Fonctionnement de DMARC - mise à jour
Comment fonctionne DMARC avec Gmail et Office 365 ? (mise à jour)
Nous avons de nouveau testé l'impact de l'authentification des e-mails sur le taux de livraison
vers les boîtes de réception Gmail et Office 365, les fournisseurs de messagerie professionnelle les plus populaires.
Les résultats peuvent être classés en deux catégories :
livraison des e-mails
(comment les protocoles SPF, DKIM et DMARC influencent la livraison des messages envoyés)
# Gmail: les e-mails sont toujours acceptés, l'authentification SPF ne semble pas être prise en compte du tout
La signature DKIM n'est vérifiée que si elle correspond à l'adresse e-mail de l'expéditeur et si DMARC est configuré avec la politique « quarantaine » ou « rejet ».
# Office 365: réagit pleinement au SPF ; lorsqu’un message passe le contrôle SPF, il arrive dans la boîte de réception.
La signature DKIM n’est prise en compte que si elle correspond à l’adresse e-mail de l’expéditeur ; sinon, elle n’a aucune importance.
Remarques : au cours de la dernière semaine d'août, Office 365 a présenté un comportement étrange :
seuls les messages signés avec DKIM (domaine de signature correspondant à l'adresse d'expéditeur)
et pour lesquels un enregistrement DMARC était défini (avec n'importe quelle politique) ont été remis dans la boîte de réception
protection contre l'usurpation d'identité
(comment SPF, DKIM et DMARC protègent l'adresse e-mail de l'expéditeur contre l'usurpation*)
* = faire en sorte que le message semble provenir d'une personne autre que l'expéditeur réel
# Gmail: en activant DMARC, les expéditeurs usurpés sont filtrés vers le dossier Spam (avec p=quarantine) ou rejetés (avec p=reject).
Rien ne se passe si la politique est définie sur « none » (p=none) ; dans ce cas, tous les messages parviennent dans la boîte de réception.
# Office 365: les résultats « spf fail » ou « spf softfail » suffisent à envoyer les faux expéditeurs dans le dossier Courrier indésirable.
exigences en matière d'authentification
Les exigences proposées en matière d'authentification des e-mails peuvent se résumer comme suit :
| livraison des e-mails | protection contre l'usurpation d'identité | |
|---|---|---|
| Gmail | Mot de passe DKIM (aligné sur le domaine) | paramètre DMARC défini avec p=quarantine ou p=reject |
| Office 365 | SPF validé et DKIM validé (aligné sur le domaine) | Configuration SPF et DMARC (pour plus de sécurité) |
Résultats du test d'envoi d'e-mails
Vous trouverez ci-dessous la liste complète des tests qui ont été effectués
| Gmail | de Gmail (configuration DMARC) |
Office 365 | s Office 365 (configuration DMARC) |
||
|---|---|---|---|---|---|
| spf Pass | dkim : aucun | boîte de réception | boîte de réception | boîte de réception | boîte de réception |
| Échec de l'authentification SPF | dkim : aucun | boîte de réception | spam | bric-à-brac | bric-à-brac |
| spf SoftFail | dkim : aucun | boîte de réception | spam | bric-à-brac | bric-à-brac |
| sans indice de protection solaire | dkim : aucun | boîte de réception | spam | bric-à-brac | bric-à-brac |
| spf Pass | Différence DKIM | boîte de réception | boîte de réception | boîte de réception | boîte de réception |
| Échec de l'authentification SPF | Différence DKIM | boîte de réception | spam | bric-à-brac | bric-à-brac |
| spf SoftFail | Différence DKIM | boîte de réception | spam | bric-à-brac | bric-à-brac |
| sans indice de protection solaire | Différence DKIM | boîte de réception | spam | bric-à-brac | bric-à-brac |
| spf Pass | mot de passe DKIM | boîte de réception | boîte de réception | boîte de réception | boîte de réception |
| Échec de l'authentification SPF | mot de passe DKIM | boîte de réception | boîte de réception | boîte de réception | boîte de réception |
| spf SoftFail | mot de passe DKIM | boîte de réception | boîte de réception | boîte de réception | boîte de réception |
| sans indice de protection solaire | mot de passe DKIM | boîte de réception | boîte de réception | boîte de réception | boîte de réception |
| spf Pass | DKI non valide | boîte de réception | boîte de réception | boîte de réception | boîte de réception |
| Échec de l'authentification SPF | DKI non valide | boîte de réception | spam | bric-à-brac | bric-à-brac |
| spf SoftFail | DKI non valide | boîte de réception | spam | bric-à-brac | bric-à-brac |
| sans indice de protection solaire | DKI non valide | boîte de réception | spam | bric-à-brac | bric-à-brac |
Remarques :
- l'adresse « De » (expéditeur visible) et le champ « Mail-from » (également appelé « envelope-from » ou « return-path ») sont identiques ; ils renvoient au même domaine
- « dkim pass » : le domaine de signature DKIM correspond à celui de l'adresse d'expéditeur (les domaines sont alignés)
- « dkim diff » : le domaine de signature DKIM est différent de celui de l'adresse d'expéditeur (les domaines ne correspondent PAS)