Voici mon dernier article dans cette série sur les mécanismes de protection des emails pour les propriétaires de domaines personnalisés. Si vous envoyez des emails à partir de votre propre domaine (exemple@votre-domaine.com), comprendre et mettre en place des technologies comme SPF, DKIM, et aujourd’hui DMARC, est essentiel pour éviter les usurpations et le phishing. DMARC (Domain-based Message Authentication, Reporting & Conformance) est un véritable superviseur, qui contrôle et applique des règles basées sur SPF et DKIM. Si vous n’avez pas encore lu les articles sur SPF et DKIM, je vous invite à le faire pour voir comment ce trio de sécurité fonctionne ensemble et en apprendre plus sur chaque aspect de la protection de vos emails.
Imaginez que vous puissiez superviser tous les emails envoyés en votre nom et décider comment réagir face aux imposteurs. C’est exactement ce que fait DMARC : un agent de sécurité ultra-complet qui surveille l’activité de vos emails et applique une politique stricte contre les fraudeurs. Voyons dès maintenant comment cela fonctionne.
DMARC, l’Arbitre des Emails
DMARC travaille main dans la main avec SPF et DKIM. Il vérifie que les emails envoyés respectent bien les règles d'authentification, et si ce n'est pas le cas, il applique une politique définie par le propriétaire du domaine.
Quelles politiques DMARC propose-t-il ?
- None : Pas de mesures strictes, juste un rapport des emails suspects.
- Quarantine : Les emails non conformes sont mis en quarantaine.
- Reject : Les emails non conformes sont carrément rejetés.
Avec DMARC, vous obtenez des rapports réguliers sur l’activité de vos emails. Vous savez qui tente d’envoyer des emails en votre nom, et vous pouvez ajuster votre politique pour maximiser la sécurité. Dès lors, vous comprenez que ce mécanisme est essentiel pour garantir sécurité et authenticité de vos emails. Et Comme pour SPF et DKIM, ce mécanisme de protection est assez rapide à mettre en place, alors vous n'avez aucune raison de ne pas le faire !
Mise en place en 3 Étapes Seulement !
Mettre en place DMARC est assez simple et ne nécessite que quelques minutes. Pour cela, vous allez avoir besoin d'accéder à la gestion de votre zone DNS ainsi que d'une adresse email pour recevoir les rapport. Enfin, vous devez choisir une politique parmi les 3 évoquées ci-dessus.
- Créer l’enregistrement DMARC dans le DNS : Connectez vous à l'interface de gestion de votre registraire et accédez à la gestion de votre zone DNS. Ajoutez un enregistrement TXT pour le sous-domaine _dmarc (ou utilisez une entrée DMARC si votre registraire le propose). Là il va falloir suivre la documentation de votre registraire pour renseigner la directive DMARC, mais en gros, cela devrait ressembler à cela :
v=DMARC1;p=reject;rua=mailto:admin@monmail.fr;sp=reject;aspf=r;
- Choisir la politique DMARC : Dans cette directive, vous choisissez la politique que vous souhaitez mettre en place (p=). Je vous conseille de commencer par
p=nonepour tester, puis passez àquarantineourejectune fois sûr. Renseignez ensuite votre adresse mail (rua=) en remplaçant admin@monmail.fr. Le paramètre sp permet quant à lui de gérer la politique des sous domaines. Enfin, le paramètre aspf permet de régler l'alignement, c'est à dire la possibilité ou non d'envoyer des mails avec un sous-domaine du domaine déclaré (mode s pour strict ou r pour relaxed). - Analyser les rapports : Étudiez les rapports envoyés par DMARC pour ajuster votre politique et bloquer les tentatives de fraude.
Je vous partage ici un exemple de rapport DMARC reçu pour l'un de mes domaine. On y voit clairement des emails qui ont été envoyé, mais pour lesquel le DKIM n'est pas validé, ce qui signifie que ceux-ci n'ont pas été signés avec la clé de mon serveur... du coup.... rejetés !
Si vous souhaitez vérifier que vous avez correctement configuré DMARC sur votre domaine, vous pouvez utiliser l'outil en ligne DMARC Check Tool de MXToolbox.
DMARC vous donne le pouvoir de surveiller et de bloquer les faux emails en toute simplicité. C’est le chef d’orchestre de vos protections SPF et DKIM, le superviseur qui s’assure que tout se passe comme prévu. Et voilà, on en a terminé avec cette séries de billets consacrés à la sécurité des emails. J'espère que cela aura pu en aider certains d'entre vous 🙂
Partager la publication "DMARC : Fini les Arnaques, Faites la Loi sur Vos Emails !"