• Qu'est-ce que DMARC ? Fonctionnement, politiques et conseils de configuration

Qu'est-ce que DMARC ? Fonctionnement, politiques et conseils de configuration

Blog, DMARC

Comprendre ce qu'est DMARC, comment il empêche l'usurpation d'identité et comment publier votre propre enregistrement. Voir des exemples et apprendre à éviter les erreurs de configuration.

par Maitham Al Lawati

Dernière mise à jour :
10 10 min de lecture
Qu'est-ce que DMARC ? Fonctionnement, politiques et conseils de configuration
Table des matières-

Points clés à retenir

  • DMARC aide à protéger votre domaine contre les attaques de phishing, de spoofing et d'emails générés par l'IA en vérifiant que les emails proviennent bien de votre domaine.
  • La combinaison de SPF, DKIM et DMARC crée un cadre d'authentification solide qui améliore la sécurité et stimule la délivrabilité des boîtes de réception.
  • Des erreurs telles que des politiques mal configurées, l'ignorance des rapports, un mauvais alignement SPF ou un passage trop rapide au "rejet" peuvent affaiblir votre protection.

En 2025, environ 376 milliards de courriels seront envoyés chaque jour dans le monde, ce qui fait du courrier électronique l'un des canaux de communication les plus utilisés. Malheureusement, cette popularité attire également les cybercriminels : Les attaques d'hameçonnage basées sur l'IA sont en augmentation, avec des rapports montrant qu'environ 1,96 million d'attaques de phishing en une seule année, ce qui représente une augmentation d'environ 182 % par rapport aux niveaux de 2021.

Pour protéger vos communications par courrier électronique et la réputation de votre marque, vous devez savoir ce qu'est DMARC et pourquoi il est important. DMARC permet de vérifier que vos messages sont légitimes, d'empêcher les pirates d'usurper l'identité de votre domaine et d'améliorer vos chances d'atteindre la boîte de réception. Il est désormais largement utilisé dans les secteurs de la finance, de la santé, de la fabrication, de la technologie et dans d'autres secteurs où la sécurité des communications est essentielle.

Qu'est-ce que le DMARC ?

DMARC est un protocole d'authentification du courrier électronique conçu pour lutter contre la fraude et l'hameçonnage. Il permet aux propriétaires de domaines de contrôler la manière dont leur courrier électronique doit être authentifié et ce qui doit se passer si un message échoue à ces vérifications.

DMARC vérifie si un courriel provient réellement de votre domaine et fournit des rapports indiquant qui envoie en votre nom. Cela permet aux organisations de renforcer la sécurité et de protéger la réputation de leur domaine. De nombreuses entreprises font également appel à des fournisseurs DMARC pour gérer la configuration, les rapports et l'application de la politique.

DMARC fonctionne avec SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail) pour garantir que seuls les expéditeurs autorisés peuvent utiliser votre domaine. Il ne remplace pas les antivirus ou les pare-feu, mais il ajoute une couche de protection essentielle. Avec DMARC, les organisations peuvent choisir ce qu'il advient des courriers électroniques non authentifiés (rejet, mise en quarantaine ou livraison).

Que signifie DMARC ?

DMARC signifie Domain-based Message Authentication, Reporting, and Conformance (authentification, notification et conformité des messages basés sur un domaine).

Comprendre la signification de chaque partie de l'acronyme DMARC vous aidera à comprendre comment le protocole protège votre domaine, améliore la délivrabilité et vous permet de savoir qui envoie du courrier en votre nom. Chaque composant reflète une fonction que vous devez comprendre afin de configurer DMARC correctement et d'interpréter vos rapports.

  • Basé sur le domaine : DMARC fonctionne au niveau du domaine. Vous publiez une politique DNS qui indique aux serveurs de réception comment traiter le courrier prétendant provenir de votre domaine.
  • Authentification des messages : DMARC vérifie si vos courriels sont conformes aux SPF ou DKIM, et si le domaine vérifié correspond à celui qui figure dans l'en-tête "From". Cette concordance permet de bloquer les messages usurpés.
  • Rapports : DMARC peut vous envoyer des rapports qui indiquent qui utilise votre domaine et comment se comportent vos courriels. Ces rapports comprennent des résumés globaux et, lorsqu'ils sont activés, des détails médico-légaux sur les échecs.
  • Conformité : Vous définissez une politique (aucune, quarantine ou rejet) indiquant aux destinataires ce qu'ils doivent faire des courriels qui ne satisfont pas aux contrôles DMARC. Cela détermine le degré de protection de votre domaine.

Comment DMARC protège vos messages électroniques

DMARC renforce la sécurité du courrier électronique en ajoutant une couche d'application de la politique et d'établissement de rapports aux méthodes d'authentification existantes : SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail). Un domaine expéditeur publie dans le DNS un rapport DMARC spécifiant sa politique. Lorsqu'un courriel est envoyé en prétendant provenir de ce domaine :

  1. Envoi du courrier électronique et vérifications initiales : Le serveur d'envoi applique généralement les signatures DKIM. Le courrier électronique subit un transit standard.
  2. Réception et authentification du courrier électronique : Le serveur de réception effectue les contrôles suivants :
    • VérificationSPF : Vérifie si l'adresse IP d'envoi figure dans l'enregistrement SPF du domaine.
    • Vérification DKIM : Valide la signature numérique de l'e-mail à l'aide de la clé publique du DNS du domaine pour s'assurer qu'elle n'a pas été altérée.
    • Vérification de l'alignement : Confirme que le domaine figurant dans l'en-tête "From" correspond au domaine validé par SPF ou DKIM. Cela permet d'éviter que des domaines usurpés ne passent l'authentification.
  3. Mise en œuvre de la politique DMARC: Le serveur de réception vérifie le nom de domaine de l'expéditeur. Enregistrement DMARC dans DNS.
    • Si le courrier électronique passe les contrôles SPF ou DKIM et s'aligne sur au moins l'un d'entre eux, il passe le DMARC et est généralement délivré normalement.
    • Si l'e-mail échoue à la fois à SPF et à DKIM, ou s'il échoue à l'alignement pour les deux, le serveur de réception applique le DMAR
    • Politique spécifiée dans l'enregistrement DMARC de l'expéditeur (par exemple, p=none pour la surveillance, quarantine pour l'envoi au spam, ou p=reject pour le blocage de l'e-mail).
  4. Rapports : Le serveur de réception génère des rapports agrégés (RUA) résumant les données d'authentification (nombres de réussites et d'échecs, adresses IP, résultats d'alignement) et des rapports potentiellement judiciaires (RUF) détaillant les échecs individuels. Ces rapports sont envoyés aux adresses spécifiées dans l'enregistrement DMARC du domaine expéditeur.

De nombreuses organisations choisissent de simplifier et d'automatiser l'ensemble de ce processus en utilisant des solutions telles que PowerDMARC. Par exemple, le fournisseur de services d'infogérance britannique PrimaryTech s'est associé à PowerDMARC pour rationaliser la gestion des enregistrements SPF, DKIM et DMARC dans plusieurs domaines clients.

Cela leur a permis non seulement d'assurer une configuration précise des enregistrements DNS et l'application de la politique, mais aussi d'améliorer la délivrabilité du courrier électronique de leurs clients et la protection contre les attaques par usurpation d'identité, démontrant ainsi l'impact réel d'une mise en œuvre efficace de DMARC.

Cette approche est particulièrement utile pour les équipes et les MSP qui doivent gérer plusieurs comptes de messagerie et domaines tout en maintenant des politiques DMARC cohérentes, une bonne visibilité et une application rigoureuse.

Pourquoi DMARC est essentiel pour la sécurité du courrier électronique

DMARC renforce la sécurité du courrier électronique en s'attaquant à certains des risques les plus importants auxquels les organisations sont confrontées aujourd'hui :

  • Prévention de l'usurpation d'identité et de l'hameçonnage : DMARC vérifie que les courriels proviennent bien de votre domaine, bloquant ainsi les attaquants qui tentent de se faire passer pour vous. Cela est d'autant plus important que les attaques par hameçonnage sont de plus en plus convaincantes et fréquentes.
  • Amélioration de la délivrabilité des courriels : Les messages électroniques authentifiés ont plus de chances d'arriver dans la boîte de réception (plutôt que dans le dossier spam). DMARC aide les messages légitimes à passer les filtres de manière cohérente et améliore la délivrabilité globale.
  • Protéger la réputation de votre marque : Lorsque des pirates utilisent votre domaine à des fins d'hameçonnage ou de spam, les clients perdent confiance. DMARC empêche l'utilisation non autorisée de votre domaine et protège votre marque contre la fraude.
  • Fournir des informations exploitables : Les rapports DMARC indiquent qui envoie du courrier en utilisant votre domaine, quels sont les messages dont l'authentification échoue et où se situent les problèmes de configuration. Cette visibilité vous aide à détecter les expéditeurs non autorisés et à résoudre rapidement les problèmes.
  • Répondre aux exigences de conformité de l'industrie : L'adoption de DMARC est de plus en plus liée aux attentes en matière de conformité dans plusieurs secteurs, tels que la finance (PCI-DSS), les soins de santé (directives HIPAA) et même les plateformes technologiques comme Google et Yahoo, qui appliquent désormais des exigences plus strictes pour les courriers électroniques non authentifiés.

La mise en œuvre de DMARC offre aux organisations une sécurité renforcée, un domaine plus fiable et un meilleur placement dans la boîte de réception pour leurs communications légitimes.

Simplifiez DMARC avec PowerDMARC !

15 jours d'essaiRéservez une démo

Comment configurer DMARC ?

La configuration de DMARC est essentielle car elle indique aux serveurs de messagerie destinataires comment traiter les courriels envoyés depuis votre domaine. Sans une configuration adéquate, même les messages légitimes peuvent échouer à l'authentification, et les attaquants peuvent plus facilement se faire passer pour votre domaine.

Voici les étapes à suivre :

1. Configurer SPF et DKIM

Avant de mettre en œuvre DMARC, assurez-vous que SPF et DKIM sont correctement configurés pour votre domaine et toutes les sources d'envoi légitimes :

  • SPF: Définit les adresses IP et les serveurs autorisés à envoyer des courriels au nom de votre domaine.
  • DKIM : ajoute une signature numérique à vos messages électroniques, vérifiant l'identité de l'expéditeur et garantissant que le message n'a pas été altéré au cours de son acheminement.

Ces protocoles constituent la base de DMARC. DMARC nécessite au moins l'un des SPF ou DKIM pour passer et s'aligner, bien que la mise en œuvre des deux soit fortement recommandée pour une sécurité accrue. Veillez à identifier *toutes* les sources légitimes de courrier électronique (y compris les services tiers tels que les plateformes de marketing ou les systèmes de gestion de la relation client) et à les autoriser via SPF.

2. Créer un enregistrement DMARC

Un enregistrement DMARC est un enregistrement TXT (texte) publié dans les paramètres DNS (Domain Name System) de votre domaine. Il spécifie votre politique d'authentification du courrier électronique. Il comprend :

  • Étiquettes obligatoires :
    • v=DMARC1: Indique la version de DMARC (actuellement toujours DMARC1).
    • p=none/quarantine/reject: Définit la politique de traitement des courriels qui échouent aux contrôles d'authentification et d'alignement DMARC.
  • Étiquettes facultatives mais recommandées :
    • rua=mailto:[email protected] : Lieu d'envoi des rapports agrégés.
    • ruf=mailto:[email protected] : Lieu d'envoi des rapports d'échec médico-légaux.
    • pct=100 : Pourcentage de messages auxquels la politique s'applique.
    • quarantine: Politique pour les sous-domaines.
    • adkim=r/s : Mode d'alignement DKIM (relaxed ou strict).
    • aspf=r/s : Mode d'alignement SPF (détendu ou strict).

