Qu'est-ce qu'un enregistrement DNS DMARC ?

DMARC est un élément important de la sécurité du courrier électronique. Les politiques DMARC sont stockées dans les enregistrements TXT du DNS.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Expliquer pourquoi DMARC est utilisé
  • Décrire une politique DMARC
  • Comprendre comment les enregistrements DNS TXT sont utilisés pour DMARC

Contenu associé


Vous souhaitez continuer à enrichir vos connaissances ?

Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !

Consultez la politique de confidentialité de Cloudflare pour en savoir plus sur la manière dont nous collectons et traitons vos données personnelles.

Copier le lien de l'article

DNS inclus gratuitement avec toute offre Cloudflare

Qu'est-ce que la DMARC ?

La Domain-based Message Authentication Reporting and Conformance (DMARC) est une méthode d'authentification des messages électroniques. Une politique DMARC indique au serveur de messagerie récepteur ce qu'il doit faire après avoir vérifié les enregistrements Sender Policy Framework (SPF) et DomainKeys Identified Mail (DKIM) d'un domaine, qui sont des méthodes supplémentaires d'authentification des e-mails.

La DMARC et d'autres méthodes d'authentification des e-mails sont nécessaires pour empêcher l'usurpation d'adresse. Chaque adresse électronique possède un domaine , qui est la partie de l'adresse qui vient après le symbole « @ ». Les personnes malveillantes et les spammeurs essaient parfois d'envoyer des messages électroniques à partir d'un domaine qu'ils ne sont pas autorisés à utiliser, comme quelqu'un qui écrirait une mauvaise adresse de retour sur une lettre. Ils peuvent le faire pour tenter de tromper les utilisateurs (comme dans une attaque de phishing), entre autres raisons.

Ensemble, DMARC, DKIM et SPF fonctionnent comme un contrôle de fond sur les expéditeurs d'e-mail, afin de s'assurer qu'ils sont bien ceux qu'ils prétendent être.

Par exemple, imaginons qu'un spammeur envoie un e-mail depuis l'adresse « trustworthy@example.com », alors qu'il n'est pas autorisé à envoyer des e-mails depuis le domaine « example.com ». Pour ce faire, le spammeur remplace l'en-tête « De » de l'e-mail par « trustworthy@example.com ». Il n'envoie pas d'e-mail depuis le serveur de messagerie de example.com. Les serveurs de messagerie qui reçoivent cet e-mail peuvent utiliser DMARC, SPF et DKIM pour découvrir qu'il s'agit d'un e-mail non autorisé, et ils peuvent marquer l'e-mail comme un spam ou refuser de le délivrer.

Qu'est-ce qu'une politique DMARC ?

Une politique DMARC détermine ce qu'il advient d'un message électronique après sa vérification par rapport aux enregistrements SPF et DKIM. Un e-mail passe ou échoue à SPF et DKIM. La politique DMARC détermine si l'échec entraîne le marquage de l'e-mail comme spam, son blocage ou sa remise au destinataire prévu. (Les serveurs de messagerie peuvent toujours marquer les e-mails comme spam s'il n'y a pas d'enregistrement DMARC, mais DMARC fournit des instructions plus claires sur le moment de le faire).

La politique de domaine de Example.com pourrait être :

« Si un e-mail échoue aux tests DKIM et SPF, marquez-le comme spam. »

Ces politiques ne sont pas enregistrées sous forme de phrases lisibles par l'homme, mais plutôt sous forme de commandes lisibles par la machine afin que les services de messagerie puissent les interpréter automatiquement. Cette politique DMARC ressemblerait en fait à ceci :

v=DMARC1; p=quarantine; adkim=s; aspf=s;

Qu’est-ce que cela signifie ?

