Rechercher
Fermer cette boîte de recherche.

5 conseils pour bien gérer DMARC

Restez informé.e via les newsletters de Badsender

Chaque mois, nous publions une newsletter sur l’email marketing et une infolettre sur la sobriété et le marketing. Pour avoir plus de détails sur le contenu et le rythme de nos communications, rendez-vous ici.

Votre adresse email servira uniquement à vous envoyer nos newsletters et nos invitations. JAMAIS ô grand jamais, nous ne la communiquerons à un tiers. Vous pourrez vous désabonner à tout moment en un seul clic.

Depuis les annonces et les exigences de Google & Yahoo, avoir un enregistrement DMARC est devenu la base et peut vite amener des problématiques de délivrabilité s’il est mal géré ! Je vous propose dans cet article 5 conseils pour bien gérer votre enregistrement DMARC sur vos domaines afin d’éviter qu’il impacte négativement la bonne livraison de vos emails.

Conseil #01 : Déployer son enregistrement DMARC !

Pour bien gérer DMARC, la première chose à faire est d’avoir un enregistrement DMARC présent directement ou indirectement sur tous vos domaines et ce pour trois bonnes raisons !

  • La première bonne raison : Google et Yahoo exigent que chaque domaine expéditeur possède un enregistrement DMARC (pour le moment, uniquement pour les expéditeurs de masse › + 5000 emails/jour sur le domaine racine incluant aussi tous ses sous-domaines) ;
  • La seconde bonne raison : DMARC offre la possibilité aux annonceurs d’avoir des rapports d’activité de leur nom de domaine (un domaine racine et ses sous-domaines) ;
  • La troisième bonne raison : DMARC donne la possibilité de lutter contre le phishing en indiquant quoi faire avec un email qui ne serait pas conforme avec DMARC (cf. enregistrements SPF et DKIM non valide ou non alignés), c’est à dire soit le mettre en courrier indésirable, soit le rejeter !

› Exemple d’un enregistrement DMARC identifié sur le domaine avec le validateur de Dmarcian :

› Exemple d’un enregistrement DMARC non identifié sur le domaine avec le validateur de Dmarcian :

Conseil #02 : Déclarer correctement son enregistrement DMARC !

Il n’y a pas 50 façons pour déclarer un enregistrement DMARC sur son nom de domaine ! Par contre, quelques règles sont toutefois à respecter pour que l’enregistrement soit bien valide :

  • DMARC se déclare dans un enregistrement DNS de type TXT ;
  • DMARC se déclare sur le nom d’hôte (ou zone ou sous-domaine) _dmarc du domaine (ou sous-domaine);
  • Il ne doit y avoir qu’un seul enregistrement DMARC par domaine ;
  • La politique de sécurité doit être écrite en minuscule pour éviter toute ambiguïté ;
  • Les tags v (pour version) et p (pour la politique de sécurité) sont obligatoires et doivent se trouver dans cet ordre ;

C’est une liste non-exhaustive des problèmes que j’ai pu rencontrer lors de mes audits. Le site officiel de DMARC liste beaucoup plus d’erreurs quant à la déclaration de DMARC.

› Exemple de déclaration valide pour un enregistrement DMARC :

› Exemple de déclaration non valide pour un enregistrement DMARC :

Conseil #03 : Définir sa politique de sécurité DMARC !

La politique de sécurité DMARC consiste à dire aux serveurs distants (qui sont capables d’interpréter ces politiques) quoi faire en cas de non-conformité d’un email. À ce jour, il n’existe que TROIS valeurs possibles qui s’appliqueront au domaine où DMARC sera implémenté (p=) ou à tous ses sous-domaines (sp=) :

  • La policy none (ou p=none) : Aucun traitement de l’email non-conforme ne sera fait, l’email pourra être délivré en boite de réception ou en spam.
  • La policy quarantine (ou p=quarantine) : L’email non-conforme sera délivré en courrier indésirable.
  • La policy reject (p=reject) : L’email non-conforme ne sera pas délivré et un bounce sera envoyé à l’expéditeur.

