DMARC (Domain-based Message Authentication, Reporting and Conformance) est une spécification technique destinée à réduire l’usage abusif des emails (spam, phishing) en proposant une solution de déploiement et de surveillance des problèmes liés à l’authentification des emails.
Comment fonctionne le DMARC ?
DMARC standardise la façon dont les destinataires réalisent l’authentification des emails via les mécanismes de SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail). C’est-à-dire que l’expéditeur va recevoir les résultats des authentifications de messages par AOL, Gmail, Microsoft, Yahoo! ou tout autre destinataire implémentant DMARC.
DMARC permet à l’expéditeur d’indiquer que ses messages sont protégés par SPF et/ou DKIM et indique aux destinataires quoi faire si l’authentification échoue.
La politique DMARC d’un domaine est publiée dans une entrée TXT (TXT record) du DNS (Domain Name System) public et décrit ce que doit faire le destinataire de l’email si celui-ci ne satisfait pas les mécaniques d’authentification.
Syntaxe d’une politique DMARC
v=DMARC1;p=quarantine;pct=100;rua=mailto:postmaster@example.org;ruf=mailto:forensik@example.org;adkim=s;aspf=r
Paramètre | Description |
v | Version du protocole |
pct | Pourcentage de messages à filtrer |
ruf | Destinataire du rapport forensique |
rua | Destinataire du rapport agrégé |
p | Procédure avec le domaine principal |
sp | Procédure avec le sous-domaine |
adkim | Règle pour le DKIM (relaxed / strict) |
aspf | Règle pour le SPF (relaxed / strict) |
Incidence du DMARC sur mon adresse expéditrice
Il est très important d’utiliser une adresse expéditrice dont le domaine vous appartient pour maîtriser au mieux les problématiques d’authentification. Dans le cas contraire, vos emails seront soumis à la politique DMARC du domaine tierce et vos emails pourraient être rejetés.
Exemple avec la politique DMARC de Yahoo!
v=DMARC1;p=reject;pct=100;rua=mailto:dmarc_y_rua@yahoo.com;
Si vous souhaitez utiliser votre adresse « yahoo.fr » pour envoyer vos emails, étant donné que votre routeur ne sera pas Yahoo!, les authentifications échoueront. La politique de Yahoo! indique qu’il faut rejeter tous les emails ne validant pas DMARC (« p=reject ») donc vos emails ne seront pas délivrés.
Voici quelques exemples de politique DMARC
AOL
v=DMARC1; p=reject; pct=100; rua=mailto:d@rua.agari.com; ruf=mailto:d@ruf.agari.com;
Gmail
v=DMARC1; p=none; rua=mailto:mailauth-reports@google.com hotmail.com
Microsoft
v=DMARC1; p=none; pct=100; rua=mailto:d@rua.agari.com; ruf=mailto:d@ruf.agari.com; fo=1
Yahoo!
v=DMARC1;p=reject;pct=100;rua=mailto:dmarc_y_rua@yahoo.com;
Yahoo! et AOL sont déjà configurés pour rejeter les emails envoyés en leur nom sans autorisation. Gmail prévoit à terme d’en faire de même.
Retrouvez plus d’informations sur le site officiel DMARC
L’article ne répond pas à toutes vos questions ? N’hésitez pas à nous contacter pour avoir plus d’informations.