DMARC - Politique d'Authentification Email

Définissez comment traiter les emails qui échouent l'authentification.

DMARC (Domain-based Message Authentication, Reporting and Conformance) est la couche politique qui unifie SPF et DKIM. Il permet de définir ce que les serveurs de réception doivent faire avec les emails qui échouent l'authentification : les accepter, les quarantiner (spam), ou les rejeter.

Sans DMARC, même avec SPF et DKIM configurés, les serveurs de réception décident eux-mêmes du traitement des emails suspects. DMARC vous permet d'exprimer votre politique et de recevoir des rapports sur les tentatives d'usurpation de votre domaine.

DMARC résout également le problème de l'alignement : il vérifie que le domaine visible dans le header From correspond au domaine authentifié par SPF ou DKIM, fermant une faille que les attaquants exploitaient.

Comment Fonctionne DMARC

DMARC ajoute une couche de politique à l'authentification email :

  • Alignement : DMARC vérifie que le domaine du header From s'aligne avec celui authentifié par SPF ou DKIM. Bloque l'usurpation du From visible.
  • Politique (p=) : none = monitoring seulement, quarantine = mettre en spam, reject = rejeter. Progressez de none vers reject au fil du temps.
  • Rapports (rua=) : DMARC envoie des rapports agrégés XML listant tous les emails traités. Essentiel pour identifier les sources légitimes oubliées.
  • Pourcentage (pct=) : Permet d'appliquer la politique à seulement un pourcentage des emails (pct=10 = 10%). Utile pour un déploiement progressif.

Pourquoi DMARC est Indispensable

DMARC complète la trilogie de l'authentification email :

  • Politique explicite : Vous décidez du traitement des emails non authentifiés, pas les serveurs de réception. Contrôle total sur votre politique email.
  • Visibilité : Les rapports DMARC révèlent qui envoie des emails pour votre domaine - légitimement ou frauduleusement. Découvrez les sources oubliées.
  • Protection complète : L'alignement DMARC ferme la faille du From forgé. Les attaquants ne peuvent plus usurper votre domaine visible.
  • Exigence croissante : Google, Yahoo et d'autres exigent DMARC pour les gros expéditeurs. Sans DMARC, vos emails risquent d'être bloqués.

Comment Configurer DMARC

Déployez DMARC progressivement :

  1. Préparer SPF et DKIM : DMARC nécessite SPF et/ou DKIM fonctionnels. Vérifiez que ces deux sont correctement configurés et testés.
  2. Commencer par p=none : Créez _dmarc.example.com avec p=none et rua= vers votre email. Collectez les rapports pendant quelques semaines.
  3. Analyser les rapports : Les rapports XML montrent toutes les sources d'emails. Identifiez les sources légitimes non couvertes par SPF/DKIM et corrigez.
  4. Progresser vers reject : Une fois toutes les sources légitimes identifiées, passez à p=quarantine puis p=reject. Utilisez pct= pour une transition progressive.

Exemples de Configuration DMARC

Voici des exemples de politiques DMARC :

; DMARC monitoring seul (démarrage)
_dmarc.example.com. IN TXT "v=DMARC1; p=none; rua=mailto:[email protected]"

; DMARC quarantine (intermédiaire)
_dmarc.example.com. IN TXT "v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=25"

; DMARC reject (protection maximale)
_dmarc.example.com. IN TXT "v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]"

; DMARC avec options complètes
_dmarc.example.com. IN TXT "v=DMARC1; p=reject; sp=quarantine; adkim=s; aspf=s; rua=mailto:[email protected]; ri=86400"

; Vérification
$ dig _dmarc.example.com TXT +short
"v=DMARC1; p=reject; rua=mailto:[email protected]"

v=DMARC1 est obligatoire. p= définit la politique (none/quarantine/reject). rua= reçoit les rapports agrégés. sp= définit la politique pour les sous-domaines. adkim/aspf définissent l'alignement strict ou relaxé.

Bonnes Pratiques DMARC

Déployez DMARC efficacement :

  • Progression graduelle : none → quarantine → reject sur plusieurs mois. Analysez les rapports à chaque étape pour éviter de bloquer des emails légitimes.
  • Analysez les rapports : Utilisez des outils comme dmarcian, Postmark DMARC ou les services gratuits pour analyser les rapports XML automatiquement.
  • Sous-domaines : Définissez sp= pour les sous-domaines. Par défaut, ils héritent de p=. Vous pouvez être plus strict ou plus souple selon les cas.
  • Surveillez en continu : Même après p=reject, continuez à surveiller les rapports et les enregistrements DNS avec MoniTao.

Checklist DMARC

  • SPF configuré et fonctionnel
  • DKIM configuré et fonctionnel
  • Enregistrement _dmarc.domain.com créé
  • Adresse rua= configurée pour les rapports
  • Rapports analysés régulièrement
  • Progression planifiée vers p=reject

Questions Fréquentes - DMARC

Puis-je activer DMARC sans SPF ou DKIM ?

Techniquement oui, mais DMARC sera toujours fail car il requiert que SPF OU DKIM passe ET s'aligne. Sans aucun des deux, DMARC n'a pas de sens.

Que signifient les rapports DMARC ?

Les rapports agrégés (rua) listent toutes les IP qui ont envoyé des emails pour votre domaine avec les résultats SPF/DKIM/DMARC. Les rapports forensic (ruf) contiennent des échantillons d'emails échoués.

p=reject bloquera-t-il mes emails légitimes ?

Seulement si vous avez oublié des sources dans SPF ou si DKIM n'est pas configuré pour un service. D'où l'importance de commencer par p=none et d'analyser les rapports.

Les sous-domaines sont-ils couverts ?

Par défaut, les sous-domaines héritent de la politique du domaine parent. Utilisez sp= pour une politique différente, ou créez des enregistrements DMARC spécifiques pour chaque sous-domaine.

Combien de temps avant p=reject ?

Typiquement 2-3 mois minimum. Passez de p=none à p=quarantine après avoir vérifié les rapports, puis à p=reject quand vous êtes confiant que toutes les sources sont couvertes.

Que faire si je reçois trop de rapports ?

Utilisez un service d'analyse DMARC qui agrège et visualise les rapports. ri=86400 (1 par jour) au lieu de ri=3600 réduit aussi le volume.

Complétez votre Authentification avec DMARC

DMARC est la pièce finale du puzzle d'authentification email. Il transforme SPF et DKIM de simples vérifications en une politique actionnable, et vous donne une visibilité sur toutes les tentatives d'utilisation de votre domaine.

Déployez DMARC progressivement, analysez vos rapports, et visez p=reject pour une protection maximale. Surveillez vos enregistrements DNS avec MoniTao pour garantir que votre politique reste active.

Liens utiles

Prêt à dormir sur vos deux oreilles ?

Commencez gratuitement, sans carte bancaire.

Créer mon compte Voir les tarifs