Comment créer un DMARC record

Un « DMARC record » est l’enregistrement dans lequel les ensembles de règles DMARC sont définis. Ce record informe les FAI (comme Gmail, Microsoft, Yahoo!, etc.) si un domaine est configuré pour utiliser DMARC. Le DMARC record contient la politique. Le DMARC record doit être placé dans votre DNS. Le nom de record TXT doit être «_dmarc.votredomaine.com». où «votredomaine.com» est remplacé par votre nom de domaine (ou sous-domaine) réel.

DMARC Analyzer vous aide à effectuer facilement le travail de génération de records DMARC avec notre Générateur de DMARC record. La version gratuite de DMARC Analyzer vous permet d’utiliser le Générateur de DMARC record (inscrivez-vous ici). Vous pouvez utiliser DMARC Analyzer pour générer un exemple de DMARC record.

Une fois SPF et DKIM en place, vous configurez DMARC en ajoutant des politiques aux records DNS de votre domaine sous la forme de records TXT (comme avec SPF ou DKIM).

Le nom de record TXT doit être «_dmarc.votredomaine.com». où «votredomaine.com» est remplacé par votre nom de domaine (ou sous-domaine) réel.

Voici des étiquettes courantes utilisées dans des records DMARC TXT:

Tag Name	Requise	Objectif	Échantillon
v	requise	Version de protocole	v=DMARC1
p	required	Politique pour domaine	p=quarantine
pct	facultative	% de messages soumis à un filtrage	pct=20
rua	facultative	Rapporter l’URL des rapports cumulés	rua=mailto:[email protected]
ruf	facultative	Les adresses auxquelles les informations légales spécifiques du message doivent être rapportées (liste d’URI en texte clair séparées par des virgules).	ruf=mailto:[email protected]
rf	facultative	Format à utiliser pour les rapports d’informations légales spécifiques du message (liste de valeurs en texte clair séparées par des virgules).	rf=afrf
aspf	facultative	Mode d’alignement pour SPF	aspf=r
adkim	facultative	Mode d’alignement pour DKIM	adkim=r

 
Voir le Registre d’étiquettes DMARC pour les autres étiquettes disponibles.

Lorsque vous vous connectez sur app.dmarcanalyzer.com, allez vers «Records DNS» pour générer votre DMARC record.

Uniquement les étiquettes v (version) et (politique) sont requises. Trois dispositions de message ou paramètres de politique possibles sont disponibles:

• politique none: Vous voulez juste surveiller les résultats DMARC et vous ne voulez pas prendre des mesures spécifiques sur tous les emails défaillants. Vous pouvez utiliser la politique «none» pour commencer avec DMARC et rassembler tous les rapports DMARC et commencer à analyser ces données.
• politique quarantine: Vous mettez les emails qui échouent aux vérifications en quarantaine. La plupart de ces emails se retrouveront dans le dossier de courrier indésirable du destinataire
• politique reject: Vous pouvez rejeter tous les emails qui échouent aux vérifications DMARC. Les destinataires doivent le faire «au niveau SMTP». Les emails seront rejetés directement dans le processus d’envoi.

Le mode d’alignement (aspf / adkim) fait référence à la précision avec laquelle les records de l’expéditeur sont comparés aux signatures SPF et DKIM, les deux valeurs possibles étant relâchées ou strictes. représentées par «r» et «s» respectivement. En bref, relâché permet des correspondances partielles, telles que des sous-domaines d’un domaine donné, alors que stricte exige une correspondance exacte.

---

Assurez-vous d’inclure votre adresse e-mail avec l’étiquette rua facultative pour recevoir les rapports quotidiens. Si vous souhaitez utiliser DMARC Analyzer pour analyser vos rapports, veillez à utiliser
l’outil générateur de records DNS pour obtenir les adresses e-mail de retour légal et cumulé.

---

La création d’un record TXT avec le nom et la valeur appropriés est différente pour chaque hôte de domaine. Contactez-nous si vous avez besoin d’aide pour le configurer avec votre fournisseur.

Il devrait être assez simple et peut ressembler à ceci dans le générateur:

et à ceci dans l’hôte de votre domaine:

 

Exemple de rapport

Les rapports quotidiens sont au format XML. Lisez-les pour mieux comprendre votre flux de messagerie. Les rapports vous aident à vous assurer que les sources de votre courrier sortant authentifient correctement. Assurez-vous que les différentes adresses IP envoyant des e-mails prétendant provenir de votre domaine soient en effet légitimes, configurez-les correctement avec DKIM ou ajoutez-les à leur gamme SPF. Les rapports aident également les administrateurs à prendre des mesures rapides lorsqu’ils ont une politique de blocage en vigueur si une nouvelle source de messagerie est mise en ligne ou si la configuration d’une source de courrier électronique existante est interrompue.

Voici un extrait d’un rapport montrant les résultats pour des messages envoyés à partir de deux adresses IP, l’un envoyé directement et l’autre renvoyé. Les deux messages ont réussi:

<record>
    <row>
        <source_ip>207.126.144.129</source_ip>
        <count>1</count>
        <policy_evaluated>
            <disposition>none</disposition>
        </policy_evaluated>
    </row>
    <identities>
        <header_from>yourdomain.com</header_from>
    </identities>
    <auth_results>
        <dkim>
            <domain>yourdomain.com</domain>
            <result>pass</result>
            <human_result></human_result>
        </dkim>
        <spf>
            <domain>yourdomain.com</domain>
            <result>pass</result>
        </spf>
    </auth_results>
</record>
<record>
<row>
    <source_ip>207.126.144.131</source_ip>
    <count>1</count>
    <policy_evaluated>
        <disposition>none</disposition>
        <reason>
            <type>forwarded</type>
            <comment></comment>
        </reason>
    </policy_evaluated>
</row>
<identities>
    <header_from>yourdomain.com</header_from>
</identities>
<auth_results>
    <dkim>
        <domain>yourdomain.com</domain>
        <result>pass</result>
        <human_result></human_result>
    </dkim>
    <spf>
        <domain>yourdomain.com</domain>
        <result>pass</result>
    </spf>
</auth_results>
</record>

Augmentez l’utilisation lentement

Nous recommandons fortement d’augmenter l’utilisation DMARC lentement en utilisant ces politiques dans cet ordre. Tout d’abord, surveillez votre trafic et recherchez des anomalies dans les rapports, telles que des messages qui ne sont pas encore signés ou qui sont peut-être usurpés. Ensuite, lorsque vous êtes à l’aise avec les résultats, modifiez le paramètre de politique de record TXT de «none» à «quarantaine». Encore une fois, examinez les résultats, cette fois dans votre prise de spam et dans les rapports quotidiens DMARC. Enfin, une fois que vous êtes absolument certain que tous vos messages sont signés, modifiez le paramètre de politique à «reject» pour utiliser pleinement DMARC. Réexaminez les rapports pour vous assurer que vos résultats sont acceptables.

De même, l’étiquette pct facultative peut être utilisée pour échantillonner votre déploiement DMARC. Puisque 100% est la valeur par défaut, avoir plus de «pct=20» dans vos records DMARC TXT entraîne un cinquième de tous les messages affectés par la politique recevant réellement la disposition au lieu de tous. Ce paramètre est particulièrement utile lorsque vous choisissez la messagerie quarantine et reject. Commencez avec un pourcentage inférieur et augmentez-le tous les quelques jours.

Ainsi, un cycle de déploiement conservatif ressemblerait à:

1. Surveillez tous.
2. Quarantine 1%.
3. Quarantine 5%.
4. Quarantine 10%.
5. Quarantine 25%.
6. Quarantine 50%.
7. Quarantine all.
8. Reject 1%.
9. Reject 5%.
10. Reject 10%.
11. Reject 25%.
12. Reject 50%.
13. Reject all.

Essayez de supprimer les pourcentages pour compléter le déploiement. Comme toujours, examinez vos rapports quotidiens.

Voulez-vous créer votre propre DMARC record?

Utilisez notre outil DMARC Analyzer pour générer un exemple de DMARC record.
Essayez DMARC Analyzer gratuitement.