Qu’est-ce que DMARC ?

13 février 2025

DMARC (Domain-based Message Authentication, Reporting, and Conformance) est un protocole d'authentification de courrier électronique conçu pour protéger les domaines contre toute utilisation non autorisée, telle que phishing et l'usurpation d'adresse e-mail. Il s'appuie sur deux autres mécanismes d'authentification, SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail), pour garantir que les e-mails prétendant provenir d'un domaine spécifique sont réellement envoyés à partir de sources autorisées.

Qu'est-ce que DMARC?

Qu’est-ce que DMARC ?

L'authentification, la création de rapports et la conformité des messages basés sur le domaine (DMARC) fonctionnent comme une couche globale au-dessus de SPF et DKIM. SPF vérifie si un message provient d'un Adresse IP autorisé par le domaine propriétaire, tandis que DKIM confirme la présence d'une signature cryptographique valide liée au domaine d'envoi.

DMARC exige qu'au moins une de ces vérifications soit réussie et que le domaine impliqué dans la vérification soit aligné avec le domaine dans le champ De visible. L'alignement strict impose une correspondance exacte entre le domaine dans l'en-tête De et le domaine d'authentification, tandis que l'alignement relâché autorise également les correspondances de sous-domaines.

Le protocole SPF est évalué en comparant le domaine Return-Path à une liste d'adresses IP autorisées, et le protocole DKIM est validé en confirmant que la signature dans les en-têtes de courrier électronique a été signée par le domaine d'envoi légitime. La règle d'alignement de DMARC garantit qu'un message est considéré comme authentique uniquement si l'adresse d'expédition correspond ou est un sous-domaine du domaine vérifié par SPF ou DKIM. Lorsqu'un message échoue à l'alignement, même s'il passe techniquement le protocole SPF ou DKIM sous un domaine différent, DMARC considère que ce message ne répond pas aux exigences du protocole.

Les propriétaires de domaine publient un enregistrement de politique DMARC dans leur DNS sous l'étiquette _dmarc.. Cet enregistrement inclut des paramètres tels que la version DMARC (v=DMARC1), la directive de politique (p=none, quarantaine ou rejet) et les adresses de rapport (rua pour les rapports agrégés, ruf pour les rapports médico-légaux). Lorsqu'un message entrant échoue aux vérifications DMARC, le courrier de réception servers sont invités à appliquer la politique spécifiée par le propriétaire du domaine. La fonction de rapport de DMARC fournit également aux propriétaires de domaine des commentaires précieux sur l'utilisation non autorisée de leurs domaines, protocoles d'authentification taux de réussite et erreurs de configuration potentielles.

Comment fonctionne DMARC ?

DMARC fonctionne en reliant les contrôles SPF et DKIM aux exigences d'alignement de domaine. Le processus d'authentification se produit lorsqu'un courrier électronique est reçu server inspecte un e-mail entrant.

Le server effectue les vérifications suivantes :

  • Vérification du SPF. Le server vérifie si le propriétaire du domaine autorise l'adresse IP d'envoi.
  • Vérification DKIM. Le server vérifie si l'e-mail possède une signature cryptographique valide qui correspond au domaine spécifié dans la balise « d = » de l'en-tête de signature DKIM.
  • Vérification de l'alignement. Le server confirme que les domaines utilisés dans l'en-tête De correspondent soit au domaine utilisé dans la vérification SPF, soit au domaine de signature DKIM.

Si le message échoue à l'un ou aux deux contrôles SPF et DKIM, ou si l'exigence d'alignement de domaine n'est pas satisfaite, DMARC demande au destinataire server pour gérer le message conformément à la politique spécifiée par le propriétaire du domaine.

DMARC permet également l'envoi de rapports au propriétaire du domaine, ce qui favorise une meilleure surveillance et une meilleure analyse des activités de courrier électronique frauduleuses.

Qu'est-ce que l'alignement de domaine DMARC ?

L'alignement du domaine DMARC fait référence à l'exigence selon laquelle le domaine dans l'en-tête De correspond (ou s'aligne sur) le domaine spécifié dans SPF et DKIM.

Il existe deux formes d’alignement :

  • Alignement strict. Le domaine dans l'en-tête From doit correspondre exactement au domaine dans l'en-tête Return-Path (pour SPF) ou à la balise « d= » dans la signature DKIM.
  • Alignement détendu. Le domaine dans l'en-tête From et le domaine dans la balise Return-Path ou DKIM « d= » partagent le même domaine parent.

L'alignement des domaines garantit que le domaine de l'expéditeur perçu dans l'en-tête de l'e-mail est le même que le domaine utilisé par les mécanismes d'authentification ou en est un sous-domaine. L'alignement est crucial car il empêche les cybercriminels de revendiquer un domaine dans le champ De visible qui diffère du domaine d'authentification.

Qu'est-ce qu'un enregistrement DMARC ?

Un enregistrement DMARC est un enregistrement DNS TXT publié par le propriétaire du domaine. Cet enregistrement spécifie la politique DMARC du domaine et inclut les détails clés nécessaires aux destinataires du courrier lorsqu'ils effectuent des vérifications DMARC.

Un enregistrement DMARC standard comprend :

  • v. La version DMARC (DMARC1).
  • p. La politique DMARC (Aucun, Quarantaine ou Rejeter).
  • rueL'adresse ou les adresses auxquelles les rapports agrégés sont envoyés.
  • rufL'adresse ou les adresses auxquelles les rapports médico-légaux sont envoyés (si utilisées).
  • adkim et aspf. Indicateurs d'alignement strict ou assoupli pour DKIM et SPF.
  • PCT. Le pourcentage de messages en échec auxquels la politique s'applique.

L'enregistrement DMARC se trouve dans le DNS du domaine sous l'étiquette _dmarc.. Par exemple, _dmarc.exemple.comUn enregistrement DMARC valide est nécessaire pour indiquer aux destinataires de courrier électronique comment gérer les courriers électroniques qui échouent à l'authentification et comment fournir des commentaires au propriétaire du domaine.

Que sont les politiques DMARC ?

DMARC utilise une balise « p = » dans l'enregistrement DNS TXT pour déterminer comment recevoir le courrier servers traiter les messages qui échouent à la fois au SPF (ou échouent à l'alignement SPF) et au DKIM (ou échouent à l'alignement DKIM).

Aucun

Une politique p=none indique au courrier de réception server n'appliquer aucun traitement spécial aux messages en échec. Les messages qui échouent aux contrôles DMARC sont livrés normalement, sauf si des messages locaux server les règles remplacent ce comportement. Les propriétaires de domaine utilisent cette politique lorsqu'ils souhaitent surveiller les résultats DMARC sans affecter le flux de messagerie.

Quarantine

Une politique de p=quarantaine indique au courrier de réception server pour marquer les messages en échec comme suspects. Cette approche place souvent les messages dans le dossier spam ou courrier indésirable du destinataire. La mise en quarantaine permet aux propriétaires de domaines de protéger leurs destinataires contre d'éventuelles tentatives de phishing ou d'usurpation d'identité, tout en autorisant la livraison dans un dossier spam plutôt qu'un rejet pur et simple.

Rejeter

Une politique p=reject indique au courrier de réception server pour rejeter les messages à la SMTP niveau s'ils échouent à l'authentification DMARC. Cette pratique supprime complètement les messages, les empêchant d'atteindre une boîte aux lettres de destinataire. Les propriétaires de domaine déploient fréquemment une politique de rejet après avoir analysé minutieusement les rapports DMARC et s'être assurés que tous les e-mails légitimes passent déjà les contrôles d'authentification.

Qu'est-ce qu'un rapport DMARC ?

Un rapport DMARC est un résumé ou une notification détaillée généré par courrier électronique indiquant que vous avez reçu E-mail servers envoyer au propriétaire du domaine conformément aux adresses spécifiées dans l'enregistrement DMARC. Les rapports fournissent des informations sur les sources d'envoi d'e-mails, les résultats d'authentification et les modèles d'utilisation du domaine. Il existe deux principaux types de rapports DMARC.

Rapports agrégés

Les rapports agrégés regroupent les données statistiques sur les résultats de l'authentification DMARC pour un domaine. Ces rapports incluent :

  • Informations sur l'envoi des adresses IP ayant utilisé le domaine.
  • Le nombre total de messages traités.
  • Nombre de messages réussissant ou échouant aux contrôles SPF et DKIM.
  • Actions de politique (telles que Aucun, Quarantaine ou Rejeter) appliquées par les récepteurs.

Les rapports agrégés arrivent généralement quotidiennement (ou à un autre intervalle déterminé par le système de réception) dans un format XML (Extensible Markup Language). Les propriétaires de domaine analysent ces rapports pour identifier les adresses IP non autorisées qui envoient des e-mails à l'aide de leur domaine, surveiller les sources de trafic légitimes et ajuster leurs configurations d'authentification des e-mails en conséquence.

Rapports médico-légaux

Les rapports d'analyse, également appelés rapports d'échec, contiennent des informations détaillées sur les messages électroniques individuels qui échouent à l'évaluation DMARC. Ces rapports sont envoyés immédiatement en cas d'échec.

Les rapports d'analyse comprennent généralement des échantillons d'en-têtes de messages originaux et d'autres détails potentiellement sensibles, ce qui aide les propriétaires de domaines à enquêter sur des incidents spécifiques d'authentification échouée. Certaines organisations choisissent de minimiser ou de désactiver les rapports d'analyse pour des raisons de confidentialité ou de gestion des données.

Avantages de DMARC

Voici les avantages de la mise en œuvre de DMARC :

  • Protection contre l'usurpation d'identité. DMARC empêche les acteurs malveillants d'utiliser un domaine légitime dans l'en-tête De visible des e-mails frauduleux.
  • Délivrabilité améliorée. Un DMARC correctement configuré améliore la délivrabilité des e-mails en indiquant que le domaine est entièrement conforme aux normes d'authentification, ce qui renforce la confiance avec FAI et recevoir des services de courrier.
  • Visibilité et responsabilité. Les rapports DMARC fournissent des informations exploitables sur le trafic de courrier électronique, l'envoi d'adresses IP et les échecs d'authentification. Ces informations permettent aux propriétaires de domaines de suivre les sources suspectes et de faire respecter la responsabilité.
  • Conformité aux normes de l’industrie. DMARC s’aligne sur des cadres largement reconnus tels que SPF et DKIM, ce qui favorise des pratiques cohérentes pour l’authentification des e-mails et réduit la prévalence des attaques de phishing.
  • Une réputation de marque renforcée. L’adoption de DMARC témoigne d’un engagement envers la sécurité des e-mails et protège l’identité d’une marque en atténuant les tentatives de phishing qui exploitent des domaines légitimes.
Nikola
Kostique
Nikola est un écrivain chevronné passionné par tout ce qui touche à la haute technologie. Après avoir obtenu un diplôme en journalisme et en sciences politiques, il a travaillé dans les secteurs des télécommunications et de la banque en ligne. J'écris actuellement pour phoenixNAP, il se spécialise dans la résolution de problèmes complexes liés à l'économie numérique, au commerce électronique et aux technologies de l'information.