Les courriers élec­tro­niques frau­du­leux sont une menace de plus en plus sérieuse. La plupart du temps, ils sont dif­fi­ciles à dis­tin­guer des messages légitimes : ils affichent un nom d'ex­pé­di­teur connu et res­semblent à s’y méprendre à une lettre d’in­for­ma­tion ou un message de routine. C’est pour contrer cette menace que le mécanisme de vé­ri­fi­ca­tion DMARC (Domain-based Message Au­then­ti­ca­tion Reporting and Con­for­mance) a été créé.

L’enjeu : la pro­tec­tion de la ré­pu­ta­tion de votre nom de domaine

Face au danger que re­pré­sen­tent les attaques de ha­me­çon­nage (ou phishing), divers mé­ca­nismes de sécurité ont été mis en place :

En tant que titulaire du nom de domaine, vous avez tout intérêt à vous assurer qu'aucun fraudeur ne peut envoyer en votre nom des courriers frau­du­leux ou du spam. En effet, votre nom de domaine risque de se retrouver sur des listes noires, ce qui aurait pour con­sé­quence de voir vos Emails rejetés (bounced) ou traités comme du courrier in­dé­si­rable par de nombreux serveurs de mes­sa­ge­rie.

Exemple : Martin Dupont est le pro­prié­taire du domaine test.com. Son adresse Email est martin.dupont@test.com. Imaginons qu’un fraudeur utilise l'adresse sales@test.com pour envoyer des courriers in­dé­si­rables : s’il se fait détecter, le nom de domaine test.com sera ajouté aux listes noires et les courriers provenant de martin.dupont@test.com seront bloqués par les serveurs de mes­sa­ge­rie des­ti­na­taires.

La solution : la DMARC

DMARC est l'abré­via­tion de « Domain-based Message Au­then­ti­ca­tion Reporting and Con­for­mance ». Cette norme a été dé­ve­lop­pée dans le but de garantir que les serveurs de courrier de réception ne se con­ten­tent pas de vérifier l'au­then­ti­cité des Emails reçus (en utilisant les pro­to­coles SPF et DKIM), mais prennent également des mesures ap­pro­priées en cas de résultats de contrôle négatifs, en accord avec le pro­prié­taire du nom de domaine du message envoyé.

Le concept de la DMARC

Le pro­prié­taire du nom de domaine informe tous les des­ti­na­taires de courrier po­ten­tiels (ou leurs serveurs de mes­sa­ge­rie) qu'il signe ses courriers par DKIM et/ou les au­then­ti­fie par SPF. Ce faisant, il les charge de vérifier tous les courriers provenant de son domaine et de prendre certaines mesures en cas de suspicion (échec de la vé­ri­fi­ca­tion). Cette demande prend la forme d’une entrée dans la zone de domaine et dans l'en-tête du courrier.

Le serveur qui reçoit le courrier élec­tro­nique vérifie si celui-ci peut être au­then­ti­fié via au moins une des deux méthodes, DKIM ou SPF. Dans le cas contraire, ce courrier est considéré comme « suspect ». Il peut s'agir d'un faux, envoyé par quelqu'un qui utilise frau­du­leu­se­ment l'adresse de l'ex­pé­di­teur à ses propres fins.

Le titulaire du nom de domaine peut re­com­man­der aux des­ti­na­taires de prendre une des mesures suivantes :

  1. rejeter le courrier suspect,
  2. mettre le courrier suspect en qua­ran­taine
  3. accepter le courrier suspect et signaler son statut au titulaire du nom de domaine.

La mesure re­com­man­dée par le titulaire figure dans ce qu’on appelle l’en­re­gis­tre­ment DMARC (voir ci-dessous).

La DMARC implique également l'émission de rapports. Les serveurs de réception des courriers élec­tro­niques doivent envoyer pé­rio­di­que­ment au domaine ex­pé­di­teur un rapport sur les courriers suspects (c'est-à-dire ceux qui n'ont pas pu être au­then­ti­fiés via DKIM ou SPF). Les adresses Email cor­res­pon­dantes figurent également dans l'en­re­gis­tre­ment DMARC.

Note

Les serveurs de courrier élec­tro­nique ré­cep­teurs ne sont pas tenus de prendre en compte l'ins­crip­tion DMARC. Si vous ne recevez pas de messages vous notifiant de l'échec d’au­then­ti­fi­ca­tions par DKIM ou DPF, cela ne signifie pas né­ces­sai­re­ment que tout va bien.

Le contenu de l'entrée DMARC

Champ Sig­ni­fi­ca­tion
v=DMARC1 Version de l'entrée DMARC ; DMARC1 désigne la version à jour.
p= sp= Re­com­man­da­tion portant sur la façon dont le récepteur doit procéder en cas d'échec de l’au­then­ti­fi­ca­tion par DKIM et SPF : - none : Ne rien faire, procéder nor­ma­le­ment - qua­ran­tine : Placer le courrier en qua­ran­taine - reject : Rejeter le courrier (bounce) « p » désigne la « Policy » (« politique ») pré­co­ni­sée par le nom de domaine « sp » est l'abré­via­tion de « Subdomain Policy » (« politique des sous-domaines) et désigne aussi par extension les sous-domaines.
pct= Pour­cen­tage du courrier à traiter selon la politique définie ci-dessus ; cette valeur est gé­né­ra­le­ment fixée à 100.
rua Définit si le serveur de courrier élec­tro­nique récepteur doit envoyer un rapport sur les courriers « suspects », et à quelle adresse. (Attention à bien respecter les règles de pro­tec­tion des données.)
ruf Similaire à rua, mais il s’agit ici d'un rapport « légal » qui contient toutes les in­for­ma­tions relatives au courrier suspect. (Attention à bien respecter les règles de pro­tec­tion des données.)
fo Failure Reporting Options ; précise le moment où un courrier doit être signalé : - fo=0: si les deux au­then­ti­fi­ca­tions, par SPF et par DKIM, échouent. Il s'agit du réglage par défaut. - fo=1: si une des deux au­then­ti­fi­ca­tions (SPF et DKIM) n’est pas réussie (« pass »). - fo=d: signale l'échec de l'au­then­ti­fi­ca­tion par DKIM si la signature n'est pas correcte, même si la clé cor­res­pond bien. - fo=s: signale l’échec de l'au­then­ti­fi­ca­tion par SPF en cas de problème, même si les en­re­gis­tre­ments du SPF dans l'en-tête et l'en­re­gis­tre­ment DNS cor­res­pon­dent bien. Il est possible de saisir plusieurs options, séparées par deux points, dans l'entrée DMARC.
rf Reporting Format : - afrf: Au­then­ti­ca­tion Failure Reporting Formats - iodef: Incident Object Des­crip­tion Exchange Format La norme est le format afrf.
ri Reporting Interval (« in­ter­valle de dé­cla­ra­tion »), à préciser en secondes ; la valeur par défaut est de 86 400, soit 24 heures (une fois par jour).
adkim aspf Pa­ra­mètres d'au­then­ti­fi­ca­tion par DKIM ou SPF : - s=Strict: Le nom de domaine doit cor­res­pondre exac­te­ment. Exemple : martin.dupont@test.com - r=Relaxed: Il peut également s'agir d'un sous-domaine. Exemple : martin.dupont@news­let­ter.test.com

Création d'une entrée DMARC

Avant de pouvoir créer une entrée DMARC, il faut avoir effectué les entrées pour l’au­then­ti­fi­ca­tion par DKIM et SPF (voir ci-dessus nos articles sur le sujet).

Sur Internet, vous pouvez trouver des outils pour créer une entrée DMARC, par exemple le gé­né­ra­teur d'en­re­gis­tre­ments DMARC proposé par EasyDmarc. Vous devez copier cette entrée en tant qu’en­re­gis­tre­ment au format TXT avec le sous-domaine _dmarc précisé dans la zone de domaine de votre serveur de noms.

Image: Capture d'écran de l’outil générateur d’enregistrements DMARC d‘easydmarc
Le gé­né­ra­teur d'en­re­gis­tre­ments DMARC proposé par easydmarc vous permet de créer l'en­re­gis­tre­ment DMARC affiché en vert ci-dessous.

Il est re­com­mandé de laisser Policy sur « none » pour le moment et de se laisser un temps d’ob­ser­va­tion, pour voir grâce aux rapports si la DMARC fonc­tionne de la façon souhaitée.

Intégrer l'en­re­gis­tre­ment DMARC dans le serveur de noms

Vous devez saisir l'en­re­gis­tre­ment DMARC généré en tant qu’en­re­gis­tre­ment de ressource TXT sur votre serveur de nom. Pour ce faire, connectez-vous à votre four­nis­seur de nom de domaine et ouvrez les pa­ra­mètres de votre nom de domaine (dans l'exemple ci-dessus, il s'agirait du nom de domaine gmx.com). Dans l'outil d'hé­ber­ge­ment cPanel, cela apparaît au menu sous le nom d’« Éditeur de zone ». C’est là que vous devez créer un nouvel en­re­gis­tre­ment de ressource TXT sous le nom de sous-domaine _dmarc. Dans notre exemple, le nom complet sous lequel votre entrée DMARC peut être consultée sera ainsi _dmarc.gmx.com.

Conseil

Vous trouverez dans notre section d'aide des ins­truc­tions sur la façon de con­fi­gu­rer un en­re­gis­tre­ment DMARC pour un domaine dans IONOS.

Consulter l’en­re­gis­tre­ment DMARC

En fonction du serveur de noms concerné, il faudra entre quelques minutes et quelques heures pour que l'entrée DMARC soit publiée. Si vous souhaitez vérifier que l'entrée a bien été publiée, vous pouvez utiliser l'un des nombreux outils dis­po­nibles sur Internet, comme l'outil de recherche d'en­re­gis­tre­ments DMARC proposé par EasyDMARC.

Image: Capture d'écran de l’outils de recherche d’enregistrement DMARC sur easydmarc.com
Ré­cu­pé­ra­tion d'un en­re­gis­tre­ment DMARC à l'aide d’un outil gratuit, en utilisant le nom de domaine nytimes.com comme exemple

Définir l'adresse e-mail où envoyer les rapports

Le plus simple est de créer dans votre nom de domaine une nouvelle adresse de courrier qui sera réservée aux rapports de la DMARC. Dans notre exemple : DMARC@test.com

Pour recevoir des rapports, le domaine des­ti­na­taire doit avoir donné son accord via l'entrée DNS. Par con­sé­quent, si vous ne recevez pas les rapports de la DMARC, cela peut également être dû au fait que les serveurs de courrier de réception ne sont pas con­fi­gu­rés pour émettre des rapports de DMARC.

Aller au menu principal