1 000 FAQ, 500 tutoriels et vidéos explicatives. Ici, il n'y a que des solutions !
GĂ©rer les enregistrements DMARC
Ce guide explique comment mettre en place une politique DMARC pour votre messagerie hébergée par Infomaniak, élément devenu indispensable pour prévenir d'éventuels dysfonctionnements d'acheminement.
Qu'est-ce que DMARC ?
DMARC (Domain-based Message Authentication, Reporting, and Conformance) est un outil essentiel pour renforcer la sécurité des e-mails et protéger votre domaine contre la fraude en vérifiant l'authenticité des e-mails sortants (par des mécanismes d'authentification tels que SPF et DKIM) et en permettant de définir des politiques de traitement des e-mails non authentifiés.
DMARC existe pour spécifier aux autres fournisseurs de mail ce qu'ils doivent faire quand ils rejettent un e-mail à cause du SPF ou du DKIM qui seraient incorrects ou absents. Pour cela les propriétaires de domaines peuvent définir des politiques DMARC, telles que "rejeter", "quarantaine" ou "rien", pour spécifier comment ces e-mails "suspects" doivent être traités.
Exemple:
- un e-mail est envoyé de anna@domain.xyz à victor@yahoogle.abc
- le Service Mail de domain.xyz contient une configuration DMARC de type reject Ă 100%
- le Service Mail de yahoogle.abc est bien sécurisé et procède à l'analyse SPF/DKIM/DMARC du mail arrivant de domain.xyz
- si cette analyse débouche sur un échec du SPF ou DKIM, alors le Service Mail de yahoogle.abc va rejeter (donc effacer) le message
- il enverra un rapport* par mail si une adresse de report est spécifiée dans le DMARC de domain.xyz
* Ces rapports DMARC générés vous aident à maintenir et à améliorer la sécurité de votre domaine ; vous pourrez ainsi identifier les éventuelles erreurs d'authentification et les tentatives de phishing utilisant votre domaine.
Politique DMARC et pourcentage d'acceptation
Pour les ordres qu'il est possible de donner aux serveurs destinataires lorsqu'un message suspect est détecté, 3 politiques (p
= policy) existent et peuvent être affinées avec un pourcentage (pct
):
none
Avec "p=none
", aucun e-mail n'est rejeté ou placé en quarantaine en fonction de la vérification DMARC. Cependant, le pourcentage de réception peut être utilisé pour collecter des données sur les e-mail non authentifiés, en indiquant combien de ces e-mail doivent être soumis à la politique DMARC. P.ex "p=none; pct=10
" signifie que 10% des e-mails non authentifiés seront soumis à la politique DMARC, tandis que les 90% restants seront acceptés.
quarantine
Avec "p=quarantine
", les e-mails non authentifiés peuvent être placés en quarantaine, mais le pourcentage de réception détermine la proportion réellement soumise à cette politique. P.ex "p=quarantine; pct=50
" signifie que 50% des e-mails non authentifiés seront placés en quarantaine, tandis que les 50% restants seront acceptés.
reject
Avec "p=reject
", les e-mails non authentifiés sont rejetés. Le pourcentage de réception détermine la proportion des e-mails non authentifiés qui seront effectivement rejetés. P.ex "p=reject; pct=20
" signifie que 20% des e-mails non authentifiés seront rejetés, tandis que les 80% restants seront acceptés.
Créer un enregistrement DMARC
Il y a 2 façons de gérer le DMARC.
Si vous possédez un Service Mail auprès d'Infomaniak, le plus simple est de vous rendre sur l'outil de Sécurité globale afin de gérer votre politique de sécurité DMARC et les rapports.
Mais l'enregistrement DMARC étant un type d'enregistrement DNS, généralement de type TXT, vous pouvez également le gérer depuis la zone DNS du nom de domaine:
- se connecter au Manager Infomaniak (manager.infomaniak.com) depuis un navigateur Web comme Brave ou Edge
- cliquer sur l'icône en haut à droite de l'interface (ou naviguer grâce au menu latéral gauche p.ex)
- choisir Domaines (univers Web & Domaine)
- cliquer sur le nom de l'objet concerné dans le tableau qui s'affiche
- cliquer sur Zone DNS dans le menu latéral gauche
- cliquer le bouton pour ajouter un enregistrement:
- cliquer sur le bouton radio DMARC pour ajouter un enregistrement
- cliquer sur le bouton Suivant
- laisser (ou ajouter si nécessaire) la valeur
_dmarc
dans le champ Source - le champ Cible doit contenir les paramètres que vous souhaitez utiliser, séparés par des
;
:
Nom du Tag But Exemple v Version du protocole v=DMARC1
pct Pourcentage de messages soumis au filtrage pct=20
ruf URI de rapport pour les rapports forensiques ruf=mailto:authfail@domain.xyz
rua URI de rapport pour les rapports agrégés rua=mailto:aggrep@domain.xyz
p Politique pour le domaine organisationnel p=quarantine
sp Politique pour les sous-domaines du domaine organisationnel sp=reject
adkim Mode d'alignement pour DKIM adkim=s
aspf Mode d'alignement pour SPF aspf=r
ce qui peut donner p.exv=DMARC1;p=reject;pct=100;rua=mailto:postmaster@dmarcdomain.com
(source) - laisser la valeur par défaut au niveau du TTL
- cliquer sur le bouton Enregistrer