Toute autre déclaration de policy amènera chez les FAI / Webmails des comportements différents :

  • Gmail : Transforme la valeur existante par none (dmarc=pass p=NONE sp=NONE) ;
  • Microsoft : Produit comme résultat une erreur permanente (dmarc=permerror) ;
  • Yahoo : Produit un résultat inconnu (dmarc=unknown) ;
  • La Poste : Ignore l’enregistrement (dmarc=none reason= »No policy found »).

› Exemple de politique de sécurité valide pour un enregistrement DMARC :

› Exemple de politique de sécurité non valide pour un enregistrement DMARC :

Petit warning sur les domaines BtoB, j’ai déjà pu remarquer que sur certains domaines étaient beaucoup sévères et refusaient tout email (avec un bounce bien définit) ayant un enregistrement DMARC non valide !

Conseil #04 : Définir son attribut RUA !

Avoir DMARC c’est bien… Avec une politique de sécurité restrictive c’est mieux ! Mais la cerise sur le gâteau serait de monitorer les rapports d’authentification envoyés par tout organisme supportant DMARC. Et pour cela, il faudra déclarer dans son enregistrement DMARC un attribut RUA (Reporting URI for Aggregate data) accompagné d’une adresse email (sans oublier le mailto) qui permettra de recevoir tous les rapports agrégés de votre domaine expéditeur.

› Exemple de déclaration RUA valide appartenant au domaine badsender.com :

› Exemple de déclaration RUA non valide appartenant au domaine badsender.com :

Je fais tout de même un petit warning sur l’utilisation de l’adresse email qui recevra les rapports DMARC. Si vous utilisez un domaine externe au domaine expéditeur, celui-ci doit paramétrer un enregistrement DMARC spécial (cf. de confiance) qui lui permettra de recevoir tous les rapports d’authentification pour un domaine expéditeur. Sans ce paramétrage, le nombre de rapports reçus sera très limité, voir nul.
Dans l’exemple ci-dessous, Google n’autorise pas (et n’aime pas d’ailleurs) pleinement la réception des rapports DMARC avec une adresse gmail.com, ce qui aura pour effet de limiter très fortement la réception des rapports dans votre boite mail Gmail…

Conseil #05 : Utiliser un outil pour monitorer ses rapports !

Si vous avez l’intention de monitorer vos rapports DMARC (c’est trop cool), il vous faudra vous équiper ! Les rapports DMARC sont au format XML et donc peuvent vite être très compliqué à lire / déchiffrer puisqu’ils vont contenir des milliers de lignes. L’utilisation d’une plateforme vous permettra de lire vos rapports simplement et de voir si vous avez des problèmes d’authentification ou d’utilisation frauduleuse ou malveillante !

Voici une liste (non-exhaustive que je remplirai au fur et à mesure) d’outils disponibles actuellement sur le marché :

Redsfit OndmarcDmarcianDmarc AdvisorPower DmarcEverest
Easy DmarcDmarc AnalyserDmarc.frUri PortsDmarc Eye
MeroxDmarc DigestsDmarclyPostmark DmarcEmailConsul
ValimailGlock AppsMailer Check

Par contre, ils ont tous des prix et des options très variables. À voir suivant les besoins de l’annonceur.

Conclusion

Avec ses 5 Conseils, vous pourrez aisément mettre en place DMARC sans effet indésirable sur la bonne livraison de vos emails.
Si toutefois vous n’avez pas la capacité de suivre ses flux, n’hésitez pas à faire appel à nos services 🙂

Lors d’un prochain article sur DMARC, je vous parlerai des différentes stratégies de déploiement à mettre en place en fonction de vos domaines (et sous-domaines) mais également la gestion des politiques de sécurité à appliquer. Bref, tout un programme 🙂

Vous pouvez retrouver ci-dessous nos différents articles dédiés aux authentifications emails :

Partagez
L’auteur

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *