Quels paramètres doivent être associés à DMARC ?
par
Temps de lecture : 5 min
Le courrier électronique est l'un des moyens de communication les plus couramment utilisés. Mais il est très susceptible d'être attaqué par des pirates et des spammeurs. C'est pourquoi la mise en œuvre du SPF, DKIMet DMARC protègent vos conversations électroniques et empêchent les acteurs de la menace de les détourner. Ce blog a pour but de présenter les principaux paramètres DMARC qui vous aideront à démarrer le processus.
Points clés à retenir
- La mise en œuvre de DMARC avec SPF et DKIM est essentielle pour sécuriser vos communications par courrier électronique contre les attaques par usurpation d'identité et par hameçonnage.
- Les trois politiques DMARC - aucune, quarantine et rejet - définissent la manière dont les boîtes aux lettres des destinataires traitent les courriels non authentifiés.
- L'utilisation d'une politique de surveillance (p=none) permet d'analyser l'activité des courriels sans affecter la livraison pendant la phase initiale de mise en œuvre de DMARC.
- Les politiques de Quarantine (quarantine) indiquent aux serveurs de messagerie de filtrer les tentatives de phishing présumées dans le dossier spam en vue d'une inspection plus approfondie.
- Les politiques de rejet (p=rejet) offrent le niveau de sécurité le plus élevé en empêchant les courriels non autorisés d'atteindre les boîtes de réception des destinataires.
Qu'est-ce que le DMARC ?
Pour comprendre quels paramètres doivent être associés à DMARC, il faut d'abord savoir ce qu'est DMARC et comment il fonctionne.
DMARC est l'abréviation de Domain-based Message Authentication Reporting and Conformance. Il s'agit d'un protocole d'authentification du courrier électronique qui vous permet de créer et de publier une politique de sécurité spécifique autour de votre processus d'authentification du courrier électronique. Il indique à la boîte aux lettres du destinataire comment traiter les courriels non authentiques envoyés depuis votre domaine officiel.
Simplifiez la sécurité avec PowerDMARC !
Comment fonctionne DMARC ?
DMARC est mis en œuvre conjointement avec SPF et DKIM. Le propriétaire du domaine crée et publie un enregistrement DNS DMARC auprès de son fournisseur DNS. Lorsqu'un courriel est envoyé à partir de ce domaine (soit par vous et vos employés, soit par des cybercriminels), le serveur de messagerie du destinataire en valide l'authenticité en vérifiant si le domaine dispose d'un enregistrement DMARC publié sur le DNS.
En outre, le serveur du destinataire effectue des contrôles DKIM et SPF pour savoir si l'expéditeur est bien celui qu'il prétend être. Les contrôles suivants sont effectués :
- Si le message a une signature DKIM valide?
- Si l'adresse IP de l'expéditeur correspond aux expéditeurs autorisés dans l'enregistrement SPF ?
- Les en-têtes de message passent-ils les tests d'alignement de domaine ?
Une fois que les résultats SPF et DKIM sont sortis, le serveur de messagerie applique la politique. À la fin, un rapport appelé DMARC Aggregate Report est envoyé à l'adresse électronique spécifiée pour recevoir les rapports.
Politiques DMARC
L'un des principaux paramètres DMARC est celui des trois politiques DMARC. Vous pouvez les surveiller pendant un certain temps, puis décider de la manière dont vous souhaitez que les boîtes aux lettres des destinataires traitent les e-mails non authentifiés envoyés depuis votre domaine. Voici les trois politiques :
Politique de surveillance : p=none
Cette politique politique DMARC indique aux serveurs de messagerie de fournir des rapports à l'adresse mentionnée dans la balise rua ou ruf de votre enregistrement DMARC. Il s'agit d'une politique de surveillance uniquement, mise en œuvre au stade initial de la conformité DMARC pour analyser l'activité de votre canal de messagerie.
Il offre un aperçu du canal de messagerie mais n'indique pas aux serveurs de réception comment traiter les courriels qui échouent aux contrôles DMARC.
Politique de Quarantine : quarantine
Ce paramètre d'enregistrement DMARC indique aux serveurs de réception de placer dans le dossier spam les courriels qui n'ont pas passé le test d'authentification DMARC. Les courriels qui passent le test d'authentification atterriront dans la boîte de réception. Cela minimise les risques que vous adressiez accidentellement un courriel d'hameçonnage, mais les courriels malveillants de ce type se retrouveront toujours dans le dossier spam.
Politique de rejet : p=rejet
Le paramètre p=reject DMARC donne l'ordre aux serveurs de messagerie de rejeter complètement l'entrée des courriels qui échouent aux contrôles d'authentification DMARC. Tous les courriels acceptés sont livrés à la boîte de réception. Cependant, il existe des risques de faux échecs, ce qui signifie que des courriels significatifs et authentiques peuvent parfois ne pas atteindre les destinataires prévus.
Les types de balises DMARC et leurs fonctions
Les balises DMARC spécifient des aspects des paramètres DMARC et elles ne sont pas toutes aussi importantes et utilisées que les autres. Elles sont divisées en trois catégories.
- Requis: Ce sont des balises obligatoires. Chaque enregistrement DMARC TXT doit commencer par la balise obligatoire 'v' ou version et ajouter sa valeur comme 'DMARC1'.
- Facultatif mais recommandé: Il n'est pas nécessaire d'ajouter ces balises, cependant, elles aident à générer des rapports.
- En option: Vous pouvez ignorer complètement ces balises.
Fonctions des balises DMARC
Il y a un total de 11 balises importantes pour les paramètres d'enregistrement DMARC et les balises "v" et "p" sont obligatoires. Voyons quelle est la fonction de chaque balise.
| Nom du tag DMARC | Type | Fonction |
| v (version) | Requis | Cette balise DMARC spécifie la version. Il n'y a qu'une seule version pour le moment, donc sa valeur est fixée à v=DMARC1. |
| p (politique) | Requis | Le paramètre DMARC indique le mode de la politique DMARC. Il indique au destinataire de signaler, de quarantine ou de rejeter les courriels qui échouent aux contrôles d'authentification. |
| adkim | En option | C'est l'abréviation de "DKIM alignment mode". Sa valeur peut être soit Strict (s) soit Relaxed (r).
En mode relaxé, la validation affiche un résultat positif si l'enregistrement DKIM vérifié adresse à un domaine d=sample.com, et que l'adresse électronique de l'expéditeur appartient à la catégorie [email protected]. En mode strict, la validation donne un résultat positif lorsque l'e-mail provient d'une adresse du domaine sample.com. Les sous-domaines ne sont pas validés. |
| aspf | En option | Ce paramètre DMARC correspond au mode d'alignement SPF. Sa valeur peut être soit Strict (s) soit Relaxed (r). La valeur par défaut est Relaxed "r". |
| sp (politique des sous-domaines) | En option | La balise DMARC sp spécifie la politique du sous-domaine. Le mode de politique est configuré pour votre domaine principal (p). |
| fo (rapport d'échec) | En option | La valeur par défaut de la balise DMARC fo est 0. Elle correspond aux options de rapport d'échec que les propriétaires de domaine peuvent choisir.
Les options disponibles sont les suivantes : fo=0 : un rapport d'échec DMARC/forensique vous est envoyé si votre courriel échoue à la fois l'alignement SPF et DKIM. fo=1 : un rapport d'échec DMARC/forensique vous est envoyé lorsque votre courriel échoue l'alignement SPF ou DKIM. fo=d : un rapport d'échec DKIM est envoyé si la signature DKIM de l'e-mail n'est pas validée, quel que soit l'alignement. fo=s : un rapport d'échec SPF est envoyé si l'e-mail échoue à l'évaluation SPF, quel que soit l'alignement. |
| ruf (rapport d'échec RUI) | Facultatif mais recommandé | Il précise où le rapport DMARC forensic ruf doit être envoyé. Actuellement, seules quelques entreprises conformes à la norme DMARC l'envoient. |
| rua (rapport d'agrégation RUI) | Facultatif mais recommandé | Tandis que les paramètres DMARC sont expliqués, la balise rua affiche l'adresse électronique ou le serveur Web auquel les entreprises déclarantes doivent le livrer. |
| rf (format de rapport) | En option | La valeur par défaut de cette balise DMARC est "afrf". Il enregistre les formats de rapports médico-légaux. |
| pct (pourcentage) | En option | Sa valeur par défaut est '100'. Cette balise indique le pourcentage d'e-mails pour lesquels le mode de politique est essayé.
Par exemple, "pct = 40" filtrera 40 % des e-mails. |
| ri (intervalle de rapport) | En option | La valeur par défaut de la balise ri est '86400'. Il spécifie l'intervalle de temps en secondes entre deux rapports agrégés consécutifs. |
Résumé
Les paramètres DMARC fonctionnent ensemble pour vous aider à prévenir les attaques de phishing et de spoofing tentées au nom de votre marque. Ils fonctionnent en conjonction avec SPF et DKIM où les politiques DMARC sont appliquées pour indiquer au serveur de réception comment traiter les courriels qui échouent aux contrôles de validation. Les trois balises sont p= none (aucune action n'est entreprise sur les courriels échoués), quarantine (les courriels échoués atterrissent dans le dossier spam au lieu de la boîte de réception) et p=reject (les courriels échoués ne peuvent absolument pas entrer dans les boîtes aux lettres des destinataires).
Expert en sécurité des domaines et des courriels chez PowerDMARC
Ahona est la responsable du marketing chez PowerDMARC, avec plus de 5 ans d'expérience dans l'écriture sur des sujets de cybersécurité, spécialisée dans la sécurité des domaines et des courriels. Ahona est titulaire d'un diplôme de troisième cycle en journalisme et communication, solidifiant sa carrière dans le secteur de la sécurité depuis 2019.
Derniers messages de Ahona Rudra (voir tous)
- Microsoft renforce les règles relatives aux expéditeurs d'e-mails : Les principales mises à jour à ne pas manquer - 3 avril 2025
- Configuration de DKIM : Guide étape par étape pour configurer DKIM pour la sécurité du courrier électronique (2025) - 31 mars 2025
- PowerDMARC reconnu comme le leader de la grille pour DMARC dans les rapports du printemps 2025 de G2 - 26 mars 2025
