DMARCbis expliqué - Ce qui change et comment se préparer
par
Dernière mise à jour : 4 Temps de lecture : 4 min
Le système DMARC (Domain-based Message Authentication, Reporting, and Conformance) est un système d'authentification, de signalement et de conformité des messages basé sur un domaine (DMARC) fait l'objet d'une mise à jour importante depuis sa publication initiale. Connue sous le nom de DMARCbis, la spécification redéfinie, qui est encore à l'état d'ébauche, a pour but d'améliorer l'efficacité du protocole. encore à l'état de projet, vise à relever les défis de longue date en matière d'authentification des courriels. Voici tout ce qu'il faut savoir sur ce qui change et comment s'y préparer.
Statut actuel : Projet Internet
Phase : Dernier appel
Date de publication prévue : Non spécifiée
Obsoletes : RFC 7489 & 9091 (si approuvé)
Source : Projet DMARCbis
Points clés à retenir
- DMARCbis est le successeur actualisé du protocole DMARC original, qui vise à améliorer la clarté et l'alignement.
- Il redéfinit la liste des suffixes publics (PSL) avec une arborescence DNS plus fiable pour identifier le domaine de l'organisation.
- Les balises telles que pct, rf et ri ont été supprimées afin de simplifier la mise en œuvre et de réduire la confusion.
- Quelques nouvelles balises, comme psd, np et t, sont introduites pour définir clairement les domaines de suffixes publics et faciliter la gestion de l'héritage des politiques.
- La version de l 'enregistrement DMARC reste inchangée (v=DMARC1) pour des raisons de compatibilité ascendante.
- Les configurations DMARC existantes avec des enregistrements de domaine de base valides continueront à fonctionner sans changements immédiats.
- PowerDMARC peut simplifier votre transition en automatisant la gestion des dossiers, en offrant des conseils d'experts et en fournissant une visibilité dans tous vos domaines.
Qu'est-ce que DMARCbis ?
DMARCbis est une version actualisée de la spécification DMARC originale, élaborée par le groupe de travail de l'Union européenne. IETF (Internet Engineering Task Force). Il s'appuie sur les fondements de RFC 7489 et RFC 9091 et, en cas d'approbation, les supprime, en introduisant des révisions qui clarifient les ambiguïtés du protocole. Alors que son prédécesseur était un RFC informatifDMARCbis est en passe d'être publié sous la forme d'un document de référence. Norme proposéeLe Conseil des ministres de l'Union européenne a adopté un programme de travail pour la période 2007-2013, signe d'un consensus plus large et d'une meilleure préparation du secteur.
DMARCbis se concentrera principalement sur la clarté, la sécurité et un meilleur alignement des domaines. Bien qu'elle ait été redéfinie, la balise v=DMARC1 reste inchangée afin de préserver la compatibilité ascendante.
Principaux changements dans DMARCbis
| Fonctionnalité | Original DMARC | DMARCbis (Nouveaux changements) |
|---|---|---|
| Méthode de recherche de domaine | Utilise la liste publique des suffixes (PSL) | Redéfini avec DNS Tree Walk (parcourt la hiérarchie du domaine, s'arrête à psd=y ou psd=n). Maximum 8 niveaux. |
| Tags | Supports pct, rf, ri | Supprime pct , ri, et rf (simplifie le protocole). |
| Nouvelle étiquette | Aucun | Ajoute les balises psd (marque explicitement les domaines à suffixe public), np et t. |
| Clarté de la politique | Pas d'orientation sur la politique d'héritage | Règles claires pour les propriétaires de domaines afin de contrôler l'héritage via psd. |
| Spécifications | Complexe, moins structuré | Simplification de la documentation, amélioration des exemples et de la terminologie. |
| Compatibilité | v=DMARC1 records | Pas de changement - les anciens enregistrements fonctionnent toujours. |
1. L'arborescence DNS redéfinit la liste des suffixes publics
La liste des suffixes publics (PSL) est redéfinie à l'aide d'une méthode d'arborescence propre au DNS pour déterminer le domaine organisationnel.
L'algorithme DNS Tree Walk remonte la hiérarchie du domaine pour trouver un enregistrement DMARC valide. Cela permet de définir les limites des domaines de manière native dans le DNS et d'éliminer le besoin de listes de suffixes tierces. L'algorithme s'arrête lorsqu'il trouve un enregistrement DMARC valide qui inclut la balise psd=y (domaine de suffixe public) ou psd=n (domaine organisationnel). Cette balise indique au système où se trouve le domaine organisationnel.
Si aucune politique de ce type n'est trouvée, la recherche se poursuit jusqu'à un maximum de 8 niveaux.
2. Balises obsolètes
Les balises suivantes sont supprimées afin de rationaliser le protocole :
- pct (application de la politique basée sur le pourcentage)
- rf (format de rapport)
- ri (intervalle de rapport)
3. Tags nouveaux et mis à jour
- Le nouveau tag psd définit plus clairement les domaines à suffixe public, ce qui aide les propriétaires de domaines à contrôler l'héritage des politiques dans les arborescences.
- L'étiquette balise t signale au destinataire (validateur) que le propriétaire du domaine est en phase de test et qu'il ne souhaite peut-être pas appliquer pleinement la politique (p, sp, np). Elle ne modifie pas la façon dont les rapports DMARC sont générés et n'affecte pas les politiques qui sont déjà réglées sur none.
- La nouvelle balise np tag (politique inexistante) spécifie la politique DMARC à appliquer aux sous-domaines qui n'existent pas (c'est-à-dire les domaines qui ne se résolvent pas ou qui ne sont pas enregistrés en tant que zones actives).
4. "Exigences en matière de "pleine participation
De nouvelles lignes directrices définissent ce que signifie pour les propriétaires de domaines et les destinataires la prise en charge complète de DMARC, en définissant des attentes plus claires et en améliorant l'interopérabilité.
5. Amélioration du format des spécifications
Le document a été restructuré avec de meilleurs exemples, une terminologie clarifiée et une présentation plus claire, ce qui facilite la mise en œuvre pour toutes les parties prenantes.
Qu'est-ce qui reste inchangé ?
- Les enregistrements DMARC existants utilisant v=DMARC1 restent valides.
- Les mécanismes de base de DMARC pour SPF, DKIM et l'alignement restent d'application.
- Les balises de politique (p, sp, rua, ruf) restent au cœur de la fonctionnalité DMARC.
Impact sur les déploiements DMARC existants
La mise à jour de DMARCbis est rétrocompatible et n'a pas d'impact sur les déploiements existants compatibles avec la RFC 7489. Les nouvelles balises sont facultatives, de sorte que les configurations actuelles ne sont pas affectées. Bien qu'il soit recommandé d'auditer vos enregistrements pour rationaliser l'authentification, aucune action immédiate n'est nécessaire si votre DMARC est correctement configuré.
Comment se préparer à DMARCbis
Bien que les ne soient pas perturbateurs, les organisations doivent commencer à se préparer à assurer la pérennité de leur dispositif de sécurité du courrier électronique.les entreprises doivent commencer à se préparer à assurer la pérennité de leur dispositif de sécurité du courrier électronique. Voici comment procéder :
- Passez en revue vos enregistrements DMARC : Vérifiez votre enregistrement actuel pour vous assurer que les balises bientôt obsolètes telles que pct ou rf sont supprimées. Assurez-vous que le domaine de base (organisationnel) dispose d'une politique DMARC valide.
- Comprendre le modèle d'arborescence : Assurez-vous que vos sous-domaines hériteront de la politique comme prévu dans le cadre du nouveau mécanisme basé sur la hiérarchie. Pour les configurations complexes, simulez la logique de l'arborescence DNS pour vérifier le comportement.
- Pensez à la balise psd : Familiarisez-vous avec psd=n ou psd=y pour définir explicitement les limites du domaine si la structure de votre domaine l'exige.
- Former votre équipe de sécurité: Veillez à ce que vos équipes chargées de la messagerie électronique et de la sécurité soient informées de ces changements à venir et comprennent leurs implications en matière d'authentification et de délivrabilité.
Comment PowerDMARC peut-il aider ?
PowerDMARC peut aider les organisations à passer en douceur à DMARCbis grâce à une combinaison d'automatisation, de visibilité et de conseils d'experts.
- Configuration et gestion automatisées de DMARC, SPF et DKIM via un tableau de bord centralisé d'authentification des courriels
- Des rapports simplifiés offrant une visibilité complète sur les canaux de courrier électronique
- Solutions hébergées pour une mise à jour transparente des politiques et une optimisation des enregistrements
- Une équipe d'experts dévoués pour vous aider à résoudre les problèmes et les changements en temps réel.
Prêt à simplifier DMARC ? Contactez PowerDMARC pour obtenir une consultation gratuite 1:1 avec l'un de nos experts internes dès aujourd'hui !
Réflexions finales
DMARCbis offre plus de flexibilité, de clarté et de contrôle, en particulier si vous souhaitez gérer séparément les politiques DMARC pour les sous-domaines. Bien qu'aucune action urgente ne soit nécessaire, vous pouvez choisir de faire les préparatifs nécessaires pour une meilleure gestion de l'authentification des domaines.
Expert en sécurité des domaines et des courriels chez PowerDMARC
Yunes est chef d'équipe des opérations chez PowerDMARC et possède des connaissances approfondies en matière d'authentification et de sécurité des courriels. Yunes est certifié Microsoft Azure Administrator Associate et possède des certifications CompTIA A+ et bien d'autres encore.
Derniers messages de Yunes Tarada (voir tous)
