Les enregistrements DMARC (Domain-based Message Authentication, Reporting and Conformance) constituent la pierre angulaire de l’authentification des e-mails, protégeant les organisations contre les attaques sophistiquées de phishing et d’usurpation d’identité qui coûtent aux entreprises plus de 12 milliards de dollars par an. Comprendre la syntaxe précise et les options de configuration est essentiel pour implémenter des politiques de sécurité e-mail efficaces qui protègent la réputation de votre domaine.

Un enregistrement DMARC correctement configuré agit comme un ensemble d’instructions de politique publié dans votre DNS, indiquant aux serveurs de messagerie récepteurs comment traiter les e-mails qui échouent aux vérifications d’authentification. Ce guide complet détaille chaque composant de la syntaxe DMARC, fournissant la profondeur technique nécessaire pour configurer une protection e-mail robuste.

Comprendre la structure des enregistrements DMARC

Les enregistrements DMARC suivent un format spécifique balise-valeur publié sous forme d’enregistrements TXT dans le DNS. L’enregistrement doit être placé au sous-domaine _dmarc sous votre domaine principal, créant l’entrée DNS complète _dmarc.votredomaine.com.

Format d’enregistrement DMARC de base

v=DMARC1; p=none; rua=mailto:[email protected]

Chaque enregistrement DMARC commence par la balise de version et inclut des instructions de politique. Le point-virgule sépare chaque paire balise-valeur, et l’espacement après les points-virgules est optionnel mais recommandé pour la lisibilité.

Balises obligatoires vs optionnelles

Les enregistrements DMARC contiennent à la fois des balises obligatoires et optionnelles :

Balises obligatoires :

• v (version)
• p (politique)

Balises optionnelles :

• rua (URI des rapports agrégés)
• ruf (URI des rapports judiciaires)
• fo (options judiciaires)
• aspf (mode d’alignement ASPF)
• adkim (mode d’alignement ADKIM)
• pct (pourcentage)
• rf (format de rapport)
• ri (intervalle de rapport)
• sp (politique des sous-domaines)

Référence complète des balises DMARC

Balise de version (v)

Syntaxe : v=DMARC1

La balise de version identifie la version de la spécification DMARC et doit toujours être la première balise de l’enregistrement. Actuellement, DMARC1 est la seule valeur valide.

Exemple :

v=DMARC1; p=quarantine; rua=mailto:[email protected]

Validation : La balise de version est sensible à la casse et doit apparaître exactement comme indiqué. Toute déviation rendra l’ensemble de l’enregistrement DMARC invalide.

Balise de politique (p)

Syntaxe : p=none|quarantine|reject

La balise de politique spécifie l’action que les serveurs de messagerie récepteurs doivent prendre lorsque les messages échouent aux vérifications d’alignement DMARC.

Options de politique :

• none : Mode surveillance, aucune action prise sur les messages échoués
• quarantine : Messages échoués remis dans le dossier spam/courrier indésirable
• reject : Messages échoués rejetés au niveau SMTP

Exemples :

v=DMARC1; p=none; rua=mailto:[email protected]
v=DMARC1; p=quarantine; pct=25; rua=mailto:[email protected]
v=DMARC1; p=reject; rua=mailto:[email protected]

Bonne pratique : Commencez avec p=none pour surveiller les modèles de trafic, puis passez progressivement à p=quarantine et enfin p=reject pour une protection maximale.

URI des rapports agrégés (rua)

Syntaxe : rua=mailto:[email protected] ou rua=https://example.com/dmarc

L’URI des rapports agrégés spécifie où les rapports agrégés XML doivent être envoyés. Ces rapports contiennent des données statistiques sur les résultats d’authentification des messages.

Exemples :

rua=mailto:[email protected]
rua=mailto:[email protected],mailto:[email protected]
rua=https://dmarc-collector.example.com/reports

Destinataires multiples : Séparez plusieurs URI avec des virgules. Chaque destinataire recevra des copies des rapports agrégés.

Destinataires externes : Lors de l’envoi de rapports vers des domaines externes, le domaine récepteur doit publier un enregistrement DMARC autorisant l’acceptation de rapports.

URI des rapports judiciaires (ruf)

Syntaxe : ruf=mailto:[email protected]

Les rapports judiciaires fournissent des informations détaillées sur les échecs de messages individuels, incluant les en-têtes de messages et les résultats d’authentification.

Exemples :

ruf=mailto:[email protected]
ruf=mailto:[email protected],mailto:[email protected]

Considérations de confidentialité : Les rapports judiciaires contiennent du contenu de message sensible. Assurez-vous d’un traitement approprié des données et de la conformité à la confidentialité lors de la configuration de cette balise.

Options judiciaires (fo)

Syntaxe : fo=0|1|d|s

La balise des options judiciaires contrôle quand les rapports judiciaires sont générés pour les messages échoués.

Options :

• 0 : Générer des rapports quand SPF et DKIM échouent tous les deux (par défaut)
• 1 : Générer des rapports quand SPF ou DKIM échoue
• d : Générer des rapports quand DKIM échoue
• s : Générer des rapports quand SPF échoue

Exemples :

fo=1; ruf=mailto:[email protected]
fo=d:s; ruf=mailto:[email protected]

Balises de mode d’alignement

Mode d’alignement SPF (aspf)

Syntaxe : aspf=r|s

Contrôle la rigueur de la vérification d’alignement SPF :

• r : Mode relaxé (par défaut) – permet l’alignement des sous-domaines
• s : Mode strict – nécessite une correspondance exacte du domaine

Mode d’alignement DKIM (adkim)

Syntaxe : adkim=r|s

Contrôle la rigueur de la vérification d’alignement DKIM :

• r : Mode relaxé (par défaut) – permet l’alignement des sous-domaines
• s : Mode strict – nécessite une correspondance exacte du domaine

Exemples :

v=DMARC1; p=quarantine; aspf=s; adkim=s; rua=mailto:[email protected]
v=DMARC1; p=none; aspf=r; adkim=r; rua=mailto:[email protected]

Balise de pourcentage (pct)

Syntaxe : pct=1-100

Spécifie le pourcentage de messages soumis à l’application de la politique. Utile pour le déploiement progressif de politique.

