Ce guide vous aide à résoudre diverses problématiques liées à la mise en place et à l'utilisation d'une politique DMARC avec votre messagerie.

Prenez connaissance de cet autre guide si vous rencontrez un problème DMARC spécifiquement lors de l'utilisation de services Google.

Erreur ou rejet DMARC...

...lors d'une redirection, alors que l'adresse de destination initiale a reçu le message (erreur SPF)

Redirection d'e-mail sans SRS générant une erreur SPF

Imaginez que vous avez configuré une redirection d'e-mail depuis l'adresse "user@example2.com" vers l'adresse "user@yourdomain3.com", sans utiliser le mécanisme SRS. Lorsqu'un message est envoyé à "user@example2.com", il est reçu par le premier serveur de messagerie, puis transmis automatiquement à "user@yourdomain3.com". Exemple:

• expéditeur: john.doe@gmahoo1.com
• destinataire initial: user@example2.com
• destination finale: user@yourdomain3.com

En schématisant: lorsque John envoie un e-mail à "user@example2.com", le serveur de messagerie de "example2.com" le redirige vers "user@yourdomain3.com". Le serveur de destination reçoit donc le message depuis les serveurs de "example2.com", alors que l'adresse d'enveloppe de l'expéditeur indique toujours "john.doe@gmahoo1.com".

En détail: lors de la redirection, l'adresse d'enveloppe du destinataire est remplacée par "user@yourdomain3.com", mais l'adresse d'enveloppe de l'expéditeur reste "john.doe@gmahoo1.com". L'adresse d'expéditeur visible dans le message reste également inchangée.

Le contrôle SPF peut alors échouer, car les serveurs de "example2.com" ne sont normalement pas autorisés par l'enregistrement SPF de "gmahoo1.com" à envoyer des messages pour ce domaine.

Une erreur SPF ne provoque toutefois pas systématiquement un rejet DMARC. DMARC échoue uniquement si aucun mécanisme SPF ou DKIM valide n'est aligné avec le domaine de l'adresse d'expéditeur visible. Si la signature DKIM d'origine est absente, invalide ou non alignée, la politique DMARC du domaine expéditeur peut alors entraîner la mise en quarantaine ou le rejet du message.

Pour éviter que SPF échoue uniquement en raison de la redirection, le prestataire qui effectue celle-ci doit prendre en charge le mécanisme SRS.

Comment se passent les redirections chez Infomaniak

Lorsqu'un e-mail reçu par une adresse Infomaniak est redirigé vers une autre adresse, Infomaniak utilise SRS pour réécrire l'adresse d'enveloppe de l'expéditeur. L'adresse d'expéditeur visible par le destinataire reste inchangée.

Cette réécriture permet au serveur de destination de vérifier que le serveur Infomaniak qui effectue la redirection est autorisé à utiliser la nouvelle adresse d'enveloppe. SRS ne modifie pas la signature DKIM d'origine et ne garantit pas, à lui seul, la validation DMARC. Dans le contexte d'une redirection, DMARC peut notamment être validé si la signature DKIM d'origine reste valide et alignée.

...lié à une entrée DNS incorrecte

L'enregistrement DMARC doit être publié sous la forme d'un enregistrement TXT unique sur le sous-domaine "_dmarc" du domaine concerné.

Enregistrement DMARC mal formé (Malformed DMARC Record): si l'enregistrement DMARC n'est pas correctement formaté, il peut être considéré comme invalide. Vérifiez notamment la syntaxe, les points-virgules, les balises utilisées et leurs valeurs.

Politique DMARC non valide (Invalid DMARC Policy): la valeur de la balise principale "p" doit être "none", "quarantine" ou "reject". Toute autre valeur rend la politique DMARC invalide.

Enregistrements DMARC multiples: un domaine ne doit comporter qu'un seul enregistrement TXT DMARC. Si plusieurs enregistrements sont publiés sur le sous-domaine "_dmarc", la configuration est considérée comme invalide et la politique ne peut pas être appliquée correctement.

Regroupez tous les paramètres DMARC nécessaires dans un seul enregistrement TXT.

Vérifiez votre entrée DMARC actuelle à l'aide d'un outil dédié comme ceux ci-dessous:

• https://dmarcadvisor.com/dmarc-check
• https://mxtoolbox.com/dmarc.aspx

...lié à un envoi qui ne valide aucun mécanisme SPF ou DKIM aligné

DMARC ne nécessite pas que SPF et DKIM soient tous les deux valides. Le contrôle DMARC réussit dès qu'au moins l'un de ces deux mécanismes est valide et aligné avec le domaine de l'adresse d'expéditeur visible.

Une erreur ou un rejet DMARC peut donc survenir lorsque ni SPF ni DKIM ne valide un domaine aligné avec celui de l'expéditeur.

Cela peut par exemple se produire si vous envoyez un e-mail avec votre adresse Infomaniak en utilisant le serveur SMTP d'un autre prestataire. Le serveur utilisé peut ne pas être autorisé par l'enregistrement SPF de votre domaine et ne pas appliquer de signature DKIM valide pour ce même domaine.

Pour résoudre ce problème:

• Vérifiez la sécurité globale du Service Mail,
• utilisez les serveurs SMTP Infomaniak pour envoyer les messages depuis une adresse Infomaniak,
• si vous utilisez un service d'envoi externe, configurez votre domaine auprès de ce prestataire afin qu'il prenne correctement en charge SPF, DKIM et leur alignement DMARC.

Les messages d'un domaine récemment créé arrivent dans le dossier spam

Ce comportement n'indique pas nécessairement une erreur DMARC. Un domaine récemment créé ne possède encore que peu ou pas d'historique d'envoi et sa réputation n'est donc pas établie auprès des différents fournisseurs de messagerie.

Commencez par envoyer un faible volume de messages légitimes à des destinataires consentants, puis augmentez progressivement le nombre d'envois. Vérifiez également que SPF, DKIM et DMARC sont correctement configurés et évitez les envois soudains ou volumineux.

S'envoyer des messages peut permettre de tester la configuration et de signaler un message comme légitime dans la boîte de réception concernée. Cela ne suffit toutefois pas à établir une réputation générale auprès des autres fournisseurs de messagerie.

La réussite des contrôles SPF, DKIM et DMARC ne garantit pas le classement des messages dans la boîte de réception. Les fournisseurs tiennent également compte de la réputation du domaine et des serveurs d'envoi, du volume de messages, de leur contenu et des réactions des destinataires.

J'envoie un e-mail depuis mon adresse Infomaniak et je reçois un message d'erreur de type "Reject DMARC"

Pour résoudre ce problème:

• Vérifiez la sécurité globale du Service Mail,
• effectuez un test d'envoi depuis le Webmail mail.infomaniak.com,
• vérifiez les paramètres serveur du logiciel ou du client de messagerie, notamment le serveur SMTP utilisé et l'authentification de l'adresse d'expédition.

Si le message est correctement envoyé depuis le Webmail, le problème provient probablement de la configuration du logiciel de messagerie ou du serveur SMTP externe utilisé pour l'envoi.

J'envoie un e-mail depuis une adresse externe (Microsoft, Google, Yahoo, Orange, etc.) et Infomaniak le rejette avec une erreur DMARC

Le message ne respecte probablement pas la politique DMARC publiée par le domaine de l'expéditeur. Cela peut notamment signifier que SPF et DKIM ont échoué ou qu'ils ne sont pas alignés avec l'adresse d'expéditeur visible.

Pour résoudre ce problème:

• Vérifiez auprès du prestataire de l'adresse d'expédition que les messages sont envoyés conformément à ses recommandations.
• Transmettez au prestataire ou à l'administrateur du domaine expéditeur le message d'erreur complet afin qu'il puisse contrôler les configurations SPF, DKIM et DMARC.

Je souhaite recevoir un e-mail sur mon adresse Infomaniak, mais l'expéditeur reçoit une erreur DMARC

Le message a été bloqué parce qu'il ne respectait pas la politique DMARC publiée par le domaine de l'expéditeur. La configuration du compte destinataire Infomaniak ne permet pas de corriger une erreur d'authentification provenant du domaine expéditeur.

Pour résoudre ce problème:

• Demandez à l'expéditeur de transmettre le message d'erreur complet à son prestataire de messagerie ou à l'administrateur de son domaine afin que les configurations SPF, DKIM et DMARC soient vérifiées,
• si l'adresse Infomaniak redirige les messages vers une autre adresse, vérifiez également à quelle étape de la redirection le rejet est généré.