DMARC (Domain-based Message Authentication, Reporting and Conformance) est un protocole technique d'authentification des messages sortants. DMARC constitue la première ligne de défense contre diverses menaces liées au courrier électronique, notamment le phishing et le spoofing.
Pour configurer DMARCvous devez créer un enregistrement DMARC. L'enregistrement DMARC créé est un enregistrement TXT qui est ensuite publié sur votre DNS. Il donne le coup d'envoi à votre processus d'authentification du courrier électronique. En configurant un enregistrement DMARC, vous permettez aux propriétaires de domaines d'indiquer aux destinataires comment ils doivent répondre aux courriels envoyés par des sources non autorisées ou illégitimes.
Points clés à retenir
- Un enregistrement DMARC est une entrée DNS TXT qui permet d'authentifier les courriels sortants et de prévenir les attaques par usurpation d'identité et par hameçonnage.
- Le choix de la bonne politique DMARC est essentiel pour contrôler le traitement des courriels non autorisés.
- Pour mettre en œuvre DMARC, l'enregistrement doit être publié dans le système de noms de domaine (DNS) à l'aide d'outils tels que cPanel, GoDaddy ou Cloudflare.
- Même les domaines qui n'envoient pas activement de courriers électroniques doivent avoir un enregistrement DMARC restrictif, en particulier "p=reject", afin d'éviter les abus potentiels.
- Pour des résultats optimaux, il est recommandé de maintenir un seul enregistrement DMARC par domaine et de mettre en œuvre progressivement l'application afin d'éviter les problèmes de livraison du courrier électronique.
- Des solutions comme PowerDMARC automatisent la gestion des enregistrements DMARC et simplifient la surveillance grâce à l'utilisation d'une intelligence des menaces basée sur l'IA.
Qu'est-ce qu'un enregistrement DMARC ?
Un enregistrement DMARC est un enregistrement DNS TXT qui spécifie comment les serveurs de messagerie doivent traiter les messages qui échouent aux contrôles d'authentification (SPF et DKIM). Il aide les propriétaires de domaines à prévenir l'usurpation d'identité et l'hameçonnage en indiquant aux serveurs destinataires s'ils doivent rejeter, quarantine ou autoriser les courriels non autorisés.
Principaux éléments d'un enregistrement DMARC
1. Modes d'application de la politique DMARC
La politique DMARC définit la manière dont les destinataires doivent traiter les courriels qui échouent à l'authentification DMARC. Elle est désignée par "p". Elle peut avoir l'une des trois valeurs suivantes :
- p=none: Pour ne prendre aucune mesure contre les courriels non autorisés.
- quarantine: Pour signaler les courriels suspects.
- p=reject : Pour rejeter les courriels non autorisés avant qu'ils n'atteignent vos destinataires.
2. Options de rapport DMARC
- Rapports agrégés (rua=): Il s'agit de rapports récapitulatifs envoyés à l'adresse électronique spécifiée, indiquant les résultats de l'authentification pour tous les courriels du domaine.
- Rapports médico-légaux (ruf=): Il s'agit de rapports d'échec détaillés envoyés lorsqu'un courriel échoue à l'authentification DMARC.
3. Modes d'alignement DMARC
- Alignement SPF (aspf=): Détermine si le domaine de l'expéditeur dans l'en-tête From : s'aligne sur l'enregistrement SPF. Il est possible de choisir entre un alignement strict (s) pour une correspondance exacte et un alignement détendu (r) pour une correspondance organisationnelle.
- Alignement DKIM (adkim=): Détermine si le domaine de la signature DKIM s'aligne sur le domaine de l'en-tête From :. Il est possible d'opter pour un alignement strict (s) pour une correspondance exacte ou pour un alignement détendu (r) pour une correspondance organisationnelle.
Comment créer un enregistrement DMARC ?
Pour créer un enregistrement DNS DMARC pour votre domaine, assurez-vous que vous avez :
a) un outil fiable pour générer l'enregistrement
b) accès à votre console de gestion DNS pour publier l'enregistrement
Suivez les étapes ci-dessous pour créer votre enregistrement :
1. Générer votre enregistrement DMARC
S'inscrire pour accéder à notre portail à l'aide d'une adresse électronique ou s'inscrire à l'aide de Gmail/Office 365. Allez dans Analysis Tools > PowerToolbox > DMARC Record Generator pour commencer à créer votre enregistrement DMARC.
