Comment planifier une transition en douceur de DMARC None à DMARC Reject ?
par
Temps de lecture : 5 min
Si votre domaine est déjà conforme à DMARC, vous devez encore vous assurer que les protocoles SPF, DKIM et DMARC sont correctement configurés et qu'une politique appropriée est appliquée. Le "rejet" est la politique la plus stricte en matière de sécurité du courrier électroniqueLe rejet est la politique la plus stricte en matière de sécurité du courrier électronique, mais il peut également entraîner des problèmes de délivrabilité pour les messages authentiques.
Si vous n'utilisez pas de système de rapport pour contrôler l'authentification, il vous faudra des mois pour découvrir que certains de vos courriels légitimes ne sont pas arrivés dans les boîtes aux lettres des destinataires. Cela peut avoir de graves répercussions sur vos échanges avec vos clients et prospects, tout en réduisant à néant vos efforts en matière de marketing par courrier électronique.
Les experts conseillent de fixer la politique de mise en œuvre de DMARC à Aucun au stade initial, car cela vous permet de commencer à recevoir des rapports sans risquer que vos courriels soient rejetés ou marqués comme spam.
Mais quel est le bon moment pour changer de police d'assurance et comment le faire de la bonne manière ? Lisez le blog pour obtenir toutes les réponses.
Points clés à retenir
- Assurez-vous que vos protocoles SPF, DKIM et DMARC sont correctement configurés pour éviter l'usurpation d'adresse électronique et les problèmes de délivrabilité.
- Commencez par une politique DMARC réglée sur Aucun pour recueillir des rapports sans risquer de voir des courriels importants rejetés.
- Surveillez les performances de votre domaine en matière de courrier électronique et atteignez un niveau élevé de conformité DMARC avant de passer à une politique plus stricte telle que le rejet.
- Mettez progressivement en œuvre les modifications de votre politique DMARC en utilisant la balise pct afin de minimiser les risques pendant les transitions.
- Une politique de rejet peut renforcer la sécurité, mais peut également entraîner la perte de courriers électroniques légitimes si elle n'est pas correctement gérée.
Politiques DMARC
Vous pouvez définir votre enregistrement enregistrement DMARC à l'une des trois politiques.
Aucun
La politique None, également appelée Monitoring Only Policy, demande aux fournisseurs d'accès à Internet de fournir des rapports à l'adresse électronique mentionnée dans la balise RUA ou RUF de votre enregistrement. Cette politique ne nuit en rien à la délivrabilité de vos courriels, car elle ne fait que partager des informations approfondies sur votre canal de messagerie.
Lorsque vous attribuez la valeur "Aucun" à votre enregistrement, aucune mesure n'est prise à l'encontre des courriers électroniques qui échouent aux contrôles d'authentification. Cela signifie qu'ils ne sont ni marqués comme spam, ni rejetés d'emblée.
Simplifiez DMARC avec PowerDMARC !
Quarantine
La politique de Quarantine fournit des rapports et demande aux fournisseurs d'accès à Internet de marquer tous les courriels qui n'ont pas été authentifiés comme du spam ou de les placer dans votre dossier de quarantine au lieu de votre boîte de réception. Les courriels qui passent l'authentification sont livrés normalement dans les boîtes de réception principales des destinataires.
Rejeter
La politique de rejet demande aux FAI de rejeter catégoriquement l'entrée de tous les courriels qui ne passent pas les contrôles d'authentification. Les courriels qui passent l'authentification sont livrés normalement dans les boîtes de réception principales des destinataires. L'inconvénient de la politique de rejet est que des courriels légitimes sont parfois rejetés, ce qui nuit aux conversations avec les clients et les prospects à plusieurs niveaux.
Quel est le bon moment pour définir la politique DMARC sur le rejet ?
Vous devez surveiller les performances et les activités de votre domaine d'envoi d'e-mails avant de réinitialiser la politique. La connaissance des canaux vous permet de configurer correctement votre enregistrement pour un processus d'authentification du courrier électronique efficace et non erroné.
Le moment idéal pour passer au rejet est lorsque toutes les sources sont autorisées et que leur conformité DMARC atteint environ 100 %. Cette pratique garantit un bon taux de délivrabilité pour les courriels authentiques.
Vous pouvez également définir votre politique DMARC de manière à ce qu'elle ne s'applique qu'à un pourcentage prédéfini d'e-mails envoyés à partir de votre domaine. Il vous suffit d'ajouter une balise de pourcentage (pct) à l'enregistrement DMARC pour minimiser le risque d'une mauvaise délivrabilité des courriels. En outre, une balise "pct" augmente la possibilité de délivrer avec succès les courriels authentiques envoyés à partir de votre domaine.
Comment planifier une transition en douceur De DMARC None à DMARC Reject ?
Suivez ce guide étape par étape pour appliquer la politique DMARC la plus stricte.
