<dmarc> detects fake emails

Logo dmarc

Explication de DMARC

DMARC signifie : « Domain-based Message Authentication, Reporting and Conformance » (Authentification, rapport et conformité des messages basés sur le domaine).
Il s'agit d'une norme d'authentification des e-mails, mise au point pour lutter contre les e-mails provenant de domaines usurpés.

Expéditeurs :

  • authentifier leurs e-mails à l'aide des protocoles SPF et DKIM
  • publier une « politique DMARC » décrivant la manière de traiter les e-mails non authentifiés

Receveurs :

  • traiter les e-mails non authentifiés en fonction de la « politique DMARC » de l'expéditeur
  • informer l'expéditeur du résultat

Chez certains fournisseurs de messagerie, cela a une incidence significative sur la délivrabilité ; voir :
Fonctionnement de DMARC avec Gmail et Office 365 en 2020 *
« Office 365 réagit généralement bien aux authentifications SPF et DKIM.
La seule façon d'obtenir des résultats constants et d'atteindre la boîte de réception est de les associer à DMARC »

* = lien vers un site web externe, s'ouvrira dans une nouvelle fenêtre

Comment faire fonctionner DMARC

DMARC utilise les protocoles SPF (Sender Policy Framework) et DKIM (Domain Keys Identified Mail)
pour gérer les cas où un e-mail échoue aux tests d'authentification.

Le protocole SPF exige que vous indiquiez les serveurs que vous utilisez pour envoyer des e-mails.
Consultez les instructions de configuration du protocole SPF pour en savoir plus et le configurer correctement.

Les serveurs SMTP RealSender signent tous les e-mails sortants à l'aide de la signature DKIM.
Une configuration est nécessaire si vous souhaitez signer avec le même domaine que celui de l'expéditeur.
Consultez la procédure de configuration de DKIM pour en savoir plus.

RealSender met à votre disposition une boîte aux lettres qui recueille les rapports DMARC générés par les destinataires.

Comment configurer DMARC

  1. Au début, vous devez définir la balise de stratégie sur « none » (p=none),
    ce qui signifie que le fournisseur de messagerie ne traitera pas les e-mails usurpés ou issus d'hameçonnage.
    Vous devez ajouter un enregistrement TXT sur votre domaine (exemple.com), qui devrait ressembler à ceci : 
_dmarc.example.com. IN TXT "v=DMARC1; p=none; rua=mailto:dmarc.example@rsbox.com"

  1. Dès le lendemain, vous commencerez à recevoir les rapports DMARC RUA en ligne.

    Vous pourriez vous rendre compte que vous avez oublié d'authentifier une campagne d'e-mails envoyée par un tiers.
    Si cela se produit, il vous suffit de l'authentifier et de vérifier que le prochain envoi passe les tests DMARC.

  2. Une fois que les rapports se seront confirmés pendant quelques semaines, demandez aux fournisseurs de messagerie de rejeter/bloquer ces e-mails usurpés ou de hameçonnage.

    L'enregistrement TXT _dmarc de votre domaine doit être modifié pour ressembler à ceci :

« v=DMARC1 ; p=reject ; rua=mailto:dmarc.example@rsbox.com »

Inconvénients de DMARC

Si votre organisation utilise le protocole DMARC, vous devrez consulter attentivement la page
avant de mettre en place toute nouvelle méthode d'envoi d'e-mails.

Dmarc applique des règles strictes concernant la manière dont les protocoles SPF et DKIM sont vérifiés
ce qui peut entraîner le rejet par les fournisseurs de messagerie de courriels qui, autrement, auraient satisfait à ces tests
.

Même si tout est correctement configuré, la vérification peut échouer :

  • la vérification SPF, pour déterminer si l'e-mail a été redirigé (transféré) ou envoyé via une liste de diffusion
  • la vérification DKIM, si le message a été modifié, ce qui invalide la signature DKIM

<dmarc> rua reports online