Vous pouvez utiliser des outils en ligne pour vous aider à générer correctement la syntaxe de votre enregistrement DMARC.

3. Sélectionner une politique DMARC

Les règles DMARC indiquent aux destinataires du courrier électronique comment traiter les messages qui échouent aux contrôles d'authentification ou d'alignement. Il existe trois types de politiques DMARCchacune offrant un niveau d'application différent :

  • p=none (mode surveillance) : Aucune mesure n'est prise en cas d'échec ; des rapports sont envoyés pour vous permettre de comprendre vos sources d'envoi.
  • quarantine: Les courriels qui échouent sont considérés comme suspects et sont généralement placés dans le dossier spam.
  • p=rejet : Les courriels qui échouent sont entièrement bloqués, ce qui constitue la protection la plus forte.

4. Publier votre enregistrement DMARC

Une fois votre enregistrement DMARC créé, publiez-le dans vos paramètres DNS sous la forme d'un enregistrement TXT :

  • Champ Hôte/Nom : Entrez _dmarc (par exemple, _dmarc.yourdomain.com).
  • Type d'enregistrement : Sélectionner TXT.
  • Champ Valeur/Données : Collez votre chaîne d'enregistrement DMARC (par exemple, "v=DMARC1 ; p=none ; rua=mailto:[email protected] ;").
  • TTL (Time to Live) : Généralement réglé sur 1 heure (3600 secondes) ou sur la valeur par défaut de votre fournisseur DNS.

Votre politique DMARC est ainsi accessible aux destinataires d'e-mails du monde entier.

5. Vérifier votre configuration DMARC

Après avoir publié votre enregistrement, vous devez vérifier que tout est correctement configuré. Des outils tels que Google Admin Toolbox peuvent confirmer que vos enregistrements DMARC, SPF et DKIM sont visibles et valides.

Pour une validation plus approfondie, Le vérificateur DMARC de PowerDMARC de PowerDMARC fournit une analyse complète de votre enregistrement DNS, met en évidence les erreurs de syntaxe et indique si votre politique est correctement appliquée par les fournisseurs de messagerie. Vous avez ainsi l'assurance que votre configuration est précise, sécurisée et prête à être contrôlée.

6. Activer et surveiller les rapports

Veillez à ce que votre enregistrement DMARC comprenne la balise `rua` qui pointe vers une boîte aux lettres dédiée à la réception des rapports agrégés. Ces rapports, généralement envoyés quotidiennement au format XML, sont essentiels pour le suivi :

  • Rapports agrégés (rua) : Fournir une vue d'ensemble des résultats de l'authentification des courriels provenant de divers destinataires, y compris les adresses IP envoyant des courriels prétendant provenir de votre domaine, le nombre de succès/échecs SPF et l'état de l'alignement. L'analyse de ces rapports (souvent à l'aide d'un service d'analyse DMARC) permet d'identifier les sources d'envoi légitimes nécessitant des ajustements de configuration et de repérer les utilisations non autorisées.
  • Rapports médico-légaux (ruf) : Ils offrent des informations détaillées (y compris les en-têtes et parfois des extraits de contenu) sur les échecs de livraison d'un courriel particulier. Pour des raisons de volume et de respect de la vie privée, tous les destinataires n'envoient pas de rapports RUF, et leur traitement nécessite une attention particulière.

Examinez régulièrement les rapports, en particulier après avoir commencé avec `p=none`, pour corriger les problèmes de SPF pour les expéditeurs légitimes avant de passer à quarantine ou `p=reject`. Maintenir les enregistrements DNS exacts et à jour au fur et à mesure que les sources d'envoi changent.

À quoi ressemble un enregistrement DMARC ?

La structure d'un enregistrement DMARC est définie dans le DNS (Domain Name System) comme un enregistrement TXT associé au domaine, plus précisément au sous-domaine `_dmarc`. Il contient plusieurs paires balise-valeur séparées par des points-virgules, y compris celles qui spécifient le mode de politique et les options de rapport. Voici un exemple d'enregistrement DMARC :

_dmarc.example.com. IN TXT "v=DMARC1 ; p=reject ; rua=mailto:[email protected] ; ruf=mailto:[email protected] ; sp=reject ; pct=100 ; adkim=r ; aspf=r ;"

Dans cet exemple :

  • "_dmarc.example.com." spécifie le nom d'hôte DNS pour l'enregistrement DMARC de "exemple.com".
  • "IN TXT" indique que l'enregistrement est de type texte.
  • "v=DMARC1 signifie que la version du protocole DMARC utilisée est la version 1. Cette balise est obligatoire.
  • "p=reject" définit la politique DMARC pour le domaine principal à "reject". Cela indique aux serveurs de messagerie destinataires de rejeter les courriels qui échouent aux vérifications DMARC pour example.com. Cette balise est obligatoire.
  • "rua=mailto:[email protected]" spécifie l'adresse électronique comme destination pour recevoir les rapports agrégés (résumés des résultats d'authentification). Cette balise est fortement recommandée pour la surveillance.
  • "ruf=mailto:[email protected]" désigne l'adresse électronique comme destination pour la réception des rapports d'expertise (détails sur les défaillances individuelles). Cette balise est facultative.
  • "sp=reject définit la politique de sous-domaine à "reject", garantissant que cette politique DMARC s'applique strictement aux sous-domaines (par exemple, mail.example.com), à moins qu'ils n'aient leur propre enregistrement DMARC. Cette balise est facultative.
  • "pct=100" indique que la politique (rejet dans ce cas) doit s'appliquer à 100 % des courriels qui échouent aux contrôles DMARC. Facultatif ; la valeur par défaut est 100.
  • "adkim=r définit l'exigence d'alignement DKIM comme étant relâchée (les correspondances de sous-domaines sont autorisées). Facultatif ; la valeur par défaut est relaxed (r).
  • "aspf=r" définit l'exigence d'alignement SPF comme étant détendue (les correspondances de sous-domaines sont autorisées). Facultatif ; la valeur par défaut est relaxed (r).

Les erreurs courantes de DMARC et comment les éviter

La mise en œuvre et la gestion de DMARC peuvent s'avérer complexes, et même les administrateurs expérimentés se heurtent à des écueils courants. Ce guide pratique met en lumière les problèmes concrets qui peuvent faire ou défaire l'efficacité de votre configuration DMARC.

En comprenant ces erreurs et en les évitant, vous pourrez tirer le meilleur parti de DMARC et assurer la sécurité de votre domaine de messagerie.

L'une des erreurs les plus fréquentes est la mauvaise configuration de la politique DMARC dans votre enregistrement DNS. Il peut s'agir d'une syntaxe incorrecte, de balises non prises en charge ou de balises manquantes comme v= (qui spécifie la version DMARC) et p= (qui définit l'action de la politique, telle que none, quarantine ou reject).

Des balises de politique incorrectes ou manquantes peuvent être à l'origine de graves problèmes, allant de l'application incorrecte des courriels à la non-délivrance de messages légitimes. Pour que DMARC fonctionne comme prévu, il est essentiel de s'assurer que la syntaxe de votre politique est correcte et qu'elle n'inclut que les balises prises en charge.

Lamise en place de DMARC est courante, mais c'est en ne surveillant pas les rapports que de nombreuses organisations se trompent. L'activation et l'examen régulier de l'agrégat DMARC (rua) et les rapports judiciaires (ruf) sont essentiels pour comprendre comment votre domaine est utilisé ou abusé. Ignorer ces rapports, c'est passer à côté d'informations précieuses sur les tentatives d'authentification qui échouent, les expéditeurs non autorisés et les sources mal alignées.

Les rapports DMARC étant au format XML, leur complexité conduit souvent à les négliger. L'utilisation d'outils conviviaux et de tableaux de bord tels que Postmark, DMARCian ou d'autres services similaires permet de transformer ces données en informations exploitables qui renforcent la sécurité de votre messagerie électronique.

L'oubli de l'alignement SPF est également un problème courant. Il est important de rappeler que DMARC ne se limite pas à la configuration de SPF (Sender Policy Framework) et de DKIM (DomainKeys Identified Mail) ; il exige un alignement correct. Cela signifie que le domaine figurant dans l'adresse "From" visible doit correspondre au domaine authentifié par SPF et/ou DKIM. Même si SPF et DKIM sont acceptés individuellement, DMARC échouera si les domaines ne sont pas correctement alignés. Une mauvaise compréhension ou un oubli de l'alignement peut conduire à des échecs inattendus et avoir un impact sur la délivrabilité de votre courrier électronique.

Le fait de passer directement à une politique stricte de p=rejet sans contrôle suffisant peut se retourner contre vous. sans un suivi suffisant peut se retourner contre vous. Si l'on ne recueille pas de données dans aucun ou quarantine vous risquez de bloquer des courriels légitimes, en particulier ceux provenant de services tiers tels que les systèmes de gestion de la relation client (CRM), les plateformes de marketing ou les outils d'assistance qui peuvent ne pas être entièrement configurés. Il est préférable d'adopter une approche progressive : commencez par p=none pour recueillir des rapports, examiner attentivement les problèmes et les résoudre, puis passez à l'option quarantineet enfin à p=rejeter une fois que vous êtes sûr que tous les expéditeurs légitimes ont passé l'authentification. Ce déploiement progressif garantit une mise en œuvre harmonieuse sans perturber votre flux de courrier électronique.

Conclusion

DMARC est l'un des moyens les plus efficaces de protéger votre domaine contre le phishing, l'usurpation d'identité et la vague croissante d'attaques générées par l'intelligence artificielle. Utilisé avec SPF et DKIM, il renforce la sécurité de vos e-mails, améliore la délivrabilité et vous aide à comprendre exactement qui envoie des e-mails en votre nom. Avec une politique appropriée en place, les organisations des secteurs de la finance, de la santé, du gouvernement et de bien d'autres secteurs peuvent garder leurs communications fiables et sécurisées.

La mise en place correcte de DMARC nécessite une surveillance continue, des contrôles d'alignement et un passage progressif à l'application. PowerDMARC facilite ce processus en fournissant une authentification hébergée, des rapports faciles à lire, des alertes en temps réel et des conseils d'experts à chaque étape.

Nos clients bénéficient d'une assistance dédiée de la part de nos experts DMARC internes pour configurer des solutions adaptées à leurs besoins. Contactez-nous dès aujourd'hui pour un essai DMARC gratuit et commencez à protéger votre domaine en toute confiance.

Foire aux questions (FAQ)

DMARC est-il exigé par la loi ?

DMARC n'est pas légalement obligatoire dans la plupart des pays, mais de nombreux secteurs et organisations l'adoptent comme meilleure pratique pour protéger leurs domaines de messagerie et leurs clients contre l'hameçonnage et l'usurpation d'identité.

DMARC peut-il arrêter toutes les attaques de phishing ?

Bien que DMARC réduise considérablement le phishing en bloquant les expéditeurs non autorisés, il ne peut pas arrêter toutes les attaques. Certaines tactiques d'hameçonnage contournent l'authentification du courrier électronique, c'est pourquoi DMARC doit faire partie d'une stratégie de sécurité plus large.

Combien de temps faut-il pour mettre en œuvre DMARC ?

Le temps de mise en œuvre varie : de quelques heures pour une configuration de base à plusieurs semaines pour une surveillance complète, un réglage de la politique et un alignement avec toutes les sources de courrier électronique. Une planification minutieuse et une mise en œuvre progressive sont des gages de réussite.

"`

Derniers messages de Maitham Al Lawati (voir tous)
Dernière mise à jour :
Qu'est-ce qu'une politique DMARC ? Aucune, Quarantine et Rejetpolitique dmarcTop 5 des meilleurs outils de vérification d'emailTop 7 des meilleurs outils de vérification d'email pour une livraison sécurisée