Délivrabilité email : Implémenter DMARC pour protéger vos domaines !

Beaucoup de monde me pose la question de savoir s’ils doivent implémenter DMARC ou non et surtout à quoi ça sert réellement (et si ceci leur servira)… La réponse est ci-dessous 🙂

DMARC, vous avez dit DMARC ?

Qu’est-ce que c’est ?

DMARC (Domain-based Message Authentication, Reporting and Conformance) est une norme (ou une spécification technique) qui permet de surveiller les problèmes liés à l’authentification des e-mails et à l’usage abusif des noms de domaine.

L’objectif de cette norme est de lutter plus efficacement contre le spam et le phishing (cf. usurpation d’identité). Elle utilise les systèmes d’authentification SPF / DKIM.

Comment ça fonctionne ?

Le fonctionnement est assez simple mais il demande une maitrise technique pour son implémentation. Le schéma suivant a pour but de résumer et simplifier au maximum le fonctionnement de DMARC :

  1. Un annonceur envoie une campagne de masse (ou un message transactionnel).
  2. Le filtre Anti-Spam analyse la réputation de l’annonceur (réputation IP, réputation de domaines, vérification sur les listes noires internes/externes). Si celle-ci est mauvaise, le message sera refusé. Si celle-ci est bonne, le message sera accepté et passera au point 3.
  3. Le filtre Anti-Spam va vérifier les systèmes d’authentification et en cas d’échec va appliquer la règle de sécurité en concordance avec la déclaration faite dans le tag « p ». Il existe 3 paramétrages possibles :
    • P=none ; aucune règle ne sera appliqué, le message sera accepté.
    • P=quarantine ; le message sera tagué comme spam et sera délivré en spam
    • P=reject ; le message sera refusé automatiquement.
      Les règles DMARC ne s’appliquent que si le FAI/Webmails applique DMARC dans sa politique de sécurité. L’interprétation de « quarantine » et « reject » peut varier de l’un à l’autre.
  4. Si le message passe les règles DMARC, il sera confronté aux dernières règles de filtrage (analyse du contenu, liste verte, etc.)

Comment l’implémenter ?

Les pre-requis

Pour que DMARC soit efficace, il vous faudra paramétrer les systèmes d’authentification SPF et DKIM et bien sûr que vous soyez le propriétaire du domaine (on favorisera l’implémentation de DMARC sur le domaine principal, ce qui permettra de protéger également les sous-domaines).

  • Petit rappel de SPF : Sender Policy Framework permet de déclarer dans l’enregistrement TXT du domaine (ou sous-domaine) les IP autorisées à envoyer des e-mails.
  • Petit rappel de DKIM : DomainKey Identified Mail permet de signer grâce à une signature cryptographique (clé publique – clé privée) un message et de s’assurer que celui-ci ne soit intercepté/modifié durant sa livraison.

Donc, avant de vous lancer dans l’implémentation de DMARC, soyez bien sûr que SPF et DKIM soient correctement implémentés.

N’hésitez pas à utiliser les outils suivants pour le vérifier :

L’implémentation

L’implémentation reste simple, il suffit de paramétrer le tag dans l’enregistrement TXT du domaine.

Le tag est composé d’éléments « obligatoires » :

  • v : définit la version du protocole
  • p : définit la règle de sécurité applicable (valeurs « none », « quarantine », « reject »)

Mais il peut être composé d’éléments « facultatifs » :

  • pct : définit le pourcentage qui sera soumis au filtrage
  • rua : définit l’adresse e-mail qui recevra le rapport DMARC
  • sp : définit la règle applicable aux sous-domaines du domaine
  • aspf : définit l’alignement pour SPF (valeurs « s » pour strict, « r » pour relaxed ou assoupli)
  • adkim : définit l’alignement pour DKIM (valeurs « s » pour strict, « r » pour relaxed ou assoupli)

Points de vigilance

  • Avant d’installer DMARC sur un domaine (ou sous-domaine), soyez sûr que tout ancien paramétrage (SPF/DKIM/DMARC) soit supprimé, ceci afin d’éviter les doublons ou les rejets suite à un paramétrage « strict » ou à un oubli dans la déclaration SPF.
  • Procéder à un paramétrage optimal de DMARC en 10 semaines afin de s’assurer que tout est ok avant d’appliquer un niveau de sécurité maximum.
    • 1ère semaine : paramétrage à « none ».
    • 2ème semaine : paramétrage à « quarantine » à 5%
    • 3ème semaine : paramétrage à « quarantine » à 15%
    • 4ème semaine : paramétrage à « quarantine » à 25%
    • 5ème semaine : paramétrage à « quarantine » à 50%
    • 6ème semaine : paramétrage à « quarantine » à 100%
    • 7ème semaine : paramétrage à « reject » à 5%
    • 8ème semaine : paramétrage à « reject » à 15%
    • 9ème semaine : paramétrage à « reject » à 25%
    • 10ème semaine : paramétrage à « reject » à 50%
    • 11ème semaine : paramétrage à « reject » à 100%
  • Appliquer DMARC sur le domaine principal pour protéger tout le domaine (et ses sous-domaines). Ne pas oublier d’inclure dans SPF, toutes les IP autorisées à router des e-mails avec le domaine (cf. IP du routeur professionnel si vous en utilisez un).

Conclusion

Vous n’avez plus d’excuses à présent pour ne plus protéger vos noms de domaines. Et ceci pourrait même vous donner des points positifs pour votre réputation 😉

A noter que La Poste (depuis juin 2017) vérifie dorénavant DMARC et applique les règles de sécurité (première en France).

Sources :

Besoin d’un outil pour suivre vos rapports DMARC ?

Découvrez notre suite de monitoring délivrabilité

A propos de Sébastien Fischer

Sébastien est la principal intervenant autour des questions de délivrabilité dans l'équipe de Badsender. Il travail sur le sujet depuis plus de 10 ans, et a passé toute sa carrière chez des routeurs dont Emailvision, Adobe Campaign ou Cabestan.

Check Also

Délivrabilité : Quelles différences il y a-t-il entre black, white, green et grey listing ?

Trop souvent j’ai entendu des marketeurs s’écrier au téléphone « Je suis blacklisté par Orange, …

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *