L'authentification, le rapport et la conformité basés sur le domaine, ou DMARC, est une norme technique qui aide à protéger les expéditeurs et les destinataires d'e-mails contre le spam, le spoofing et le phishing.
L'authentification de message basée sur un domaine, la rédaction et la conformité, ou DMARC, est une norme technique qui aide à protéger les expéditeurs et les destinataires d'e-mails contre le spam, le contrefaçon et le phishing. DMARC permet à une organisation de publier une politique qui définit ses pratiques d'authentification des e-mails et fournit des instructions aux serveurs de messagerie pour savoir comment les appliquer. Dans cette édition de “DMARC expliqué”, vous apprendrez ce qu'est DMARC et comment cela fonctionne.
Plus précisément, DMARC établit une méthode pour qu'un propriétaire de domaine puisse :
Publier ses pratiques d'authentification des e-mails
Indiquer quelles actions doivent être prises sur les messages qui échouent aux contrôles d'authentification
Activer le reporting de ces actions prises sur les messages prétendant provenir de son domaine
DMARC n'est pas à proprement parler un protocole d'authentification des e-mails, mais il se base sur des normes d'authentification clés SPF et DKIM. Avec elles, il complète le SMTP, le protocole de base utilisé pour envoyer des e-mails, car le SMTP ne comprend pas lui-même de mécanismes pour mettre en œuvre ou définir des politiques d'authentification des e-mails.
Comment fonctionne le DMARC ?
DMARC repose sur les normes SPF et DKIM établies pour l'authentification des e-mails. Il s'appuie également sur le Système de Noms de Domaine (DNS) bien établi. En termes généraux, le processus de validation DMARC fonctionne de cette manière :
Un administrateur de domaine publie la politique définissant ses pratiques d'authentification des e-mails et comment les serveurs de messagerie récepteurs doivent traiter les e-mails qui enfreignent cette politique. Cette politique DMARC est enregistrée dans les enregistrements DNS globaux du domaine.
Lorsqu'un serveur de messagerie entrant reçoit un e-mail entrant, il utilise le DNS pour rechercher la politique DMARC pour le domaine contenu dans l'en-tête “From” (RFC 5322) du message. Le serveur entrant vérifie évalue alors le message pour trois facteurs clés :
La signature DKIM du message est-elle valide ?
L'e-mail provient-il d'adresses IP autorisées par les enregistrements SPF du domaine d'envoi ?
Les en-têtes dans le message montrent-ils un “alignement de domaine” approprié ?
Avec ces informations, le serveur est prêt à appliquer la politique DMARC du domaine d'envoi pour décider d'accepter, de rejeter ou de signaler autrement le message e-mail.
Après avoir utilisé la politique DMARC pour déterminer la disposition appropriée pour le message, le serveur de messagerie récepteur fera rapport du résultat au propriétaire du domaine expéditeur.
Qu'est-ce qu'un enregistrement DMARC ?
Un enregistrement DMARC est inclus dans la base de données DNS d'une organisation. Un enregistrement DMARC est une version spécialement formatée d'un enregistrement DNS TXT standard avec un nom particulier, à savoir “_dmarc.mydomain.com” (notez le trait de soulignement au début). Un enregistrement DMARC ressemble à ceci : _dmarc.mydomain.com. IN TXT “v=DMARC1\; p=none\; rua=mailto:dmarc-aggregate@mydomain.com\; ruf=mailto:dmarc-afrf@mydomain.com\; pct=100”
En lisant de gauche à droite en anglais simple, cet enregistrement dit :
v=DMARC1 spécifie la version de DMARC
p=none spécifie le traitement préféré, ou la politique DMARC
rua=mailto:dmarc-aggregate@mydomain.com est la boîte aux lettres à laquelle les rapports agrégés doivent être envoyés
ruf=mailto:dmarc-afrf@mydomain.com est la boîte aux lettres à laquelle les rapports d'analyse criminelle doivent être envoyés
pct=100 est le pourcentage de courriers auquel le propriétaire du domaine souhaite que sa politique soit appliquée
Des options de configuration supplémentaires sont disponibles pour un propriétaire de domaine à utiliser dans son enregistrement de politique DMARC également, mais ce sont les bases.
Que signifie l'alignement de domaine DMARC ?
« L'alignement de domaine » est un concept dans DMARC qui étend la validation de domaine intrinsèque à SPF et DKIM. L'alignement de domaine DMARC fait correspondre le domaine « d'expédition » d'un message avec des informations pertinentes pour ces autres normes :
Pour SPF, le domaine d'expédition du message et le domaine de retour doivent correspondre
Pour DKIM, le domaine d'expédition du message et le domaine d=DKIM doivent correspondre
L'alignement peut être assoupli (correspondant aux domaines de base, mais permettant différents sous-domaines) ou strict (correspondant précisément à l'ensemble du domaine). Ce choix est spécifié dans la politique DMARC publiée du domaine d'envoi.
Quelles sont les politiques p= de DMARC ?
La spécification DMARC fournit trois choix pour les propriétaires de domaine afin de spécifier leur traitement préféré des courriels qui échouent aux contrôles de validation DMARC. Ces politiques “p=” sont :
aucun : traiter le courriel de la même manière que s'il n'y avait aucune validation DMARC
quarantaine : accepter le courriel mais le placer ailleurs que dans la boîte de réception du destinataire (généralement dans le dossier spam)
rejeter : rejeter le message immédiatement
Rappelez-vous que le propriétaire du domaine ne peut que demander, et non imposer, l'application de son enregistrement DMARC ; c'est au serveur de messagerie entrant de décider s'il honorera ou non la politique demandée.
Qu'est-ce qu'un rapport DMARC ?
Les rapports DMARC sont générés par les serveurs de messagerie entrants dans le cadre du processus de validation DMARC. Il existe deux formats de rapports DMARC :
Rapports agrégés, qui sont des documents XML montrant des données statistiques sur les messages reçus prétendant provenir d'un domaine particulier. La date rapportée comprend les résultats d'authentification et la disposition des messages. Les rapports agrégés sont conçus pour être lisibles par des machines.
Rapports d'analyse, qui sont des copies individuelles de messages ayant échoué à l'authentification, chacun étant inclus dans un message électronique complet utilisant un format spécial appelé AFRF. Le rapport d'analyse peut être utile à la fois pour résoudre les problèmes d'authentification d'un domaine et pour identifier les domaines malveillants et les sites web.
Comment le DMARC est-il lié au SPF, au DKIM ou à d'autres normes ?
DKIM, SPF et DMARC sont tous des standards qui permettent différents aspects de l'authentification des e-mails. Ils traitent des problèmes complémentaires.
SPF permet aux expéditeurs de définir quelles adresses IP sont autorisées à envoyer des e-mails pour un domaine particulier.
DKIM fournit une clé de chiffrement et une signature numérique qui vérifient qu'un message e-mail n'a pas été falsifié ou altéré.
DMARC unifie les mécanismes d'authentification SPF et DKIM dans un cadre commun et permet aux propriétaires de domaine de déclarer comment ils aimeraient que les e-mails de ce domaine soient traités s'ils échouent à un test d'autorisation.
Ai-je besoin de DMARC ?
Si vous êtes une entreprise envoyant des e-mails commerciaux ou transactionnels, vous devez absolument mettre en œuvre une ou plusieurs formes d'authentification par e-mail pour vérifier qu'un e-mail provient réellement de vous ou de votre entreprise. Une configuration correcte de DMARC help les serveurs de messagerie récepteurs à déterminer comment évaluer les messages prétendant provenir de votre domaine, et c'est l'une des étapes les plus importantes que vous puissiez entreprendre pour améliorer votre délivrabilité.
Cependant, des normes comme DMARC ne vont pas jusqu'à un certain point ; MessageBird et d'autres experts en e-mail recommandent de mettre en œuvre une politique d'authentification par e-mail DMARC dans le contexte d'une stratégie de messagerie complète.