  • v=DMARC1 indique que cet enregistrement TXT contient une politique DMARC et doit être interprété comme tel par les serveurs de messagerie.
  • p=quarantine indique que les serveurs de messagerie doivent « mettre en quarantaine » les e-mails qui ne répondent pas aux critères DKIM et SPF, les considérant comme des spams potentiels. Parmi les autres paramètres possibles, citons p=none, qui permet aux e-mails qui échouent de passer quand même, et p=reject, qui demande aux serveurs de messagerie de bloquer les e-mails qui échouent.
  • adkim=s signifie que les vérifications DKIM sont « strictes ». Il est également possible de définir « relaxé » en remplaçant s par r, comme adkim=r.
  • aspf=s est identique à adkim=s, mais pour SPF.
  • Notez que aspf et adkim sont des paramètres facultatifs. L'attribut p= indique ce que les serveurs de messagerie doivent faire avec les e-mails qui échouent à SPF et DKIM.

Si l'administrateur d'example.com voulait rendre cette politique encore plus stricte et signaler plus fortement aux serveurs de messagerie de considérer les messages non autorisés comme du spam, il ajusterait l'attribut « p= » comme suit :

v=DMARC1; p=reject; adkim=s; aspf=s;

En substance, cela signifie : « Si un e-mail échoue aux tests DKIM et SPF, ne le remettez pas. »

Qu'est-ce qu'un rapport DMARC ?

Les politiques DMARC peuvent contenir des instructions pour l'envoi de rapports sur les e-mails qui passent ou échouent au test DKIM ou SPF. En général, les administrateurs configurent les rapports pour qu'ils soient envoyés à un service tiers qui les réduit à une forme plus digeste, afin que les administrateurs ne soient pas submergés d'informations. Les rapports DMARC sont extrêmement importants, car ils fournissent aux administrateurs les informations dont ils ont besoin pour décider de l'ajustement de leurs politiques DMARC, par exemple si leurs e-mails légitimes échouent aux tests SPF et DKIM, ou si un spammeur tente d'envoyer des e-mails illégitimes.

L'administrateur de example.com ajouterait la partie rua de cette politique pour envoyer ses rapports DMARC à un service tiers (dont l'adresse électronique est « exemple@third-party-example.com ») :

v=DMARC1; p=reject; adkim=s; aspf=s; rua=mailto:exemple@third-party-example.com;

Qu'est-ce qu'un enregistrement DMARC ?

Un enregistrement DMARC stocke la politique DMARC d'un domaine. Les enregistrements DMARC sont stockés dans le système de noms de domaine (DNS) sous forme d'enregistrements DNS TXT . Un enregistrement DNS TXT peut contenir presque tout le texte qu'un administrateur de domaine souhaite associer à son domaine. L'une des façons d'utiliser les enregistrements DNS TXT est de stocker les politiques DMARC.

(Notez qu'un enregistrement DMARC est un enregistrement DNS TXT qui contient une politique DMARC, et non un type spécialisé d' enregistrement DNS.)

La politique DMARC de example.com pourrait ressembler à ceci :

Nom Type Contenu TTL
_dmarc.example.com TXT v=DMARC1; p=quarantine; adkim=r; aspf=r; rua=mailto:example@third-party-example.com; 32600

Dans cet enregistrement TXT, la politique DMARC est contenue dans le champ « Contenu ».

Qu'en est-il des domaines qui n'envoient pas d'e-mails ?

Les domaines qui n'envoient pas d'e-mails doivent tout de même avoir un enregistrement DMARC afin d'empêcher les spammeurs d'utiliser le domaine. L'enregistrement DMARC doit avoir une politique DMARC qui rejette tous les e-mails qui échouent aux tests SPF et DKIM, c'est-à-dire tous les e-mails envoyés par ce domaine.

En d'autres termes, si example.com n'était pas configuré pour envoyer des e-mails, tous les e-mails échoueraient à SPF et DKIM et seraient rejetés.

L'assistant DNS de Cloudflare Email Security permet de configurer facilement les enregistrements TXT DNS corrects et de bloquer l'utilisation d'un domaine par les spammeurs. Pour en savoir plus, cliquez ici.

En savoir plus sur les enregistrements DNS pour le service de messagerie électronique :

DMARC est décrit plus en détail dans RFC 7489.