Ce guide explique comment mettre en place une politique DMARC pour votre messagerie hébergée par Infomaniak, élément devenu indispensable pour prévenir d'éventuels dysfonctionnements d'acheminement.

Préambule

• DMARC (Domain-based Message Authentication, Reporting, and Conformance) est un outil essentiel pour renforcer la sécurité des e-mails et protéger votre domaine contre la fraude en vérifiant l'authenticité des e-mails sortants (par des mécanismes d'authentification tels que SPF et DKIM) et en permettant de définir des politiques de traitement des e-mails non authentifiés.
• DMARC existe pour spécifier aux autres fournisseurs de mail ce qu'ils doivent faire quand ils rejettent un e-mail à cause du SPF ou du DKIM qui seraient incorrects ou absents.
• Pour cela les propriétaires de domaines peuvent définir des politiques DMARC, telles que "rejeter", "quarantaine" ou "rien", pour spécifier comment ces e-mails "suspects" doivent être traités. Exemple:
  1. Un e-mail est envoyé de anna@domain.xyz à victor@yahoogle.abc.
  2. Le Service Mail de domain.xyz contient une configuration DMARC de type reject à 100%.
  3. Le Service Mail de yahoogle.abc est bien sécurisé et procède à l'analyse SPF/DKIM/DMARC du mail arrivant de domain.xyz.
  4. Si cette analyse débouche sur un échec du SPF ou DKIM, alors le Service Mail de yahoogle.abc va rejeter (donc effacer) le message.
  5. Il enverra un rapport par mail si une adresse de report est spécifiée dans le DMARC de domain.xyz.
     • Ces rapports DMARC générés vous aident à maintenir et à améliorer la sécurité de votre domaine ; vous pourrez ainsi identifier les éventuelles erreurs d'authentification et les tentatives de phishing utilisant votre domaine.

Politique DMARC et pourcentage d'acceptation

Pour les ordres qu'il est possible de donner aux serveurs destinataires lorsqu'un message suspect est détecté, 3 politiques (p = policy) existent et peuvent être affinées avec un pourcentage (pct):

none

Avec "p=none", aucun e-mail n'est rejeté ou placé en quarantaine en fonction de la vérification DMARC. Cependant, le pourcentage de réception peut être utilisé pour collecter des données sur les e-mail non authentifiés, en indiquant combien de ces e-mail doivent être soumis à la politique DMARC. P.ex "p=none; pct=10" signifie que 10% des e-mails non authentifiés seront soumis à la politique DMARC, tandis que les 90% restants seront acceptés.

quarantine

Avec "p=quarantine", les e-mails non authentifiés peuvent être placés en quarantaine, mais le pourcentage de réception détermine la proportion réellement soumise à cette politique. P.ex "p=quarantine; pct=50" signifie que 50% des e-mails non authentifiés seront placés en quarantaine, tandis que les 50% restants seront acceptés.

reject

Avec "p=reject", les e-mails non authentifiés sont rejetés. Le pourcentage de réception détermine la proportion des e-mails non authentifiés qui seront effectivement rejetés. Par exemple "p=reject; pct=20" signifie que 20% des e-mails non authentifiés seront rejetés, tandis que les 80% restants seront acceptés.

Créer un enregistrement DMARC

Il y a 2 façons de gérer le DMARC.

Si vous possédez un Service Mail auprès d'Infomaniak, le plus simple est de vous rendre sur l'outil de Sécurité globale afin de gérer votre politique de sécurité DMARC et les rapports:

Mais l'enregistrement DMARC étant un type d'enregistrement DNS, généralement de type TXT, vous pouvez également le gérer depuis la zone DNS du nom de domaine:

1. Cliquez ici afin d'accéder à la gestion de votre produit sur le Manager Infomaniak (besoin d'aide ?).
2. Cliquez directement sur le nom attribué au produit concerné.
3. Cliquez sur Zone DNS dans le menu latéral gauche.
4. Cliquez le bouton pour ajouter un enregistrement:
   
5. Cliquez sur le bouton radio DMARC pour ajouter un enregistrement.
6. Cliquez sur le bouton Suivant:
   
7. Laissez (ou ajoutez si nécessaire) la valeur _dmarc dans le champ Source.

8. Le champ Cible doit contenir les paramètres que vous souhaitez utiliser, séparés par des ; :

   Nom du Tag	But	Exemple
   v	Version du protocole	v=DMARC1
   pct	Pourcentage de messages soumis au filtrage	pct=20
   ruf	URI de rapport pour les rapports forensiques	ruf=mailto:authfail@domain.xyz
   rua	URI de rapport pour les rapports agrégés	rua=mailto:aggrep@domain.xyz
   p	Politique pour le domaine organisationnel	p=quarantine
   sp	Politique pour les sous-domaines du domaine organisationnel	sp=reject
   adkim	Mode d'alignement pour DKIM	adkim=s
   aspf	Mode d'alignement pour SPF	aspf=r

   ce qui peut donner par exemple v=DMARC1;p=reject;pct=100;rua=mailto:postmaster@dmarcdomain.com (source)

9. Laissez la valeur par défaut au niveau du TTL.
10. Cliquez sur le bouton Enregistrer: