3 - Alignement DMARC

Logo dmarc


DMARC (Domain-based Message Authentication, Reporting and Conformance),
est une norme d'authentification des e-mails, conçue pour lutter contre les e-mails provenant de domaines usurpés.

Au chapitre « 3.1. Alignement des identifiants », il est indiqué :

   Les technologies d'authentification des e-mails authentifient divers aspects (et
   disparates) d'un message individuel.  Par exemple, [DKIM]
   authentifie le domaine qui a apposé une signature au message,
   tandis que [SPF] peut authentifier soit le domaine qui apparaît dans la
   partie RFC5321.MailFrom (MAIL FROM) du protocole [SMTP], soit le domaine RFC5321.EHLO/
   HELO, ou les deux.  Il peut s'agir de domaines différents, et ils ne sont
   généralement pas visibles pour l'utilisateur final.

   DMARC authentifie l'utilisation du domaine RFC5322.From en exigeant qu'
   il corresponde (soit aligné avec) un identifiant authentifié.
   
   -- https://tools.ietf.org/html/rfc7489#section-3.1

Cela signifie tout simplement :

   lorsqu'un expéditeur authentifie son e-mail à l'aide de SPF et/ou DKIM,  
   au moins l'un des domaines doit correspondre au domaine « De » de l'expéditeur

Cette approche est largement acceptée et généralement considérée
comme une bonne pratique pour identifier les domaines d'expéditeurs de confiance.


**RealSender MX Protect vérifie la conformité « relaxed » de la configuration DMARC par défaut :**

  • Pour l'authentification SPF
    le domaine racine de l'adresse « Mail From » doit correspondre au domaine racine de l'adresse « From ».
    L'alignement assoupli permet d'utiliser n'importe quel sous-domaine tout en respectant l'exigence d'alignement des domaines.

  • Pour l'authentification DKIM
    la racine du domaine de signature DKIM doit correspondre au domaine « From ».
    L'alignement assoupli permet d'utiliser n'importe quel sous-domaine tout en respectant l'exigence d'alignement des domaines.


**Résultats possibles :**

  1. les deux règles sont respectées
    le domaine de l'expéditeur est entièrement fiable,
    le message arrive sans modification

  2. si une seule des deux règles est respectée
    le symbole ~ (tilde) est ajouté au sujet,
    l'une des notes explicatives suivantes est insérée dans l'en-tête du message

~ ... objet ...
X-RealSender : ~ | spf=pass (domaine NON aligné) | dkim=pass | ~
~ ... objet ...
X-RealSender : ~ | spf=pass | dkim=pass (domaine NON aligné) | ~
  1. aucun alignement
    les avertissements « :: spf-diff :: » et « :: dkim-diff :: »
    apparaissent dans l'objet

Dis-m'en plus