3. Définir une politique DMARC pour votre enregistrement DMARC
Décider d'une politique DMARC en fonction du niveau d'application souhaité (aucun, quarantine ou rejet). Voici comment choisir votre politique d'enregistrement DMARC :
- Si vous souhaitez qu'aucune mesure ne soit prise contre les courriels non sollicités envoyés depuis votre domaine, choisissez "aucun".
- Si vous souhaitez quarantine courriels qui ne répondent pas aux critères DMARC, choisissez "quarantine".
- Si vous souhaitez rejeter ou écarter les courriels qui n'ont pas été authentifiés, ce qui peut minimiser les attaques par usurpation d'identité et par hameçonnage, choisissez "rejeter".
3. Configurer les champs optionnels de l'enregistrement DMARC recommandé
Bien que tous les champs ne soient pas obligatoires, nous vous recommandons de configurer quelques champs facultatifs utiles dans votre enregistrement DMARC. Voyons de quoi il s'agit :
- Champ de rapport agrégé (rua) : Si vous configurez le champ rua, vous recevrez les données d'authentification DMARC directement à votre adresse électronique.
- Champ de rapport forensique (ruf) : Obtenez des informations sur les incidents médico-légaux tels que les cyberattaques en configurant le champ ruf dans votre enregistrement DMARC.
- Modes d'alignement DKIM/SPF" Choisissez si vous souhaitez opter pour un alignement détendu ou strict pour SPF et/ou DKIM.
Comment publier un enregistrement DMARC ?
Pour publier un enregistrement DMARC, il y a quelques conditions préalables :
- Vous devez avoir accès à votre console de gestion DNS
- Vous devez avoir l'autorisation de modifier et d'ajouter de nouveaux enregistrements DNS pour votre domaine.
Publier votre enregistrement DMARC avec cPanel
1. Accédez à votre console de gestion DNS cPanel
2. Dans la section Domaines, cliquez sur Éditeur de zone DNS ou Éditeur de zone avancé.
3. Ajoutez un enregistrement DMARC de type TXT (tex), en remplissant les détails comme indiqué ci-dessous. Dans le champ "TXT data" ou "value", vous devez coller votre enregistrement DMARC précédemment créé.
Publication d'un enregistrement DMARC avec Godaddy
- Connectez-vous à votre portefeuille de domaines GoDaddy pour accéder à la zone DNS.
- Sous Nom de domaine, recherchez et sélectionnez votre domaine d'envoi d'e-mails.
- Sous votre nom de domaine, cliquez sur DNS
- Sélectionnez maintenant Ajouter un nouvel enregistrement et commencez à publier votre enregistrement avec les détails suivants :
Type: TXT
Nom: _dmarc
ValeurColler la valeur de votre enregistrement DMARC
Publication d'un enregistrement DMARC avec Cloudflare
- Connectez-vous à votre compte Cloudflare.
- Sélectionnez le compte et le domaine souhaités.
- Naviguer vers DNS et cliquer sur Ajouter un enregistrement
- Collez l'enregistrement DMARC généré dans la section Ajouter un enregistrement, comme dans l'exemple ci-dessous :
Vérification de votre enregistrement DMARC
Pour vérifier votre enregistrement DMARC et éviter les fréquents messages du type "Aucun enregistrement DMARC n'a été trouvé" vous pouvez utiliser notre outil de vérification gratuit.
1. Inscrivez-vous gratuitement et naviguez vers Analysis Tools > PowerToolbox > DMARC Record Checker
2. Examinez l'état, la syntaxe et les balises de votre enregistrement DMARC afin de détecter toute erreur éventuelle.
Erreurs courantes dans les enregistrements DMARC
| Statut | Ce que cela signifie | Que pouvez-vous faire ? |
|---|---|---|
| Valable | Votre enregistrement DMARC est correct et ne contient pas d'erreurs. | Ne rien faire |
| Invalide | Votre enregistrement DMARC contient des erreurs. Cela peut être dû à une syntaxe incomplète ou erronée. | Révisez votre syntaxe, consultez notre guide complet sur les balises DMARC ou contactez-nous pour obtenir l'aide d'un expert. |
| Aucun enregistrement trouvé | Aucun enregistrement DMARC n'était présent dans votre DNS. | Créez un enregistrement DMARC pour votre domaine et publiez-le sur votre DNS. |
Une fois que vous avez détecté des erreurs dans votre enregistrement, vous devez apporter les modifications nécessaires à votre DNS et enregistrer les changements. Vous pouvez revérifier votre enregistrement une fois que les modifications ont été effectuées.
Enregistrement DMARC pour les domaines non expéditeurs
La plupart des gens s'arrêtent à la sécurisation de leurs domaines actifs, mais ils sont loin de se douter que les attaquants peuvent usurper même vos domaines non expéditeurs pour envoyer de faux courriels en votre nom ! Pour éviter cela, voici les étapes à suivre pour mettre en place DMARC pour vos domaines non-envoyeurs:
- Publier un enregistrement DMARC non permissifLa première étape consiste à publier un enregistrement DMARC pour le domaine inactif avec une politique imposée telle que p=reject.
- Ignorer les rapports : Puisque le domaine n'envoie pas de courriels, il n'est pas nécessaire de configurer des rapports RUA ou RUF pour lui.
- Publier un enregistrement SPF restrictif : Définissez v=spf1 -all pour empêcher l'envoi de courrier électronique.
- Désactiver les services de messagerie intégrés : Si le domaine est encore lié à des serveurs de messagerie externes, il peut être judicieux de les restreindre si le domaine n'est plus utilisé.
Conséquences de la non-sécurisation de vos domaines inactifs
Le fait de ne pas mettre en œuvre DMARC pour vos domaines non expéditeurs peut avoir diverses conséquences, telles que
- Risque accru d'attaques par spoofing et phishing
- Atteinte à la réputation de la marque et du domaine
- L'abus de domaine passe inaperçu pendant de longues périodes
Un seul enregistrement DMARC par domaine
Lors de la configuration de votre enregistrement DMARC, il est important de publier une seule entrée d'enregistrement par domaine. Plusieurs enregistrements DMARC pour un même domaine peuvent entraîner des conflits et des échecs d'authentification injustifiés !
Pourquoi les enregistrements DMARC multiples posent-ils problème ?
- Échec de l'authentification par courrier électronique: Les destinataires du courrier électronique peuvent ne pas savoir quel enregistrement DMARC suivre.
- Mauvaises configurations et incohérences: Des règles contradictoires (par exemple, un enregistrement utilisant p=none et un autre utilisant p=reject) conduisent à une application imprévisible.
- Rapport inexact: Les rapports DMARC peuvent être incomplets ou peu fiables.
Bonnes pratiques pour une mise en œuvre correcte de DMARC
Pour garantir une configuration correcte des enregistrements DMARC, voici les meilleures pratiques de mise en œuvre :
- Publier un seul enregistrement DMARC par domaine.
- Évitez de configurer l'option DMARC sp à moins que vous ne souhaitiez que vos sous-domaines aient une politique différente.
- Utiliser un outil de vérification outil de vérification DMARC pour valider votre enregistrement après l'avoir publié.
- Surveillez régulièrement vos rapports DMARC pour vous assurer que les activités suspectes ne passent pas inaperçues.
Etapes suivantes après la publication d'un enregistrement DMARC
Une fois que vous avez publié votre enregistrement DMARC, la prochaine étape consiste à protéger votre domaine contre les escrocs et les usurpateurs d'identité. C'est votre principal objectif lorsque vous mettez en œuvre des protocoles de sécurité et des services d'authentification des courriels.
La simple publication d'un enregistrement DMARC avec une politique p=none n'offre aucune protection contre les attaques par usurpation de domaine et la fraude par courrier électronique. Pour cela, il faut passer à l'application l'application de DMARC.
Pour passer à l'application de DMARC, une approche progressive est la meilleure façon d'obtenir des résultats idéaux sans impact négatif sur votre délivrabilité. Voici un processus étape par étape que vous pouvez suivre :
- Commencez par une politique p=none, qui est votre mode de surveillance.
- Activez les rapports DMARC pour votre domaine afin d'analyser le trafic et la délivrabilité de vos courriels.
- Passez en quarantine, en maintenant le pct (pourcentage) à 10, et augmentez-le progressivement jusqu'à 100 % sur une période de deux semaines.
- Une fois que vous êtes sûr de votre configuration, passez à p=reject, en maintenant pct sur le pourcentage le plus bas, puis en augmentant progressivement jusqu'à l'application complète pour 100 % de votre volume de courrier.
Comment PowerDMARC simplifie la gestion des enregistrements DMARC
Pour les organisations qui gèrent plusieurs domaines, ou simplement pour celles qui ne souhaitent pas s'embêter à configurer et à maintenir manuellement les enregistrements DMARC, il y a PowerDMARC. Une solution simple et conviviale qui automatise la gestion des enregistrements DMARC sous un même toit. Doté d'une technologie d'intelligence des menaces basée sur l'IA et de rapports détaillés, PowerDMARC a aidé plus de 2 000 clients dans le monde à simplifier leur parcours DMARC.
Pour commencer, faites un essai gratuit de essai gratuit de 15 jours de la plateforme dès aujourd'hui !
FAQ sur les enregistrements DMARC
1. Pourquoi ai-je besoin d'un enregistrement DMARC ?
Les enregistrements DMARC permettent d'empêcher l'usurpation d'identité d'un domaine, réduisant ainsi le risque de diverses menaces basées sur le courrier électronique, telles que le phishing, le spoofing et les attaques par ransomware. Sans enregistrement DMARC, votre domaine risque davantage d'être compromis ou utilisé à mauvais escient par des acteurs menaçants.
2. Quelles sont les erreurs courantes dans les enregistrements DMARC ?
Parmi les erreurs de configuration les plus courantes de DMARC, on peut citer
- Avoir plusieurs enregistrements DMARC, car un domaine ne peut avoir qu'un seul enregistrement DMARC.
- Erreurs de syntaxe telles qu'un formatage incorrect (par exemple, des points-virgules ou des espaces manquants).
- Valeurs de politique invalides, comme l'utilisation de balises incorrectes telles que p=rejected au lieu de p=reject.
- Les adresses de notification par courrier électronique qui ne sont pas correctes, telles que les adresses de courrier électronique rua ou ruf, entraînent des rapports non délivrés.
3. Puis-je avoir plusieurs enregistrements DMARC pour un même domaine ?
Non, un domaine ne peut avoir qu'un seul enregistrement DMARC. S'il existe plusieurs enregistrements, les fournisseurs de messagerie peuvent ignorer la configuration, ce qui entraîne des échecs d'authentification et des failles de sécurité.
4. Combien de temps faut-il pour qu'un enregistrement DMARC se propage ?
Le temps de propagation des enregistrements DMARC varie généralement de quelques minutes à 48 heures, en fonction des paramètres de mise en cache et de TTL (Time-to-Live) du DNS.
5. Que se passe-t-il si mon enregistrement DMARC n'est pas valide ?
Si un enregistrement DMARC n'est pas valide, il peut entraîner toute une série de problèmes, tels que l'échec des tentatives d'authentification ou des vérifications et des problèmes de délivrabilité du courrier électronique, et votre domaine peut même être vulnérable à l'usurpation d'identité.
6. Que se passe-t-il si le domaine n'a pas publié d'enregistrement DMARC ?
Si vous êtes un expéditeur de masse dont l'enregistrement DMARC n'est pas publié, vous serez confronté à des rejets d'e-mails lorsque vous enverrez des messages à Google et Yahoo . En outre, votre domaine peut devenir une cible de choix pour les pirates. En outre, votre domaine peut devenir une cible de choix pour les pirates, car il n'y aura aucune restriction sur l'usurpation d'identité.
- Comment créer et publier un enregistrement DMARC - 3 mars 2025
- Comment corriger le message "Aucun enregistrement SPF trouvé" en 2025 - 21 janvier 2025
- Comment lire un rapport DMARC - 19 janvier 2025