que votre domaine n'est pas protégé contre l'usurpation d'identité et l'usurpation d'identité avec l'authentification des e-mails DMARC. Vous pouvez souvent rencontrer ce message en effectuant des recherches DNS inversées pour votre domaine. Cependant, il existe souvent une solution simple pour y remédier. Dans cet article, nous allons vous expliquer les différentes étapes à suivre pour configurer DMARC et mettre en place la bonne politique pour votre domaine afin que vous ne rencontriez plus jamais l'invite "La politique DMARC n'est pas activée" !

Configurer DMARC pour se protéger contre le spoofing 

DMARC, abréviation de Domain-based Message Authentication, Reporting and Conformance (authentification, rapport et conformité des messages basés sur le domaine), est une norme d'authentification des messages électroniques sortants, qui permet de s'assurer que votre domaine est correctement protégé contre les tentatives de BEC et d'usurpation de domaine direct. DMARC fonctionne en alignant le domaine du chemin de retour(adresse de rebond), le domaine de la signature DKIM et le domaine de l'adresse de départ (From :), afin de rechercher une correspondance. Cela permet de vérifier l'authenticité de la source d'envoi et empêche les sources non autorisées d'envoyer des courriels qui semblent provenir de vous.

Le domaine de votre entreprise est votre vitrine numérique qui est responsable de votre identité numérique. Les organisations de toutes tailles ont recours au marketing par courriel pour atteindre et engager leurs clients. Toutefois, si votre domaine est usurpé et que des attaquants envoient des courriels de phishing à vos clients, cela a non seulement un impact considérable sur vos campagnes de marketing par courriel, mais aussi sur la réputation et la crédibilité de votre organisation. C'est pourquoi l'adoption de DMARC devient impérative pour sauvegarder votre identité.

Afin de commencer à mettre en œuvre DMARC pour votre domaine :

  • Ouvrez votre console de gestion DNS
  • Naviguez vers la section des enregistrements
  • Publiez votre enregistrement DMARC que vous pouvez générer facilement à l'aide de notre outil gratuit de génération d'enregistrements DMARC et spécifiez une politique DMARC pour l'activer pour votre domaine (cette politique spécifiera comment le MTA récepteur répondra aux messages qui échouent aux contrôles d'authentification).
  • Le traitement de ces changements par votre DNS peut prendre de 24 à 48 heures, et le tour est joué !
  • Vous pouvez vérifier l'exactitude de votre enregistrement en utilisant notre outil gratuit de recherche d'enregistrement DMARC après l'avoir configuré pour votre domaine.

Comment résoudre le problème "Politique de mise en quarantaine/refus DMARC non activée".

Lorsque vous obtenez un avertissement du type "Politique de quarantaine/rejet DMARC non activée" ou parfois simplement "Politique DMARC non activée" ou "Pas de protection DMARC", cela indique simplement que votre domaine est configuré avec une politique DMARC nulle qui n'autorise que la surveillance.

Si vous commencez à peine votre parcours d'authentification des e-mails et que vous souhaitez surveiller vos domaines et le flux d'e-mails pour garantir une distribution fluide des e-mails, nous vous recommandons de commencer par une politique DMARC nulle. Cependant, cette politique n'offre aucune protection contre l'usurpation d'identité, et c'est pourquoi vous rencontrerez fréquemment le message suivant "La politique DMARC n'est pas activée", qui vous rappelle que votre domaine n'est pas suffisamment protégé contre les abus et les usurpations d'identité.

Pour résoudre ce problème, il suffit de modifier le mécanisme de politique (p) dans votre enregistrement DMARC de p=none à p=reject/quarantine, et de passer ainsi à l'application DMARC. Si votre enregistrement DMARC était précédemment :

v=DMARC1 ; p=none ; rua=mailto:[email protected] ; ruf=mailto:e[email protected] ;

Votre enregistrement DMARC optimisé sera :

v=DMARC1 ; p=rejeter ; rua=mailto:[email protected] ; ruf=mailto:[email protected] ;

Ou, v=DMARC1 ; p=quarantaine ; rua=mailto:[email protected] ; ruf=mailto:[email protected] ;

J'ai corrigé le problème "Politique DMARC non activée", que faire ensuite ?

Après avoir résolu l'invite "Politique DMARC non activée", la surveillance des domaines doit être un processus continu pour garantir que le déploiement de DMARC n'affecte pas la délivrabilité de vos e-mails, mais l'améliore au contraire. Les rapports DMARC peuvent vous aider à obtenir une visibilité sur tous vos canaux de messagerie, de sorte que vous ne manquiez jamais de savoir ce qui se passe. Après avoir opté pour une politique d'application de la norme DMARC, PowerDMARC vous aide à visualiser les résultats de l'authentification des e-mails dans des rapports agrégés DMARC dans des formats faciles à lire et à comprendre. Grâce à cela, vous pourriez constater une augmentation de 10 % de votre taux de délivrabilité des e-mails au fil du temps.

En outre, vous devez veiller à ce que votre SPF ne se brise pas en raison d'un trop grand nombre de consultations de DNS. Cela peut entraîner l'échec du SPF et avoir un impact sur la livraison des e-mails. Le SPF dynamique est une solution facile pour rester en dessous de la limite stricte du SPF et pour être informé à tout moment des modifications apportées par vos ESP.

Faites en sorte que votre processus de déploiement DMARC soit le plus transparent possible, en vous inscrivant dès aujourd'hui à notre analyseur DMARC gratuit!