Qu’est-ce que DMARC? | SendGrid


L’authentification, la génération de rapports et la conformité des messages basés sur le domaine, ou DMARC, est un protocole qui utilise Sender Policy Framework (SPF) et DomainKeys a identifié le courrier (DKIM) pour déterminer l’authenticité d’un e-mail.

DMARC permet aux fournisseurs d’accès à Internet (FAI) d’empêcher plus facilement les pratiques de messagerie malveillantes, telles que l’usurpation de domaine, afin de hameçonner les informations personnelles des destinataires.

Essentiellement, il permet aux expéditeurs d’e-mails de spécifier comment gérer les e-mails non authentifiés à l’aide de SPF ou DKIM. Les expéditeurs peuvent choisir d’envoyer ces e-mails dans le dossier indésirable ou de les bloquer tous ensemble. Ce faisant, les FAI peuvent mieux identifier les spammeurs et empêcher les e-mails malveillants d’envahir les boîtes de réception des consommateurs tout en minimisant les faux positifs et en fournissant de meilleurs rapports d’authentification pour une plus grande transparence sur le marché.

Votre enregistrement DMARC est publié avec vos enregistrements DNS et comprend notamment:

  • SPF
  • Un enregistrement
  • CNAME
  • (DKIM)

Il est important de noter que tous les serveurs de réception n’effectueront pas une vérification DMARC avant d’accepter un message, mais que tous les principaux FAI le font et l’implémentation se développe.

Quels sont les avantages de DMARC?

Il y a quelques raisons principales pour lesquelles vous voudriez implémenter DMARC:

  1. Réputation

    La publication d’un enregistrement DMARC protège votre marque en empêchant les parties non authentifiées d’envoyer du courrier à partir de votre domaine. Dans certains cas, la simple publication d’un enregistrement DMARC peut entraîner une augmentation positive de la réputation.

  2. Visibilité

    Les rapports DMARC augmentent la visibilité de votre programme de messagerie en vous indiquant qui envoie des e-mails depuis votre domaine.

  3. Sécurité

    DMARC aide la communauté de messagerie à établir une politique cohérente pour traiter les messages qui ne parviennent pas à s’authentifier. Cela aide l’écosystème de messagerie dans son ensemble à devenir plus sûr et plus fiable.

À quoi ressemble un enregistrement DMARC?

Vous pouvez voir à quoi ressemble un enregistrement DMARC en tapant dmarc.sendgrid.net > dans votre Terminal. Vous pouvez aussi aller sur https://dmarcian.com/dmarc-inspector/ pour afficher l’enregistrement DMARC pour n’importe quel domaine s’il en a 1 publié.

Voici un exemple d’enregistrement DMARC – il s’agit de l’enregistrement DMARC de SendGrid:

v = DMARC1 ; p = none ; rua = mailto: dmarc@sendgrid.com ; ruf = mailto: dmarc@sendgrid.com ; rf = afrf ; pct = 100

Décomposons-le

“V = DMARC1”

Version – Il s’agit de l’identifiant que le serveur de réception recherche lorsqu’il analyse l’enregistrement DNS pour le domaine dont il a reçu le message. Si le domaine ne possède pas d’enregistrement txt commençant par v = DMARC1, le serveur de réception n’exécutera pas de vérification DMARC.

“P = aucun”

Politique – La politique que vous sélectionnez dans votre enregistrement DMARC indiquera au serveur de messagerie destinataire participant quoi faire avec le courrier qui ne passe pas SPF et DKIM, mais prétend provenir de votre domaine. Dans ce cas, la stratégie est définie sur «aucune». Il existe 3 types de politiques que vous pouvez définir:

    1. p = aucun – Dites au destinataire de n’effectuer aucune action contre le courrier non qualifié, mais envoyez toujours des rapports par courrier électronique au mailto: dans le dossier DMARC pour toute infraction.
    2. p = quarantaine – Dites au destinataire de mettre en quarantaine le courrier non qualifié, ce qui signifie généralement «envoyez-le directement dans le dossier spam».
    3. p = rejet – Dites au destinataire de refuser complètement tout courrier non qualifié pour le domaine. Avec cette option activée, seul le courrier dont la signature est confirmée à 100% par votre domaine aura même une chance dans la boîte de réception. Tout courrier qui ne passe pas est noirci – pas renvoyé – il n’y a donc aucun moyen de détecter les faux positifs.

“Rua =mailto: dmarc@sendgrid.com

Cette partie indique au serveur de réception où envoyer des rapports agrégés d’échecs DMARC. Des rapports agrégés sont envoyés quotidiennement à l’administrateur du domaine auquel appartient l’enregistrement DMARC. Ils incluent des informations de haut niveau sur les échecs DMARC mais ne fournissent pas de détails précis sur chaque incident. Cela peut être n’importe quelle adresse e-mail que vous choisissez.

“Ruf = mailto: dmarc@sendgrid.com”

Cette partie indique au serveur de réception où envoyer les rapports médico-légaux d’échecs DMARC. Ces rapports médico-légaux sont envoyés en temps réel à l’administrateur du domaine auquel appartient l’enregistrement DMARC et contiennent des détails sur chaque défaillance individuelle. Cette adresse e-mail doit provenir du domaine pour lequel l’enregistrement DMARC est publié.

rf = afrf ”

Format de rapport. Cette partie indique au serveur de réception quel type de rapport le titulaire de police souhaite. Dans ce cas rf = afrf signifie un format de rapport de défaillance global.

“Pct = 100”

Pourcentage – Cette partie indique au serveur récepteur la quantité de courrier qui doit être soumise aux spécifications de la politique DMARC. Vous pouvez choisir n’importe quel nombre entre 1-100. Dans ce cas, si le p = était défini sur rejeter, 100% du courrier qui échoue DMARC serait rejeté.

Il existe un certain nombre d’autres mécanismes qui peuvent être inclus dans un enregistrement DMARC. Quelques exemples notables:

“Sp =” Cette partie indique au serveur récepteur s’il faut appliquer ou non la politique DMARC aux sous-domaines.

“Adkim =” Cela définit l’alignement DKIM. Il peut être réglé sur «s» pour strict ou «r» pour détendu. Strict signifie que la partie DKIM de l’authentification DMARC ne passera que si le champ d = dans la signature DKIM correspond exactement au domaine from. S’il est défini sur assoupli, les messages passeront la partie DKIM de l’authentification DMARC si le champ DKIM d = correspond au domaine racine de l’adresse d’expéditeur.

“Ri =” Cela définit la fréquence à laquelle vous souhaitez recevoir des rapports agrégés sur les échecs DMARC.

Comment implémenter DMARC avec Twilio SendGrid?

Avant de passer par le travail de mise en œuvre de DMARC, notez qu’il n’est pas pour tout le monde. Si vous possédez un petit domaine, vous êtes probablement d’accord sans lui. Cependant, c’est une décision intelligente si vous avez déjà eu des problèmes d’hameçonnage dans le passé ou si vous avez une entreprise à vocation financière qui traite des informations sensibles.

Une autre chose à garder à l’esprit est que l’agrégat DMARC et les rapports médico-légaux sont conçus pour être lisibles par machine. Il peut être difficile pour les humains de les comprendre, vous devrez donc également utiliser un service de surveillance des rapports DMARC pour collecter les rapports et accéder aux informations. Moniteur de marque de Return Path et Agari sont deux bonnes options.

Une fois que vous avez décidé de mettre en œuvre et sélectionné les bons services, le processus de configuration de DMARC comprend 5 phases:

1. Déployez DKIM et SPF en marquant en blanc votre IP Sendgrid

Terminez le processus d’étiquette blanche pour votre compte. Cela garantit que les e-mails envoyés via votre compte Twilio SendGrid seront correctement signés à l’aide de DKIM et SPF pour votre domaine unique.

Si vous ne savez pas comment effectuer cette première étape, visitez notre documentation ici pour aider.

2. Vérifiez la signature DKIM et SPF appropriée pour votre domaine de marque blanche

Envoyez-vous des e-mails de test pour confirmer que tout fonctionne correctement. Vous cherchez à vérifier que les signatures DKIM et SPF dans vos en-têtes de courrier électronique correspondent au domaine que vous avez utilisé pour mettre en marque blanche votre compte SendGrid. Tant que les deux passent, vous êtes en affaires!

3. Publiez un enregistrement DMARC avec votre registraire DNS, puis surveillez les résultats

Au sein de votre registraire DNS, vous devez créer un enregistrement de ressource TXT que les récepteurs peuvent utiliser pour déterminer vos préférences DMARC. Cela se fait dans le registraire DNS de l’hôte de domaine, qui est probablement le même endroit où vous avez créé les enregistrements DNS pour l’étiquette blanche. Cet enregistrement est effectué au niveau racine du domaine, pas du sous-domaine.

Un simple enregistrement DMARC pourrait ressembler à ceci:

“v=DMARC1; p=quarantine; pct=100;
rua=mailto:dmarc.rua@whitelabeldomain.com”

«V = DMARC1; p = quarantaine; pct = 100; rua = mailto: dmarc.rua@whitelabeldomain.com ”*

  • v = DMARC1;
    Il est configuré pour utiliser DMARC version 1, il n’y a pas d’autre version actuellement. Réglez donc toujours 1.
  • p = quarantaine; *
    Cette politique indique au destinataire de QUARANTINE un courrier non qualifié, ce qui signifie généralement «envoyez-le directement dans le dossier spam».
  • pct = 100;
    Cela demande au destinataire d’évaluer 100% des messages prétendant provenir du domaine, ce nombre pouvant être compris entre 1 et 100.
  • rua = mailto: dmarc.rua@whitelabeldomain.com
    Cela indique aux destinataires d’envoyer des rapports agrégés à dmarc.rua@whitelabeldomain.com. Attribuez-lui une adresse e-mail que vous contrôlez et surveillée de près.

* Cet exemple utilise la politique de mise en quarantaine p =, mais nous vous recommandons de toujours commencer par utiliser la politique p = none au début.

4. Analysez les commentaires que vous recevez et ajustez vos flux de messagerie selon vos besoins

Si un e-mail non qualifié est envoyé et reçu par les destinataires participant au DMARC, le destinataire générera des rapports pour ces messages et les renverra à l’adresse mailto: spécifiée dans votre enregistrement DMARC.

Dans ces rapports, vous aurez des informations pour vous aider à évaluer exactement quels services peuvent envoyer du courrier au nom de votre domaine.

Voici un exemple de rapport avec seulement 1 enregistrement, montrant les résultats pour 2 courriers. (Veuillez noter que les résultats d’authentification SPF et DKIM répertoriés sont des résultats bruts, quel que soit l’alignement s =. Le nom de fichier est formaté comme suit: nom de fichier = récepteur “!” Domaine-politique “!” Début-horodatage “!” Fin-horodatage “. ”(Exemple: receiver.org! Sender.com! 1335571200! 1335657599.zip))

receiver.com

noreply-dmarc-support@receiver.com

http://receiver.com/dmarc/support

9391651994964116463

1335571200

1335657599

sender.com

r

r

aucun

aucun

100

72.150.241.94

2 aucun

échouer

passer

sender.com

sender.com

échouer

sender.net

passer

sender.com

passer

* Remarque: les rapports agrégés sont envoyés sous forme de pièce jointe .zip. Assurez-vous donc que l’adresse que vous définissez peut accepter les pièces jointes de ce type de fichier.

5. Escaladez vos balises de stratégie DMARC à mesure que vous apprenez

Maintenant que vous avez testé et peaufiné vos flux de messagerie pour déterminer exactement qui envoie des e-mails pour votre domaine, il est temps de monter d’un cran.

Jusqu’à présent, vous n’auriez dû utiliser la stratégie p = none que pour obtenir des rapports sur tout comportement errant, et vous devriez avoir une bonne idée de la provenance des e-mails. L’étape suivante consiste à ajuster la stratégie de votre enregistrement DMARC pour commencer à contrôler la façon dont les destinataires gèrent le courrier prétendant provenir de votre domaine. Rappelles toi:

  • p = none – Vous obtenez des rapports d’infractions, mais les destinataires ne prennent aucune mesure en ce qui concerne le traitement des messages eux-mêmes.
  • p = quarantaine – Le courrier non qualifié va directement au spam, mais peut être récupéré. Cela est utile lorsque vous êtes certain de connaître tous les emplacements d’où provient le courrier, mais que vous souhaitez “échouer” tous les messages non qualifiés jusqu’à ce que vous soyez sûr à 100%.
  • p = rejeter – Utilisez ceci lorsque vous êtes absolument sûr de connaître tous les serveurs et services qui envoient des e-mails pour votre domaine, et que la signature est en place pour chacun de ces services et que vous voulez que tout ce qui a l’audace de prétendre autrement soit complètement refusé. Le courrier non qualifié est complètement supprimé par le serveur de messagerie du destinataire, pour ne plus jamais être revu.

Pourquoi DMARC est si important

DMARC est une évolution importante de l’authentification des e-mails. Ceci est juste un autre excellent exemple d’envoyeurs d’e-mails et de FAI travaillant ensemble pour protéger le canal de messagerie. Pour en savoir plus sur DMARC, visitez le site Web de l’organisation à www.dmarc.org. Pour en savoir plus sur l’authentification, lire cet article de blog.

Ressources supplémentaires

Close Menu