Lasécurité du courrier électronique a toujours été un défi. Il ne suffit pas de crypter les messages pour empêcher les pirates et les spammeurs de les exploiter. C'est là que le concept d'évaluation DMARC entre en jeu. DMARC utilise le DNS pour spécifier comment traiter les courriels qui ne parviennent pas à authentifier les certificats SPF, DKIMou les deux.
Ce blog abordera ce qu'est DMARC, pourquoi vous en avez besoin et comment résoudre l'erreur 521 5.2.1 failed DMARC evaluation.
Qu'est-ce que le DMARC ?
DMARC est l'abréviation de Domain-based Message Authentication, Reporting & Conformance, un protocole d'authentification du courrier électronique qui repose sur les protocoles SPF et DKIM. Les messages sont envoyés par des serveurs autorisés à l'enregistrement SPF et/ou à la signature DKIM du domaine conforme à DMARC. Si l'une ou l'autre des vérifications est réussie, le message est remis. Toutefois, s'il ne passe pas les deux contrôles, le message est renvoyé non distribué car il ne répond pas aux exigences de SPF ou DKIM.
En 2021, le nombre de politiques DMARC valides observées en cours d'utilisation a augmenté de pas moins de 84 %, pour atteindre un total de près de 5 millions d'enregistrements uniques, par rapport à 2020.
Qu'est-ce que le FPS ?
SPF est l'abréviation de Senders Policy Framework, un protocole d'authentification du courrier électronique qui détecte et fournit sécurité contre l'usurpation d'identité par courriel. Il vous permet de créer un enregistrement DNS TXT dans lequel vous répertoriez toutes les adresses IP autorisées à envoyer des e-mails en utilisant votre domaine. SPF aide les FAI ou les serveurs de messagerie à valider les messages provenant d'un domaine particulier.
Qu'est-ce que DKIM ?
DKIM est l'abréviation de Domainkeys Identified Mail, un protocole qui vous permet de signer numériquement votre courrier électronique. Cette signature se fait au moyen d'un identifiant unique utilisant la cryptographie à clé publique et non une adresse IP. Ainsi, le serveur récepteur compare toujours les hachages privés et publics pour voir s'ils correspondent.
S'ils correspondent, le message est validé ; sinon, il est marqué comme spam.
Comment DMARC dépend de SPF et DKIM ?
DMARC dépend des protocoles d'authentification des e-mails SPF et DKIM. Il vous permet de décrire comment les serveurs de destinataires doivent gérer les courriels non autorisés provenant de votre domaine. DMARC définit un autre enregistrement DNS où est stockée la clé publique du domaine d'envoi. Ces enregistrements permettent au serveur de messagerie récepteur d'effectuer les opérations suivantes :
- Vérifier l'authentification de l'expéditeur pour envoyer des e-mails depuis le domaine source en utilisant SPF.
- Authentifier les courriels en les vérifiant à l'aide de la signature numérique établie en établissant DKIM.
- Décidez comment les courriels non authentifiés doivent être traités par le serveur de messagerie du destinataire.
Bien que les administrateurs de systèmes de messagerie s'efforcent d'être prudents à l'égard du courrier non authentifié, DMARC les aide à décider de la manière dont celui-ci peut être traité. Cela fonctionne en définissant l'une des trois politiques suivantes : aucune, rejet ou quarantaine.
Cependant, vous devez former votre équipe sur la façon d'éviter les attaques de phishing et de attaques BEC pour atténuer le risque.
Comment DMARC limite mes messages
Voici quelques messages que vous pourriez voir en cas d'échec de l'évaluation DMARC.
"521 5.2.1 a échoué à l'évaluation DMARC : Ce message a échoué à l'évaluation DMARC et est refusé en raison de la politique DMARC fournie."
"550 5.7.1- Le courriel non authentifié provenant de domain.tld n'est pas accepté en raison de la politique DMARC du domaine. Veuillez contacter l'administrateur du domaine domain.tld s'il s'agissait d'un courrier légitime. Veuillez visiter https://support.google.com/mail/answer/2451690 pour en savoir plus sur l'initiative DMARC. 62si14044909itw.103 - gsmtp "
Vous voyez ces messages en raison d'erreurs DMARC. Cela se produit généralement lorsque les fournisseurs de boîtes aux lettres n'acceptent pas les messages où le domaine From est l'une de leurs adresses, et que le message est envoyé par un fournisseur de services de domaine de messagerie non autorisé.
C'est pourquoi les comptes Twilio SendGrid ne sont pas autorisés à envoyer des messages utilisant une adresse From de Gmail, AOL ou Yahoo à un domaine qui vérifie préalablement DMARC. Ces complications font qu'il est essentiel de savoir ce qu'est l'évaluation DMARC et comment résoudre un échec d'évaluation.
Si vous souhaitez toujours envoyer des e-mails, vous devrez changer votre adresse e-mail pour une autre adresse non protégée. Il est préférable d'utiliser votre propre domaine de messagerie, car il est légitime. Vous pouvez également utiliser le domaine de messagerie légitime d'un fournisseur. Ensuite, vous pouvez définir le champ "Reply-To" comme l'adresse originale qui a été précédemment définie comme adresse "From".
Il est à noter que les courriels dont l'évaluation DMARC a échoué peuvent être rejetés et suivis en tant que Bloqué. Si vous voulez l'envoyer sans échec, ajustez votre adresse de départ comme indiqué ci-dessus, puis essayez de l'envoyer à nouveau de votre côté.
Erreur de syntaxe
Tout en apprenant ce qu'est l'évaluation DMARC, vous voudrez peut-être aussi connaître les erreurs de syntaxe dans les enregistrements DNS. Les erreurs SMTP courantes commencent par le code 554 indiquant l'échec de la transaction. Il s'agit d'une erreur permanente, et le serveur ne renvoie pas le message.
- Une erreur permanente 554 5.7.5 évaluant la politique dmarc (Protonmail) se lit comme suit ;
La réponse du serveur distant était :
554 5.7.5 erreur permanente d'évaluation de la politique DMARC
- Une erreur 521 5.2.1 évaluant la politique dmarc se lit comme suit :
Ce message a échoué à l'évaluation DMARC et est refusé en raison de la politique DMARC fournie.
- Une erreur 550 5.7.1 évaluant la politique dmarc se lit comme suit :
Le courriel non authentifié de example.com n'est pas accepté en raison de la politique dmarc du domaine.
Comment résoudre l'erreur 521 5.2.1 Failed Dmarc Evaluation ?
Quelles mesures pouvez-vous prendre pour résoudre le problème 'ce message a échoué à l'évaluation DMARC". de l'erreur ?
Pour utiliser DMARC, vous devez aligner SPF et une signature DKIM personnalisée. Ensuite, vous devez vous assurer que tous les serveurs de messagerie qui utilisent votre domaine sont mis à jour. Cela inclut également ceux que votre entreprise utilise localement avant de publier une politique DMARC. Vous devez mettre à jour la politique si vous recevez un message de rebond spécifiant un message qui a échoué à l'évaluation DMARC en raison de l'absence d'alignement SPF ou DKIM.
Vous pouvez consulter notre équipe d'experts DMARC pour obtenir des conseils et une configuration appropriés.
