Comment configurer DMARC : Guide de configuration étape par étape

Blog

Apprenez à configurer DMARC pour votre domaine, à vous protéger contre l'usurpation d'identité et à sécuriser vos e-mails. Commencez votre configuration DMARC dès aujourd'hui.

par Maitham Al Lawati

Temps de lecture : 8 min
Comment configurer DMARC : Guide de configuration étape par étape
Table des matières-

Points clés à retenir

  • L'installation de DMARC, qui s'appuie sur SPF, protège contre l'usurpation d'adresse électronique et le phishing, et préserve la réputation du domaine.
  • Un enregistrement DMARC dans le DNS définit les politiques de traitement (`none`, quarantine, `reject`) pour les courriels non autorisés.
  • Le format correct de l'enregistrement DMARC (par exemple, les balises obligatoires `v=DMARC1`, `p=policy`) est crucial pour un fonctionnement efficace et pour éviter les problèmes de livraison.
  • L'activation du reporting DMARC (`rua`, `ruf`) fournit des informations précieuses sur les flux d'emails et les résultats d'authentification pour la surveillance.
  • Une vérification régulière à l'aide d'outils garantit une configuration correcte, tandis que `p=reject` offre une protection maximale.

Seulement 53,8 % des entreprises dans le monde ont configuré DMARC sur leur domaine, ce qui signifie que près de la moitié d'entre elles fonctionnent sans une couche de protection essentielle contre les attaques par courrier électronique. De nombreuses organisations cherchent encore comment configurer DMARC, ignorant que l'absence de ce protocole crée un point d'entrée facile pour les tentatives d'usurpation d'identité et d'hameçonnage.

L'authentification du courrier électronique est au cœur de la sécurité des domaines. SPF, DKIM et DMARC fonctionnent ensemble pour vérifier qui est autorisé à envoyer du courrier à partir de votre domaine et comment les messages suspects doivent être traités. SPF autorise des adresses IP d'envoi spécifiques, DKIM applique une signature cryptographique qui prouve l'intégrité du message, et DMARC utilise les deux pour appliquer une politique et guider les serveurs de réception sur ce qu'il convient de faire si un message échoue à l'authentification. Même avec SPF et DKIM en place, un domaine sans DMARC reste exposé parce qu'il n'y a pas d'instructions sur la manière dont les messages qui échouent doivent être traités.

Conditions préalables à la configuration de DMARC

Avant de passer au processus d'installation de DMARC, assurez-vous d'avoir mis en place les éléments suivants :

  1. Accès à votre console de gestion DNS : Ceci est essentiel pour créer et publier des enregistrements DNS.
  2. Liste des expéditeurs de courrier électronique autorisés: Identifiez tous les services et serveurs qui envoient des courriels en votre nom afin d'éviter un blocage involontaire.
  3. Enregistrement SPF et/ou DKIM existant dans votre DNS : Au moins un de ces enregistrements doit déjà être configuré dans votre DNS, car DMARC s'appuie sur eux pour l'authentification du courrier électronique. SPF (Sender Policy Framework) indique au serveur de réception de quel domaine il doit s'attendre à ce que le courrier électronique provienne, tandis que l'enregistrement DKIM (DomainKeys Identified Mail) est une méthode de signature numérique de vos courriels pour vérifier l'authenticité de l'expéditeur.

Avertissement: Si vous sautez SPF, DMARC ne fonctionnera pas. Assurez-vous d'avoir correctement configuré l'un ou l'autre, ou de préférence les deux, avant de passer aux étapes suivantes.

Comment configurer DMARC étape par étape

DMARC est un protocole d'authentification du courrier électronique qui indique aux serveurs de réception ce qu'ils doivent faire lorsqu'un courrier électronique ne passe pas la vérification SPF ou DKIM. Il permet de protéger votre domaine contre l'usurpation d'identité, l'hameçonnage et l'utilisation non autorisée.

Pour commencer votre installation DMARC DNS, suivez les étapes décrites ci-dessous.