Exemples :

v=DMARC1; p=quarantine; pct=10; rua=mailto:[email protected]
v=DMARC1; p=reject; pct=100; rua=mailto:[email protected]

Par défaut : Si omis, par défaut à 100 (tous les messages soumis à la politique).

Format de rapport (rf)

Syntaxe : rf=afrf|iodef

Spécifie le format pour les rapports judiciaires :

• afrf : Authentication Failure Reporting Format (par défaut)
• iodef : Incident Object Description Exchange Format

Intervalle de rapport (ri)

Syntaxe : ri=secondes

Spécifie l’intervalle entre les rapports agrégés en secondes. La plupart des systèmes récepteurs ignorent cette balise et envoient des rapports quotidiens.

Exemple :

ri=86400  // 24 heures en secondes

Politique des sous-domaines (sp)

Syntaxe : sp=none|quarantine|reject

Définit la politique pour les sous-domaines quand aucun enregistrement DMARC explicite n’existe pour le sous-domaine.

Exemples :

v=DMARC1; p=reject; sp=quarantine; rua=mailto:[email protected]
v=DMARC1; p=none; sp=none; rua=mailto:[email protected]

Exemples de configuration avancée

Configuration de surveillance de base

v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1

Politique stricte avec déploiement progressif

v=DMARC1; p=quarantine; pct=25; aspf=s; adkim=s; rua=mailto:[email protected]

Configuration de protection maximale

v=DMARC1; p=reject; sp=reject; aspf=s; adkim=s; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1

Configuration d’entreprise multi-destinataires

v=DMARC1; p=quarantine; rua=mailto:[email protected],mailto:[email protected]; ruf=mailto:[email protected]; pct=50; fo=1

Outils de validation et de test

Validation de requête DNS

Utilisez ces commandes pour vérifier la publication de l’enregistrement DMARC :

dig TXT _dmarc.example.com
nslookup -type=TXT _dmarc.example.com

Validation de syntaxe

Des outils comme Skysnag Protect fournissent une validation complète des enregistrements DMARC, vérifiant les erreurs de syntaxe, les conflits de politique et les recommandations de configuration.

Erreurs de validation communes

1. Balise de version manquante : L’enregistrement doit commencer par v=DMARC1
2. Valeurs de politique invalides : Seuls none, quarantine, et reject sont valides
3. Adresses e-mail mal formées : Les URI doivent suivre le format mailto: approprié
4. Modes d’alignement conflictuels : Assurer la cohérence entre les modes strict et relaxé
5. Valeurs de pourcentage invalides : Doivent être des entiers entre 1-100

Cas particuliers et dépannage

Enregistrements DMARC multiples

Un seul enregistrement DMARC par domaine est autorisé. Des enregistrements multiples résultent en un échec DMARC pour tous les messages.

Héritage des sous-domaines

Les sous-domaines sans enregistrements DMARC explicites héritent de la politique du domaine organisationnel ou de la valeur de la balise sp si spécifiée.

Limitations de longueur d’enregistrement

Les enregistrements TXT DNS ont une limite de 255 caractères par chaîne. Les enregistrements DMARC longs peuvent nécessiter une concaténation de chaînes :

"v=DMARC1; p=quarantine; rua=mailto:adresse-email-tres-longue@" "domaine-exemple-avec-nom-long.com; fo=1"

Problèmes de livraison de rapports

Les destinations de rapports externes nécessitent une autorisation DNS appropriée. Vérifiez que le domaine récepteur accepte les rapports de votre domaine.

Meilleures pratiques d’implémentation

Stratégie de déploiement progressif

1. Phase 1 : Déployer p=none avec rapports pour établir une ligne de base
2. Phase 2 : Passer à p=quarantine avec un faible pourcentage
3. Phase 3 : Augmenter le pourcentage progressivement en surveillant les rapports
4. Phase 4 : Implémenter p=reject pour une protection complète

Surveillance et maintenance

L’analyse régulière des rapports DMARC révèle les problèmes d’authentification, les sources d’envoi non autorisées et les menaces de sécurité potentielles. Des outils comme Skysnag Protect automatisent le traitement des rapports et fournissent des insights exploitables pour l’optimisation des politiques.

Intégration avec SPF et DKIM

DMARC nécessite que l’authentification SPF ou DKIM passe, avec un alignement approprié. Assurez-vous que les deux protocoles sont correctement configurés avant d’implémenter des politiques DMARC strictes.

Points clés à retenir

La syntaxe des enregistrements DMARC suit un format balise-valeur précis avec des exigences de validation spécifiques. Commencez avec des politiques de surveillance et augmentez progressivement les niveaux de protection tout en analysant les rapports agrégés. La configuration appropriée du mode d’alignement et les déploiements basés sur le pourcentage assurent un déploiement fluide sans perturber les e-mails légitimes.

Comprendre chaque balise DMARC permet aux organisations d’implémenter des politiques d’authentification e-mail sophistiquées adaptées à leurs exigences de sécurité spécifiques. La validation et la surveillance régulières assurent une protection continue contre les menaces e-mail en évolution.

Pour une gestion DMARC complète et une optimisation automatisée des politiques, explorez Skysnag Protect pour rationaliser votre déploiement d’authentification e-mail.