Étape 1 : Démarrer la surveillance DMARC
La meilleure façon de passer en toute sécurité de la politique "Aucun" à la politique "Rejet" est d'utiliser les outils suivants services de surveillance DMARC avec PowerDMARC. Vous pouvez choisir de recevoir deux types de rapports DMARC, à savoir
Rapports agrégés (RUA)
Vous recevez quotidiennement des rapports agrégés contenant des informations détaillées sur le trafic de votre domaine. Il s'agit d'une liste d'adresses IP qui ont tenté d'envoyer des courriels par l'intermédiaire de votre domaine.
Rapports médico-légaux (RUF)
Les rapports forensiques sont envoyés immédiatement après qu'un courriel provenant de votre domaine n'a pas été délivré. Un rapport RUF comprend toujours les en-têtes originaux des messages et peut également comprendre les messages originaux.
Restez sur la politique None pendant la phase initiale de surveillance pour comprendre votre flux de courrier sans en affecter les performances.
Étape 2 : Analyse du rapport DMARC
Lorsque vous utilisez la stratégie None, configurez les enregistrements SPF et DKIM de votre domaine d'envoi de courriels pour une sécurité optimale des courriels. Entre-temps, surveillez attentivement tous les rapports que vous recevez, car ils vous indiquent quels sélecteurs DKIM sont utilisés et quels expéditeurs envoient des courriels à partir de votre domaine. Les rapports indiquent également le pourcentage de courriels qui passent ou échouent les contrôles d'authentification.
N'oubliez pas non plus de respecter la limite de 10 consultations DNS. Si vous avez du mal à supprimer les mécanismes, utilisez la fonction de aplatissement SPF pour atténuer instantanément l'erreur SPF PermError et rester en deçà de la limite de 10 consultations SPF.
N'omettez pas d'utiliser un sélecteur DKIM différent pour chaque expéditeur et n'incluez que les sélecteurs utilisés. Par ailleurs, gardez vos clés DKIM en sécurité et changez-les régulièrement.
Étape 3 : Passer en Quarantine
Après avoir correctement configuré SPF et DKIM, vous pouvez passer de la politique "aucun" à la politique " Quarantine ". En l'appliquant, les boîtes aux lettres des destinataires redirigeront tous les courriels non authentifiés envoyés depuis votre domaine vers les dossiers de spam.
Pour vérifier si le moment est venu de passer à la politique de Quarantine , vous devez connaître le pourcentage de courriels dont l'authentification échoue. Ne changez de politique que lorsqu'un faible pourcentage d'e-mails promotionnels échoue à l'authentification. L'état de préparation à l'application de la politique de Quarantine peut varier d'un domaine à l'autre.
De plus, profitez de la balise de pourcentage et commencez par définir la balise pct à 5 ou 10%. Cela signifie que seuls 5 à 10 % des courriels non authentifiés seront redirigés vers le spam. Vous pouvez ensuite augmenter progressivement le pourcentage.
Étape 4 : Enfin, passer au rejet
Lorsque vous avez complètement adopté la politique de Quarantine et que seuls quelques courriels sont marqués comme étant du spam, vous pouvez passer à la politique de rejet. Elle n'entravera pas le flux d'e-mails et la délivrabilité, si elle est appliquée de manière appropriée. N'oubliez pas que la politique de rejet bloque totalement l'entrée des courriels non authentifiés dans les boîtes de réception des destinataires.
Si vos conversations importantes atterrissent encore dans les dossiers de spam, vous n'êtes pas prêt à passer à la politique de rejet. Effectuez plutôt une transition en douceur en l'appliquant à un petit pourcentage, comme vous l'avez fait pour la Quarantine. Lorsque vous êtes sûr que la plupart de vos messages importants arrivent dans les boîtes de réception des destinataires, vous pouvez passer à une application à 100 %.
La politique de rejet est-elle toujours le choix le plus efficace ?
Quel que soit le soin apporté à l'authentification de vos enregistrements, seuls quelques propriétaires de domaines parviennent à une conformité DMARC de 100 % pour toutes les sources valides. L'application à 100 % de la politique de rejet peut également entraîner la non-délivrabilité de certains messages importants. Mais le bon côté des choses, c'est que cela vous protège totalement contre l'usurpation d'identité, l'hameçonnage et les abus.
Expert en sécurité des domaines et des courriels chez PowerDMARC
Ahona est la responsable du marketing chez PowerDMARC, avec plus de 5 ans d'expérience dans l'écriture sur des sujets de cybersécurité, spécialisée dans la sécurité des domaines et des courriels. Ahona est titulaire d'un diplôme de troisième cycle en journalisme et communication, solidifiant sa carrière dans le secteur de la sécurité depuis 2019.
Derniers messages de Ahona Rudra (voir tous)
- Microsoft renforce les règles relatives aux expéditeurs d'e-mails : Les principales mises à jour à ne pas manquer - 3 avril 2025
- Configuration de DKIM : Guide étape par étape pour configurer DKIM pour la sécurité du courrier électronique (2025) - 31 mars 2025
- PowerDMARC reconnu comme le leader de la grille pour DMARC dans les rapports du printemps 2025 de G2 - 26 mars 2025