Étape 1 : Création de l'enregistrement DMARC

Vous commencez par créer un enregistrement DNS TXT qui contient votre politique DMARC et active le protocole sur votre domaine. Un enregistrement DNS TXT est une simple entrée de texte dans les paramètres DNS de votre domaine qui stocke des informations importantes pour les serveurs externes, telles que les instructions d'authentification du courrier électronique. Lorsqu'il est ajouté au fichier de zone DNS de votre domaine, il indique aux serveurs de messagerie destinataires comment traiter les messages qui prétendent provenir de votre domaine.

Pour générer cet enregistrement gratuitement, utilisez notre outil de génération DMARC, comme indiqué dans la capture d'écran ci-dessus. Une fois l'outil ouvert, vous verrez des champs obligatoires que vous devrez remplir avant que l'enregistrement puisse être créé.

Simplifiez l'installation de DMARC avec PowerDMARC !

15 jours d'essaiRéservez une démo

Étape 2 : Choisir une politique DMARC adaptée à vos courriels

La balise de politique p= est une partie obligatoire de chaque enregistrement DMARC. Elle indique aux serveurs de messagerie destinataires ce qu'ils doivent faire des courriers électroniques qui ne satisfont pas aux contrôles SPF et DKIM. Si cette balise est manquante, votre enregistrement DMARC devient invalide et ne sera pas appliqué.

DMARC-Record-Generator

Étape 3 : Activer les rapports et cliquer sur "Générer" 

Pour suivre votre flux de courrier et les résultats de l'authentification, activez les rapports agrégés DMARC (rua) en spécifiant l'adresse électronique à laquelle vous souhaitez les recevoir. Les rapports globaux DMARC sont des résumés XML quotidiens envoyés par les fournisseurs de boîtes de réception qui indiquent les serveurs qui envoient du courrier en votre nom, les résultats de ces messages par rapport à SPF et DKIM, et si des sources non autorisées ont tenté d'utiliser votre domaine. Après avoir saisi votre adresse de rapport, cliquez sur "Générer" pour créer votre enregistrement.

Activer la génération de rapports et de clics

Étape 4 : Publier et valider l'enregistrement

Une fois l'enregistrement TXT créé, cliquez sur le bouton "copy" pour copier la syntaxe complète, puis ouvrez votre console de gestion DNS.

Créez un nouvel enregistrement TXT.

-Dans le champ Host/Name, entrez _dmarc (ou _dmarc.yourdomain.com, en fonction de votre fournisseur DNS).

-Dans le champ Valeur/Données, collez la syntaxe de l'enregistrement DMARC que vous avez généré.

-Sauvegardez l'enregistrement pour le publier et compléter votre configuration DMARC.
Publier et valider l'enregistrement de l'installation

Pour plus de détails, lisez notre guide complet sur la publication d'un enregistrement enregistrement DMARC dans le DNS. N'oubliez pas que les mises à jour DNS peuvent prendre jusqu'à 48 heures pour se propager complètement.

Vérification de votre configuration DMARC

Après avoir configuré DMARC, vous devez vérifier vos configurations pour vous assurer de ne pas rencontrer l'erreur très courante « Aucun enregistrement DMARC trouvé » .

Pour vérifier votre configuration, vous pouvez utiliser gratuitement l'outil de vérification DMARC de PowerDMARC. Pour l'utiliser :

  1. Entrez votre nom de domaine dans la case de destination (c'est-à-dire que si l'URL de votre site Web est https://company.com, votre nom de domaine sera company.com )
  2. Cliquez sur le bouton "Recherche".
  3. Voir vos résultats affichés à l'écran

Nous recommandons cette méthode de vérification comme alternative à la vérification manuelle pour une expérience plus rapide, plus précise et sans tracas.

Conseils de configuration DAMRC avancés

Une fois votre configuration de base terminée, voici quelques conseils avancés pour améliorer votre implémentation :

Politiques DMARC expliquées (lesquelles choisir ?)

Pour éviter que vos e-mails ne soient usurpés, vous devez configurer une politique DMARC . Vous avez le choix entre trois politiques principales :

  • Aucun (p=none) : aucune action n'est entreprise sur les e-mails dont l'authentification DMARC échoue. Cette option est idéale pour surveiller le trafic e-mail lors de la configuration initiale.
  • Quarantine (quarantine) : Les courriels qui échouent sont marqués comme suspects et envoyés dans les dossiers spam/junk.
  • Rejeter (p=reject) : les e-mails échoués sont bloqués et ne sont pas du tout livrés.

Note: Choisissez une politique "none" pour surveiller vos courriels avant de vous engager dans une application complète (quarantine ou p=rejet).

Modes d'alignement (strict ou détendu)

Alignement détendu

  • SPF relaxed alignment (aspf=r) :
    L'alignement est réussi si le domaine dans le Return-PathSPF domain) partage le même domaine organisationnel que le domaine dans l'adresse From.
    Le domaine organisationnel est typiquement le domaine de base (par exemple, example.com), à l'exclusion des sous-domaines.

    Exemple :
    From : [email protected]
    Return-Path : [email protected]
    L'alignement SPF détendu est réussi car les deux domaines partagent le même domaine organisationnel (exemple.com).

  • DKIM relaxed alignment (adkim=r) :
    L'alignement est réussi si le domaine d= de la signature DKIM partage le même domaine organisationnel que le domaine de l'adresse From.

    Exemple :
    From : [email protected]
    DKIM-Signature : d=alerts.example.com
    ✔ Réussit l'alignement DKIM détendu car les deux partagent le même domaine organisationnel (example.com).

Alignement strict

  • SPF strict alignment (aspf=s) :
    L'alignement n'est accepté que si le domaine du Return-Path correspond exactement au domaine de l'adresse From.

    Exemple :
    From : [email protected]
    Return-Path : [email protected]
    L'alignement strict est réussi.

    ❌ Si Return-Path était [email protected] ou bounce.mail.example.com, l'alignement strict échouerait.

  • Alignement DKIM strict (adkim=s) :
    L'alignement n'est accepté que si le domaine d= de la signature DKIM correspond exactement au domaine de l'adresse From.

    Exemple :
    De : [email protected]
    Signature DKIM :[email protected]
    Alignement strict réussi.

    ❌ Si d=alerts.example.com ou bounce.mail.example.com, l'alignement strict échouerait.

Exemple de configuration DMARC

Voici un exemple de configuration DMARC simple :

v=DMARC1; p=rejeter ; rua=mailto:[email protected];

Remarque : lorsque vous commencez votre parcours d'authentification par e-mail, vous pouvez conserver votre politique DMARC (p) sur aucune au lieu de rejeter, pour surveiller votre flux de courrier électronique et résoudre les problèmes avant de passer à une politique stricte.

Syntaxe des enregistrements DMARC et balises optionnelles

La syntaxe de votre configuration DMARC détermine le mode d'authentification de vos e-mails et les actions à entreprendre après la vérification. Explorons quelques mécanismes principaux :

  • v (obligatoire) : Spécifie la version de DMARC. Il doit s'agir de DMARC1 et apparaître en premier dans l'enregistrement.
  • p (obligatoire) : Définit la politique pour les échecs DMARC (aucun, quarantine ou rejet).
  • rua (facultatif) : Indique l'adresse électronique à laquelle les rapports agrégés doivent être envoyés au format mailto :.
  • ruf (facultatif) :spécifie l'adresse électronique à laquelle doivent être envoyés les rapports d'échec médico-légaux au format mailto :.
  • adkim (facultatif) : Définit le mode d'alignement DKIM sur r (relaxed) ou s (strict). Le mode par défaut est relaxed s'il n'est pas défini. 
  • aspf (facultatif) : Définit le mode d'alignement SPF à r (relaxed) ou s (strict). Le mode par défaut est relaxed s'il n'est pas défini. 
  • pct (facultatif) : Définit le pourcentage de courriels en échec soumis à la politique DMARC (la valeur par défaut est 100).
  • fo (facultatif) : Contrôle l'envoi des rapports médico-légaux. Les options sont 0, 1, d et s.

