Ce guide explique comment mettre en place une politique DMARC pour votre messagerie hébergée par Infomaniak, élément devenu indispensable pour prévenir d'éventuels dysfonctionnements d'acheminement.

Préambule

• Le protocole DMARC (Domain-based Message Authentication, Reporting, and Conformance) renforce la sécurité de votre domaine en s'appuyant sur les vérifications SPF et DKIM.
• Il indique aux serveurs destinataires comment traiter les e-mails qui échouent à ces tests d'authenticité, avec trois politiques de protection (Aucune, Quarantaine, Reject) détaillées ci-dessous.
• En cas d'échec d'authentification, le destinataire peut vous renvoyer un rapport DMARC ; ces données sont essentielles pour identifier des erreurs de configuration ou stopper des tentatives de phishing utilisant votre nom de domaine.

Politique DMARC et pourcentage d'acceptation

Pour les ordres qu'il est possible de donner aux serveurs destinataires lorsqu'un message suspect est détecté, 3 politiques (p = policy) existent et peuvent être affinées avec un pourcentage (pct):

Aucune (none) : L'e-mail est délivré normalement (mode observation)

Avec "p=none", aucun e-mail n'est rejeté ou placé en quarantaine en fonction de la vérification DMARC. Cependant, le pourcentage de réception peut être utilisé pour collecter des données sur les e-mail non authentifiés, en indiquant combien de ces e-mail doivent être soumis à la politique DMARC. P.ex "p=none; pct=10" signifie que 10% des e-mails non authentifiés seront soumis à la politique DMARC, tandis que les 90% restants seront acceptés.

Quarantaine (quarantine) : L'e-mail est envoyé dans les envois indésirables

Avec "p=quarantine", les e-mails non authentifiés peuvent être placés en quarantaine, mais le pourcentage de réception détermine la proportion réellement soumise à cette politique. P.ex "p=quarantine; pct=50" signifie que 50% des e-mails non authentifiés seront placés en quarantaine, tandis que les 50% restants seront acceptés.

Rejet (reject) : L'e-mail est purement et simplement bloqué/effacé

Avec "p=reject", les e-mails non authentifiés sont rejetés. Le pourcentage de réception détermine la proportion des e-mails non authentifiés qui seront effectivement rejetés. Par exemple "p=reject; pct=20" signifie que 20% des e-mails non authentifiés seront rejetés, tandis que les 80% restants seront acceptés.

Créer un enregistrement DMARC

Il y a 2 façons de gérer le DMARC.

Si vous possédez un Service Mail auprès d'Infomaniak, le plus simple est de vous rendre sur l'outil de Sécurité globale afin de gérer votre politique de sécurité DMARC et les rapports:

Mais l'enregistrement DMARC étant un type d'enregistrement DNS, généralement de type TXT, vous pouvez également le gérer depuis la zone DNS du nom de domaine:

1. Cliquez ici afin d'accéder à la gestion de votre domaine sur le Manager Infomaniak (besoin d'aide ?).
2. Cliquez directement sur le nom attribué au domaine concerné.
3. Cliquez sur Zone DNS dans le menu latéral gauche.
4. Cliquez le bouton pour ajouter un enregistrement:
   
5. Cliquez sur le bouton radio DMARC pour ajouter un enregistrement.
6. Cliquez sur le bouton Suivant:
   
7. Laissez (ou ajoutez si nécessaire) la valeur _dmarc dans le champ Source.

8. Le champ Cible doit contenir les paramètres que vous souhaitez utiliser, séparés par des ; :

   Nom du Tag	But	Exemple
   v	Version du protocole	v=DMARC1
   pct	Pourcentage de messages soumis au filtrage	pct=20
   ruf	URI de rapport pour les rapports forensiques	ruf=mailto:authfail@domain.xyz
   rua	URI de rapport pour les rapports agrégés	rua=mailto:aggrep@domain.xyz
   p	Politique pour le domaine organisationnel	p=quarantine
   sp	Politique pour les sous-domaines du domaine organisationnel	sp=reject
   adkim	Mode d'alignement pour DKIM	adkim=s
   aspf	Mode d'alignement pour SPF	aspf=r

   ce qui peut donner par exemple v=DMARC1;p=reject;pct=100;rua=mailto:postmaster@dmarcdomain.com (source)

9. Laissez la valeur par défaut au niveau du TTL.
10. Cliquez sur le bouton Enregistrer: