DMARC (Domain-based Message Authentication, Reporting and Conformance) represente l'aboutissement de la strategie d'authentification email. Ce protocole coordonne SPF et DKIM en definissant comment traiter les emails echouant aux verifications.
DMARC transforme l'authentification passive en protection active contre l'usurpation.
Qu'est-ce que DMARC ?
DMARC est un protocole de politique email publie via DNS. Il specifie comment les serveurs destinataires doivent traiter les emails pretendant provenir de votre domaine lorsqu'ils echouent aux verifications.
Parametres cles
Un enregistrement DMARC definit :
| Parametre | Description | Valeurs |
|---|---|---|
p= | Politique | none, quarantine, reject |
pct= | Pourcentage d'application | 0 a 100 |
rua= | Adresse des rapports agreges | mailto: |
ruf= | Adresse des rapports forensiques | mailto: |
Exemple d'enregistrement DMARC
_dmarc.votredomaine.com TXT "v=DMARC1; p=quarantine; pct=100; rua=mailto:dmarc@votredomaine.com"
Notion d'alignement
DMARC introduit le concept d'alignement : le domaine verifie par SPF ou DKIM doit correspondre au domaine From visible par l'utilisateur.
L'alignement peut etre :
- Strict : correspondance exacte des domaines
- Relaxed : sous-domaines autorises
Valeur des rapports
Les rapports DMARC revelent :
- Toutes les sources envoyant des emails pour votre domaine
- Les resultats d'authentification
- Les volumes associes
Pourquoi Implementer DMARC
L'implementation de DMARC repond a des enjeux critiques.
Protection contre le spoofing
Une politique DMARC en reject empeche les attaquants d'envoyer des emails usurpant votre domaine. Cette protection s'etend a vos clients, partenaires et employes.
Visibilite sur votre domaine
Conformite aux exigences
Google et Yahoo exigent une politique DMARC publiee pour les expediteurs de masse. Cette obligation s'etendra progressivement a tous les expediteurs.
Amelioration de la reputation
Les fournisseurs de messagerie accordent une confiance accrue aux domaines qui investissent dans leur securite email. Cela se traduit par un meilleur placement en boite de reception.
Comment Implementer DMARC Progressivement
L'implementation DMARC suit une progression methodique en phases.
Phase 1 : Monitoring (p=none)
Publiez l'enregistrement initial :
_dmarc.votredomaine.com TXT "v=DMARC1; p=none; rua=mailto:dmarc-reports@votredomaine.com"
Cette politique :
- N'affecte pas la delivrabilite
- Active les rapports
- Donne visibilite sur vos flux
Phase 2 : Quarantaine partielle
Introduisez une politique de quarantaine progressive :
v=DMARC1; p=quarantine; pct=10; rua=mailto:dmarc@votredomaine.com
Les emails echouant DMARC de 10% des sources non authentifiees iront en spam.
Augmentez progressivement :
- 10% → 25% → 50% → 100%
Phase 3 : Rejet progressif
Passez en politique de rejet :
v=DMARC1; p=reject; pct=10; rua=mailto:dmarc@votredomaine.com
Phase 4 : Rejet complet
Etablissez la protection maximale :
v=DMARC1; p=reject; pct=100; rua=mailto:dmarc@votredomaine.com
Maintenez l'analyse continue des rapports pour detecter de nouvelles sources ou tentatives d'usurpation.
Bonnes Pratiques DMARC
Ne pas precipiter la progression
Chaque phase devrait durer suffisamment longtemps pour capturer les variations de vos flux (cycles mensuels, campagnes ponctuelles).
Utiliser des adresses dedicees
Le volume de rapports peut etre consequent. Des services specialises d'analyse DMARC transforment ces donnees en insights actionnables.
Gerer les sous-domaines
Le parametre sp= definit la politique par defaut pour les sous-domaines :
v=DMARC1; p=reject; sp=quarantine; rua=mailto:dmarc@votredomaine.com
Maintenir l'alignement strict si possible
| Mode | Securite | Compatibilite |
|---|---|---|
| Strict | Maximale | Peut etre incompatible avec certaines architectures |
| Relaxed | Bonne | Tolere les sous-domaines |
Documenter votre progression
Conservez un historique des decisions et changements. Cette documentation facilite la maintenance et le transfert de connaissances.
reject comme une etape significative de maturite securite !Conclusion
L'implementation de DMARC represente l'investissement ultime dans la securite et la delivrabilite de vos emails. En suivant une progression methodique, vous construisez une protection robuste sans compromettre vos communications legitimes.
Les rapports DMARC offrent une visibilite inegalee sur l'ecosysteme email de votre domaine.
WizStatus vous accompagne dans votre parcours DMARC en surveillant votre enregistrement DNS et en vous alertant des changements ou problemes de configuration.