Pour en savoir plus, consultez notre blog détaillé sur les balises DMARC . Assurez-vous que les balises sont séparées par des points-virgules et qu'il n'y a pas d'espaces superflus pour garantir un formatage correct.

Les erreurs courantes de configuration de DMARC à éviter

Les mauvaises configurations de DMARC sont souvent dues à des problèmes d'alignement, à des erreurs de syntaxe ou à des lacunes dans la surveillance continue. Un problème fréquent est un mauvais alignement de SPF ou DKIM. DMARC exige qu'au moins l'un d'entre eux soit aligné sur le domaine "From". Si les domaines ne correspondent pas, des courriels légitimes peuvent échouer à l'authentification même si les enregistrements existent. Ce problème est particulièrement fréquent lorsque des services tiers envoient des messages en votre nom sans configuration adéquate.

Une autre source de problèmes est la syntaxe incorrecte des balises DMARC. Même une petite erreur de formatage, comme un point-virgule manquant, une balise non prise en charge ou une valeur non valide, peut rendre l'enregistrement entier inutilisable. Les enregistrements DMARC étant lus par des machines, la précision est importante.

Un autre problème se pose lorsque les organisations appliquent des politiques strictes trop tôt. Le fait de passer directement à quarantine ou p=reject sans avoir au préalable étudié vos rapports globaux peut entraîner le blocage de courriers légitimes. Les rapports fournissent une vue de tous les expéditeurs utilisant votre domaine, et les examiner avant de renforcer l'application de la politique permet d'éviter les perturbations accidentelles.

En outre, de nombreuses installations échouent pour les raisons suivantes les adresses électroniques des RUA et RUF sont obsolètes. Ces adresses de rapport doivent rester actives et accessibles, sinon vous perdez la visibilité de vos résultats d'authentification. Lorsque la boîte de réception utilisée pour les rapports est désactivée ou modifiée sans que l'enregistrement DMARC soit mis à jour, la surveillance est interrompue et les problèmes passent inaperçus.

Le bilan

DMARC est essentiel pour assurer la sécurité de votre domaine, de vos clients et de la réputation de votre marque. Avec une configuration adéquate et une surveillance régulière, il empêche l'usurpation d'identité, réduit les risques d'hameçonnage et garantit que vos courriels restent fiables.

Et dans un paysage où la fraude est omniprésente, une politique DMARC solide fait plus que bloquer les menaces. Elle indique clairement que votre domaine prend la sécurité au sérieux et que vous ne laissez pas la porte ouverte aux attaquants.

Si vous souhaitez un moyen plus rapide, plus facile et plus précis de gérer DMARC, découvrez PowerDMARC. Notre plateforme simplifie la configuration, fournit des rapports clairs et vous aide à maintenir une protection solide sur toutes vos sources d'envoi. Commencez votreessai gratuit ou réservez une démonstration pour sécuriser votre domaine dès aujourd'hui.

Foire aux questions (FAQ)

Combien de temps faut-il pour que DMARC commence à fonctionner après son installation ?

DMARC commence à fonctionner dès que vos changements DNS se propagent. Cela peut prendre de quelques minutes à 48 heures, selon votre fournisseur.

Puis-je mettre en place DMARC sans DKIM ou SPF?

Vous devez en configurer au moins unSPF ou DKIM) pour que DMARC fonctionne. Sans l'un ou l'autre, DMARC n'a rien pour valider vos courriels.

Que se passe-t-il si je règle une politique DMARC sur "rejet" trop tôt ?

Les courriels légitimes peuvent être bloqués. Passer à une politique de rejet avant d'examiner les rapports rapports DMARC peut faire échouer l'authentification des expéditeurs autorisés.

Derniers messages de Maitham Al Lawati (voir tous)
Aucun enregistrement DMARC n'a été trouvé : Ce que cela signifie et comment y remédierComment résoudre le problème de l'absence d'un certificat de conformité à la directive MARC ?Constant Contact DKIM et DMARC - Guide d'installation