I - Indicateur de conformité DMARC :
II - Créer l’enregistrement TXT DMARC pour votre domaine
L'enregistrement DMARC, qui permet de spécifier comment un domaine doit gérer les emails échouant aux vérifications SPF et DKIM, offrant ainsi une protection contre l'usurpation d'identité et le phishing en indiquant si les messages doivent être acceptés, mis en quarantaine ou rejetés.
Pour générer un enregistrement DMARC pour votre domaine, vous devez vous connecter dans votre console https://support.security-mail.net/et naviguer dans Rapports => DMARC.
Exemple d'enregistrement DMARC
Voici un exemple d'enregistrement DMARC pour le domaine example.com qui utilise la politique "none" et envoie des rapports à l'adresse e-mail dmarc@secuserve.com :
- Nom : _dmarc
- TTL : 3600
- Format : TXT
- Valeur : v=DMARC1; p=none; rua=mailto:dmarc@secuserve.com
Si aucun enregistrement n'est publié vers nos passerelles, donc vers dmarc@secuserve.com, la notification ci-dessous sera affichée :
Ajouter un enregistrement DMARC à votre zone DNS
Une fois que vous avez généré votre enregistrement DMARC, vous devez l'ajouter à votre zone DNS.
Vous pouvez le faire en vous connectant au panneau de configuration de votre hébergeur et en accédant aux paramètres DNS de votre domaine.
Ces enregistrements peuvent être paramétrés après le déploiement, à condition que vous ne disposiez pas d'une entrée DKIM.
III - Créer l’enregistrement TXT DMARC pour votre domaine (Avancé)
DMARC est l'abréviation de "Domain-based Message Authentication, Reporting and Conformance". Il s'agit d'un protocole qui a été élaboré à partir des protocoles existants SPF et DKIM.
DMARC fait plusieurs choses :
- Il prend en compte les résultats de SPF et DKIM.
- Il faut non seulement que SPF ou DKIM passent, mais aussi que le domaine utilisé par l'un ou l'autre s'aligne sur le domaine trouvé dans l'adresse From pour que DMARC passe.
- Il renvoie les résultats de SPF, DKIM et DMARC au domaine trouvé dans l'adresse From (c'est-à-dire l'expéditeur).
- Il indique aux destinataires comment traiter les e-mails qui échouent à la validation DMARC en spécifiant une politique dans le DNS.
-
Stratégie mise en place sur none (Donc aucune)
_dmarc.votredomaine.com 3600 IN TXT "v=DMARC1; p=none"
-
Stratégie mise en place sur quarantine (mettre le courrier en quarantaine)
_dmarc.votredomaine.com 3600 IN TXT "v=DMARC1; p=quarantine"
-
Stratégie mise en place sur reject (Rejeter le courrier)
_dmarc.votredomaine.com 3600 IN TXT "v=DMARC1;p=reject"
Bien qu’il existe d’autres options de syntaxe qui ne sont pas mentionnées ici, ce sont les options les plus couramment utilisées. Créez l’enregistrement TXT DMARC pour votre domaine au format suivant :
_dmarc.domain TTL IN TXT "v=DMARC1;p=policy;pct=100"
Où :
domain est le domaine que vous souhaitez protéger. Par défaut, l’enregistrement protège le courrier issu du domaine et de tous ses sous-domaines. Par exemple, si vous spécifiez _dmarc.votredomaine.com, DMARC protège le courrier issu de ce domaine et tous ses sous-domaines, par exemple sous-domaine.votredomaine.com ou encouresousdomaine.votredomaine.com.
La valeur TTL doit toujours être équivalente à une heure. L’unité utilisée pour TTL, que ce soit les heures (1 heure), les minutes (60 minutes) ou les secondes (3 600 secondes), varie selon le bureau d’enregistrement de votre domaine.
pct=100 indique que cette règle doit être utilisée pour 100 % des e-mails.
policy indique la stratégie que vous souhaitez que le serveur de réception suive si un message est rejeté par DMARC. Vous pouvez définir la stratégie sur none (Aucune), quarantine (Mettre en quarantaine) ou reject (Rejeter).
Une fois que vous avez paramétré votre enregistrement, vous devez mettre à jour l’enregistrement auprès de votre registraire de domaine.