Un enregistrement DMARC apparaît toujours sous la forme _dmarc.entreprise.fr. C’est un enregistrement de type TXT comportant des attributs bien précis qui seront lus par le serveur du destinataire. Ci dessous, un tableau des attributs les plus courants. La liste complète se trouve dans la RFC 7489 section 6.3.
Attributs d’un enregistrement DMARC
| Attribut | Description | Obligatoire | Valeur par défaut | Exemple |
|---|---|---|---|---|
| v | Version - doit être défini sur « DMARC1 » et doit être la première balise de la liste | Oui | - | v=DMARC1 |
| p | Stratégie que le destinataire doit appliquer à l’e-mail. Peut être réglé sur « non », « quarantine » ou « reject » | Oui | - | p=none |
| rua | adresse e-mai où envoyer des rapports agrégés | Non | - | rua=mailto:dmarc@company.com |
| ruf | adresse e-mail où envoyer des informations d’échecs spécifiques à un message | Non | - | ruf=mailto:forensic@company.com |
| pct | Pourcentage de messages soumis à filtrage | Non | 100 | pct=10 |
| sp | Stratégie à appliquer aux sous-domaines | Non | Same as top domain policy (value of p) | sp=quarantine |
| adkim | Alignement du DKIM strict “s” ou relaxed “r” | Non | r | adkim=s |
| aspf | Alignement du SPF strict “s” ou relaxed “r” | Non | r | aspf=s |
| ri | Intervalle demandé entre les rapports agrégés en secondes | Non | 86400 | ri=43200 |
En utilisant les informations du tableau ci-dessus, voici un exemple d’enregistrement DMARC qui effectuera une vérification stricte de l’alignement des identifiants DKIM et SPF, mettra en quarantaine tout e-mail qui échoue à la validation DKIM et SPF et enverra des rapports agrégés à dmarc@company.com :
v=DMARC1; p=quarantine; rua=mailto:dmarc@entreprise.fr; adkim=s; aspf=s
Implémenter une politique DMARC (phase BUILD)
La mise en oeuvre de DMARC suit un processus itératif d’amélioration continue (PDCA). Le schéma ci-dessous vous permettra de réaliser une mise en oeuvre contrôlée qui n’affectera pas la délivrabilité de vos courriers de manière négative. Ces étapes sont généralistes et doivent être adaptées à votre situation particulière.
Exploiter tout le potentiel de la solution (phase RUN)
La mise en oeuvre ne se fait pas en mode fire-and-forget. Une fois la phase de BUILD terminée, c’est à dire que votre politique est au moins à p=quarantine sur la totalité de vos courriers, vous devez mettre en place le processus de surveillance.
Il est tout à fait possible de consulter uniquement les rapports agrégés de temps à autre mais je vous suggère d’utiliser un outil comme DMARCLY ou autre. Cela facilite grandement l’analyse des rapports, sauf si la lecture de fichiers xml vous passionne.
Voici un schéma vous permettant de monter un processus d’analyse :
Avant de vous lancer dans l’implémentation d’une politique DMARC, il est essentiel de comprendre parfaitement les protocoles SPF et DKIM.