Délivrabilité email : Implémenter DMARC pour protéger vos domaines !

Restez informé·e via les newsletters de Badsender

Chaque mois, nous publions une newsletter sur l’email marketing et une infolettre sur la sobriété et le marketing. En savoir plus.

Votre adresse email ne sera jamais communiquée à un tiers. Vous pourrez vous désabonner à tout moment en un seul clic.

Beaucoup de monde me pose la question de savoir s’ils doivent implémenter DMARC ou non et surtout à quoi ça sert réellement (et si ceci leur servira)… La réponse est ci-dessous 🙂

DMARC, vous avez dit DMARC ?

Qu’est-ce que c’est ?

DMARC (Domain-based Message Authentication, Reporting and Conformance) est une norme (ou une spécification technique) qui permet de surveiller les problèmes liés à l’authentification des e-mails et à l’usage abusif des noms de domaine.

L’objectif de cette norme est de lutter plus efficacement contre le spam et le phishing (cf. usurpation d’identité). Elle utilise les systèmes d’authentification SPF / DKIM.

Comment ça fonctionne ?

Le fonctionnement est assez simple mais il demande une maitrise technique pour son implémentation. Le schéma suivant a pour but de résumer et simplifier au maximum le fonctionnement de DMARC :

  1. Un annonceur envoie une campagne de masse (ou un message transactionnel).
  2. Le filtre Anti-Spam analyse la réputation de l’annonceur (réputation IP, réputation de domaines, vérification sur les listes noires internes/externes). Si celle-ci est mauvaise, le message sera refusé. Si celle-ci est bonne, le message sera accepté et passera au point 3.
  3. Le filtre Anti-Spam va vérifier les systèmes d’authentification et en cas d’échec va appliquer la règle de sécurité en concordance avec la déclaration faite dans le tag « p ». Il existe 3 paramétrages possibles :
    • P=none ; aucune règle ne sera appliqué, le message sera accepté.
    • P=quarantine ; le message sera tagué comme spam et sera délivré en spam
    • P=reject ; le message sera refusé automatiquement.
      Les règles DMARC ne s’appliquent que si le FAI/Webmails applique DMARC dans sa politique de sécurité. L’interprétation de « quarantine » et « reject » peut varier de l’un à l’autre.
  4. Si le message passe les règles DMARC, il sera confronté aux dernières règles de filtrage (analyse du contenu, liste verte, etc.)

Comment l’implémenter ?

Les pre-requis

Pour que DMARC soit efficace, il vous faudra paramétrer les systèmes d’authentification SPF et DKIM et bien sûr que vous soyez le propriétaire du domaine (on favorisera l’implémentation de DMARC sur le domaine principal, ce qui permettra de protéger également les sous-domaines).

  • Petit rappel de SPF : Sender Policy Framework permet de déclarer dans l’enregistrement TXT du domaine (ou sous-domaine) les IP autorisées à envoyer des e-mails.
  • Petit rappel de DKIM : DomainKey Identified Mail permet de signer grâce à une signature cryptographique (clé publique – clé privée) un message et de s’assurer que celui-ci ne soit intercepté/modifié durant sa livraison.

Donc, avant de vous lancer dans l’implémentation de DMARC, soyez bien sûr que SPF et DKIM soient correctement implémentés.

N’hésitez pas à utiliser les outils suivants pour le vérifier :

L’implémentation

L’implémentation reste simple, il suffit de paramétrer le tag dans l’enregistrement TXT du domaine.

Besoin d'aide ?

Lire du contenu ne fait pas tout. Le mieux, c’est d’en parler avec nous.


Le tag est composé d’éléments « obligatoires » :

  • v : définit la version du protocole
  • p : définit la règle de sécurité applicable (valeurs « none », « quarantine », « reject »)

Mais il peut être composé d’éléments « facultatifs » :

  • pct : définit le pourcentage qui sera soumis au filtrage
  • rua : définit l’adresse e-mail qui recevra le rapport DMARC
  • sp : définit la règle applicable aux sous-domaines du domaine
  • aspf : définit l’alignement pour SPF (valeurs « s » pour strict, « r » pour relaxed ou assoupli)
  • adkim : définit l’alignement pour DKIM (valeurs « s » pour strict, « r » pour relaxed ou assoupli)

Points de vigilance

  • Avant d’installer DMARC sur un domaine (ou sous-domaine), soyez sûr que tout ancien paramétrage (SPF/DKIM/DMARC) soit supprimé, ceci afin d’éviter les doublons ou les rejets suite à un paramétrage « strict » ou à un oubli dans la déclaration SPF.
  • Procéder à un paramétrage optimal de DMARC en 10 semaines afin de s’assurer que tout est ok avant d’appliquer un niveau de sécurité maximum.
    • 1ère semaine : paramétrage à « none ».
    • 2ème semaine : paramétrage à « quarantine » à 5%
    • 3ème semaine : paramétrage à « quarantine » à 15%
    • 4ème semaine : paramétrage à « quarantine » à 25%
    • 5ème semaine : paramétrage à « quarantine » à 50%
    • 6ème semaine : paramétrage à « quarantine » à 100%
    • 7ème semaine : paramétrage à « reject » à 5%
    • 8ème semaine : paramétrage à « reject » à 15%
    • 9ème semaine : paramétrage à « reject » à 25%
    • 10ème semaine : paramétrage à « reject » à 50%
    • 11ème semaine : paramétrage à « reject » à 100%
  • Appliquer DMARC sur le domaine principal pour protéger tout le domaine (et ses sous-domaines). Ne pas oublier d’inclure dans SPF, toutes les IP autorisées à router des e-mails avec le domaine (cf. IP du routeur professionnel si vous en utilisez un).

Conclusion

Vous n’avez plus d’excuses à présent pour ne plus protéger vos noms de domaines. Et ceci pourrait même vous donner des points positifs pour votre réputation 😉

A noter que La Poste (depuis juin 2017) vérifie dorénavant DMARC et applique les règles de sécurité (première en France).

Sources :

 

Badsender vous accompagne dans votre déploiement DMARC

Le déploiement de DMARC n’est pas à réaliser “à la légère”. C’est plus que simplement ajouter un nouvel enregistrement DNS. Badsender accompagne ses clients dans la sécurisation de leurs flux emails via DMARC :

  1. Mise en place d’une solution de monitoring DMARC : configuration des noms de domaines, création de filtres et de tableaux de bords dans l’outil de monitoring, création d’alertes automatisées, …
  2. Audit des flux emails : vérification de l’authentification des différents flux, validation de l’alignement des noms de domaines, détection des flux illégitimes, …
  3. Mise en conformité des différentes sources d’emails : montée en compétence des équipes, validation de modifications effectuées, …
  4. Passage progressif à une policy=reject : une fois un niveau de conformité acceptable atteint, passage progressive en politique de rejet.
  5. Configuration de BIMI

La philosophie de travail de Badsender est de vous apporter les outils, mais surtout les compétences afin que vous équipes puissent devenir autonomes sur le sujet de DMARC. Après une phase active de déploiement de DMARC, nous restons disponibles au besoin sous forme de support dédié.

Soutenez l'initiative "Email Expiration Date"

Brevo et Cofidis soutiennent financièrement le projet. Rejoignez le mouvement et ensemble, responsabilisons l’industrie de l’email face à l’urgence climatique.

Partagez
L’auteur

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *