DMARCbis expliqué - Ce qui change et comment se préparer

Blog

DMARCbis (DMARC 2.0) est là pour remplacer le DMARC original. Découvrez ce qui change et comment vous préparer à une transition en douceur.

par YunesTarada

Temps de lecture : 4 min
DMARCbis expliqué - Ce qui change et comment se préparer
Table des matières-

Le système DMARC (Domain-based Message Authentication, Reporting, and Conformance) est un système d'authentification, de signalement et de conformité des messages basé sur un domaine (DMARC) fait l'objet d'une mise à jour importante depuis sa publication initiale. Connue sous le nom de DMARCbis, la spécification redéfinie, qui est encore à l'état d'ébauche, a pour but d'améliorer l'efficacité du protocole. encore à l'état de projet, vise à relever les défis de longue date en matière d'authentification des courriels. Voici tout ce qu'il faut savoir sur ce qui change et comment s'y préparer.

Statut actuel : Projet Internet 

Phase : Dernier appel

Date de publication prévue : Non spécifiée 

Obsoletes : RFC 7489 & 9091 (si approuvé)

Source : Projet DMARCbis

Points clés à retenir

  • DMARCbis est le successeur actualisé du protocole DMARC original, qui vise à améliorer la clarté et l'alignement. 
  • Il redéfinit la liste des suffixes publics (PSL) avec une arborescence DNS plus fiable pour identifier le domaine de l'organisation.
  • Les balises telles que pct, rf et ri ont été supprimées afin de simplifier la mise en œuvre et de réduire la confusion.
  • Quelques nouvelles balises, comme psd, np et t, sont introduites pour définir clairement les domaines de suffixes publics et faciliter la gestion de l'héritage des politiques.
  • La version de l 'enregistrement DMARC reste inchangée (v=DMARC1) pour des raisons de compatibilité ascendante.
  • Les configurations DMARC existantes avec des enregistrements de domaine de base valides continueront à fonctionner sans changements immédiats.
  • PowerDMARC peut simplifier votre transition en automatisant la gestion des dossiers, en offrant des conseils d'experts et en fournissant une visibilité dans tous vos domaines.

Qu'est-ce que DMARCbis ? 

DMARCbis est une version actualisée de la spécification DMARC originale, élaborée par l IETF (Internet Engineering Task Force). Elle s'appuie sur les fondements de la RFC 7489 et de la RFC 9091 et, s'il est approuvé, les rend obsolètes, en introduisant des révisions qui clarifient les ambiguïtés du protocole. Alors que son prédécesseur était un RFC informatifd'information, DMARCbis est en passe d'être publié en tant que norme proposéece qui est le signe d'un consensus plus large et d'une meilleure préparation de l'industrie.

DMARCbis se concentrera principalement sur la clarté, la sécurité et un meilleur alignement des domaines. Bien qu'elle ait été redéfinie, la balise v=DMARC1 reste inchangée afin de préserver la compatibilité ascendante.

Principaux changements dans DMARCbis

FonctionnalitéOriginal DMARCDMARCbis (Nouveaux changements)
Méthode de recherche de domaineUtilise la liste publique des suffixes (PSL)Redéfini avec DNS Tree Walk (parcourt la hiérarchie du domaine, s'arrête à psd=y ou psd=n). Maximum 8 niveaux.
TagsSupports pct, rf, riSupprime pct , ri, et rf (simplifie le protocole).
Nouvelle étiquetteAucunAjoute les balises psd (marque explicitement les domaines à suffixe public), np et t.
Clarté de la politiquePas d'orientation sur la politique d'héritageRègles claires pour les propriétaires de domaines afin de contrôler l'héritage via psd.
SpécificationsComplexe, moins structuréSimplification de la documentation, amélioration des exemples et de la terminologie.
Compatibilitév=DMARC1 recordsPas de changement - les anciens enregistrements fonctionnent toujours.

1. L'arborescence DNS redéfinit la liste des suffixes publics

La liste des suffixes publics (PSL) est redéfinie à l'aide d'une méthode d'arborescence propre au DNS pour déterminer le domaine organisationnel.


L'algorithme DNS Tree Walk remonte la hiérarchie du domaine pour trouver un enregistrement DMARC valide. Cela permet de définir les limites des domaines de manière native dans le DNS et d'éliminer le besoin de listes de suffixes tierces. L'algorithme s'arrête lorsqu'il trouve un enregistrement DMARC valide qui inclut la balise psd=y (domaine de suffixe public) ou psd=n (domaine organisationnel). Cette balise indique au système où se trouve le domaine organisationnel. 

Si aucune politique de ce type n'est trouvée, la recherche se poursuit jusqu'à un maximum de 8 niveaux.

2. Balises obsolètes

Les balises suivantes sont supprimées afin de rationaliser le protocole :

  • pct (application de la politique basée sur le pourcentage)
  • rf (format de rapport)
  • ri (intervalle de rapport)

3. Tags nouveaux et mis à jour

  • Le nouveau tag psd définit plus clairement les domaines à suffixe public, ce qui aide les propriétaires de domaines à contrôler l'héritage des politiques dans les arborescences.
  • L'étiquette balise t signale au destinataire (validateur) que le propriétaire du domaine est en phase de test et qu'il ne souhaite peut-être pas appliquer pleinement la politique (p, sp, np). Elle ne modifie pas la façon dont les rapports DMARC sont générés et n'affecte pas les politiques qui sont déjà réglées sur none.
  • La nouvelle balise np tag (politique inexistante) spécifie la politique DMARC à appliquer aux sous-domaines qui n'existent pas (c'est-à-dire les domaines qui ne se résolvent pas ou qui ne sont pas enregistrés en tant que zones actives).

4. "Exigences en matière de "pleine participation

De nouvelles lignes directrices définissent ce que signifie pour les propriétaires de domaines et les destinataires la prise en charge complète de DMARC, en définissant des attentes plus claires et en améliorant l'interopérabilité.

5. Amélioration du format des spécifications

Le document a été restructuré avec de meilleurs exemples, une terminologie clarifiée et une présentation plus claire, ce qui facilite la mise en œuvre pour toutes les parties prenantes.

Qu'est-ce qui reste inchangé ?

  • Les enregistrements DMARC existants utilisant v=DMARC1 restent valides.
  • Les mécanismes de base de DMARC pour SPF, DKIM et l'alignement restent d'application.
  • Les balises de politique (p, sp, rua, ruf) restent au cœur de la fonctionnalité DMARC.

Impact sur les déploiements DMARC existants

La mise à jour de DMARCbis est rétrocompatible et n'a pas d'impact sur les déploiements existants compatibles avec la RFC 7489. Les nouvelles balises sont facultatives, de sorte que les configurations actuelles ne sont pas affectées. Bien qu'il soit recommandé d'auditer vos enregistrements pour rationaliser l'authentification, aucune action immédiate n'est nécessaire si votre DMARC est correctement configuré.

Comment se préparer à DMARCbis

Bien que les ne soient pas perturbateurs, les organisations doivent commencer à se préparer à assurer la pérennité de leur dispositif de sécurité du courrier électronique.les entreprises doivent commencer à se préparer à assurer la pérennité de leur dispositif de sécurité du courrier électronique. Voici comment procéder :

  1. Passez en revue vos enregistrements DMARC : Vérifiez votre enregistrement actuel pour vous assurer que les balises bientôt obsolètes telles que pct ou rf sont supprimées. Assurez-vous que le domaine de base (organisationnel) dispose d'une politique DMARC valide.
  2. Comprendre le modèle d'arborescence : Assurez-vous que vos sous-domaines hériteront de la politique comme prévu dans le cadre du nouveau mécanisme basé sur la hiérarchie. Pour les configurations complexes, simulez la logique de l'arborescence DNS pour vérifier le comportement.
  3. Pensez à la balise psd : Familiarisez-vous avec psd=n ou psd=y pour définir explicitement les limites du domaine si la structure de votre domaine l'exige.
  4. Former votre équipe de sécurité: Veillez à ce que vos équipes chargées de la messagerie électronique et de la sécurité soient informées de ces changements à venir et comprennent leurs implications en matière d'authentification et de délivrabilité.

Comment PowerDMARC peut-il aider ?

PowerDMARC peut aider les organisations à passer en douceur à DMARCbis grâce à une combinaison d'automatisation, de visibilité et de conseils d'experts. 

  • Configuration et gestion automatisées de DMARC, SPF et DKIM via un tableau de bord centralisé d'authentification des courriels 
  • Des rapports simplifiés offrant une visibilité complète sur les canaux de courrier électronique 
  • Solutions hébergées pour une mise à jour transparente des politiques et une optimisation des enregistrements
  • Une équipe d'experts dévoués pour vous aider à résoudre les problèmes et les changements en temps réel.

Prêt à simplifier DMARC ? Contactez PowerDMARC pour obtenir une consultation gratuite 1:1 avec l'un de nos experts internes dès aujourd'hui !

Réflexions finales 

DMARCbis offre plus de flexibilité, de clarté et de contrôle, en particulier si vous souhaitez gérer séparément les politiques DMARC pour les sous-domaines. Bien qu'aucune action urgente ne soit nécessaire, vous pouvez choisir de faire les préparatifs nécessaires pour une meilleure gestion de l'authentification des domaines.

CTA

Derniers messages de Yunes Tarada (voir tous)
Étude de cas DMARC MSP : 1-MSP améliore la sécurité et l'identité de marque de ses clients avec...1msp-powerdmarc-success-storyDMARC pour les courriers électroniques non sollicités : Aucun, Quarantine ou Rejet ? (Meilleure politique pour l...