DMARC est un élément important de la sécurité du courrier électronique. Les politiques DMARC sont stockées dans les enregistrements TXT du DNS.
Cet article s'articule autour des points suivants :
Contenu associé
Enregistrement DNS DKIM
Enregistrement DNS SPF
Enregistrement DNS TXT
Enregistrement DNS MX
Enregistrements DNS
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
La Domain-based Message Authentication Reporting and Conformance (DMARC) est une méthode d'authentification des messages électroniques. Une politique DMARC indique au serveur de messagerie récepteur ce qu'il doit faire après avoir vérifié les enregistrements Sender Policy Framework (SPF) et DomainKeys Identified Mail (DKIM) d'un domaine, qui sont des méthodes supplémentaires d'authentification des e-mails.
La DMARC et d'autres méthodes d'authentification des e-mails sont nécessaires pour empêcher l'usurpation d'adresse. Chaque adresse électronique possède un domaine , qui est la partie de l'adresse qui vient après le symbole « @ ». Les personnes malveillantes et les spammeurs essaient parfois d'envoyer des messages électroniques à partir d'un domaine qu'ils ne sont pas autorisés à utiliser, comme quelqu'un qui écrirait une mauvaise adresse de retour sur une lettre. Ils peuvent le faire pour tenter de tromper les utilisateurs (comme dans une attaque de phishing), entre autres raisons.
Ensemble, DMARC, DKIM et SPF fonctionnent comme un contrôle de fond sur les expéditeurs d'e-mail, afin de s'assurer qu'ils sont bien ceux qu'ils prétendent être.
Par exemple, imaginons qu'un spammeur envoie un e-mail depuis l'adresse « trustworthy@example.com », alors qu'il n'est pas autorisé à envoyer des e-mails depuis le domaine « example.com ». Pour ce faire, le spammeur remplace l'en-tête « De » de l'e-mail par « trustworthy@example.com ». Il n'envoie pas d'e-mail depuis le serveur de messagerie de example.com. Les serveurs de messagerie qui reçoivent cet e-mail peuvent utiliser DMARC, SPF et DKIM pour découvrir qu'il s'agit d'un e-mail non autorisé, et ils peuvent marquer l'e-mail comme un spam ou refuser de le délivrer.
Une politique DMARC détermine ce qu'il advient d'un message électronique après sa vérification par rapport aux enregistrements SPF et DKIM. Un e-mail passe ou échoue à SPF et DKIM. La politique DMARC détermine si l'échec entraîne le marquage de l'e-mail comme spam, son blocage ou sa remise au destinataire prévu. (Les serveurs de messagerie peuvent toujours marquer les e-mails comme spam s'il n'y a pas d'enregistrement DMARC, mais DMARC fournit des instructions plus claires sur le moment de le faire).
La politique de domaine de Example.com pourrait être :
« Si un e-mail échoue aux tests DKIM et SPF, marquez-le comme spam. »
Ces politiques ne sont pas enregistrées sous forme de phrases lisibles par l'homme, mais plutôt sous forme de commandes lisibles par la machine afin que les services de messagerie puissent les interpréter automatiquement. Cette politique DMARC ressemblerait en fait à ceci :
v=DMARC1; p=quarantine; adkim=s; aspf=s;
Qu’est-ce que cela signifie ?
v=DMARC1
indique que cet enregistrement TXT contient une politique DMARC et doit être interprété comme tel par les serveurs de messagerie.p=quarantine
indique que les serveurs de messagerie doivent « mettre en quarantaine » les e-mails qui ne répondent pas aux critères DKIM et SPF, les considérant comme des spams potentiels. Parmi les autres paramètres possibles, citons p=none
, qui permet aux e-mails qui échouent de passer quand même, et p=reject
, qui demande aux serveurs de messagerie de bloquer les e-mails qui échouent.adkim=s
signifie que les vérifications DKIM sont « strictes ». Il est également possible de définir « relaxé » en remplaçant s
par r
, comme adkim=r
.aspf=s
est identique à adkim=s
, mais pour SPF.aspf
et adkim
sont des paramètres facultatifs. L'attribut p=
indique ce que les serveurs de messagerie doivent faire avec les e-mails qui échouent à SPF et DKIM.Si l'administrateur d'example.com voulait rendre cette politique encore plus stricte et signaler plus fortement aux serveurs de messagerie de considérer les messages non autorisés comme du spam, il ajusterait l'attribut « p= » comme suit :
v=DMARC1; p=reject; adkim=s; aspf=s;
En substance, cela signifie : « Si un e-mail échoue aux tests DKIM et SPF, ne le remettez pas. »
Les politiques DMARC peuvent contenir des instructions pour l'envoi de rapports sur les e-mails qui passent ou échouent au test DKIM ou SPF. En général, les administrateurs configurent les rapports pour qu'ils soient envoyés à un service tiers qui les réduit à une forme plus digeste, afin que les administrateurs ne soient pas submergés d'informations. Les rapports DMARC sont extrêmement importants, car ils fournissent aux administrateurs les informations dont ils ont besoin pour décider de l'ajustement de leurs politiques DMARC, par exemple si leurs e-mails légitimes échouent aux tests SPF et DKIM, ou si un spammeur tente d'envoyer des e-mails illégitimes.
L'administrateur de example.com ajouterait la partie rua
de cette politique pour envoyer ses rapports DMARC à un service tiers (dont l'adresse électronique est « exemple@third-party-example.com ») :
v=DMARC1; p=reject; adkim=s; aspf=s; rua=mailto:exemple@third-party-example.com;
Un enregistrement DMARC stocke la politique DMARC d'un domaine. Les enregistrements DMARC sont stockés dans le système de noms de domaine (DNS) sous forme d'enregistrements DNS TXT . Un enregistrement DNS TXT peut contenir presque tout le texte qu'un administrateur de domaine souhaite associer à son domaine. L'une des façons d'utiliser les enregistrements DNS TXT est de stocker les politiques DMARC.
(Notez qu'un enregistrement DMARC est un enregistrement DNS TXT qui contient une politique DMARC, et non un type spécialisé d' enregistrement DNS.)
La politique DMARC de example.com pourrait ressembler à ceci :
Nom | Type | Contenu | TTL |
---|---|---|---|
_dmarc.example.com |
TXT |
v=DMARC1; p=quarantine; adkim=r; aspf=r; rua=mailto:example@third-party-example.com; |
32600 |
Dans cet enregistrement TXT, la politique DMARC est contenue dans le champ « Contenu ».
Les domaines qui n'envoient pas d'e-mails doivent tout de même avoir un enregistrement DMARC afin d'empêcher les spammeurs d'utiliser le domaine. L'enregistrement DMARC doit avoir une politique DMARC qui rejette tous les e-mails qui échouent aux tests SPF et DKIM, c'est-à-dire tous les e-mails envoyés par ce domaine.
En d'autres termes, si example.com n'était pas configuré pour envoyer des e-mails, tous les e-mails échoueraient à SPF et DKIM et seraient rejetés.
Si vous avez besoin d'aide pour configurer cet enregistrement dans Cloudflare, utilisez l'assistant Email Security DNS Wizard.
En savoir plus sur les enregistrements DNS pour le service de messagerie électronique :
DMARC est décrit plus en détail dans RFC 7489.