Un « DMARC record » est l’enregistrement dans lequel les ensembles de règles DMARC sont définis. Ce record informe les FAI (comme Gmail, Microsoft, Yahoo!, etc.) si un domaine est configuré pour utiliser DMARC. Le DMARC record contient la politique. Le DMARC record doit être placé dans votre DNS. Le nom de record TXT doit être «_dmarc.votredomaine.com». où «votredomaine.com» est remplacé par votre nom de domaine (ou sous-domaine) réel.
DMARC Analyzer vous aide à effectuer facilement le travail de génération de records DMARC avec notre Générateur de DMARC record. La version gratuite de DMARC Analyzer vous permet d’utiliser le Générateur de DMARC record (inscrivez-vous ici). Vous pouvez utiliser DMARC Analyzer pour générer un exemple de DMARC record.
Une fois SPF et DKIM en place, vous configurez DMARC en ajoutant des politiques aux records DNS de votre domaine sous la forme de records TXT (comme avec SPF ou DKIM).
Le nom de record TXT doit être «_dmarc.votredomaine.com». où «votredomaine.com» est remplacé par votre nom de domaine (ou sous-domaine) réel.
Voici des étiquettes courantes utilisées dans des records DMARC TXT:
Tag Name | Requise | Objectif | Échantillon |
---|---|---|---|
v | requise | Version de protocole | v=DMARC1 |
p | required | Politique pour domaine | p=quarantine |
pct | facultative | % de messages soumis à un filtrage | pct=20 |
rua | facultative | Rapporter l’URL des rapports cumulés | rua=mailto:[email protected] |
ruf | facultative | Les adresses auxquelles les informations légales spécifiques du message doivent être rapportées (liste d’URI en texte clair séparées par des virgules). | ruf=mailto:[email protected] |
rf | facultative | Format à utiliser pour les rapports d’informations légales spécifiques du message (liste de valeurs en texte clair séparées par des virgules). | rf=afrf |
aspf | facultative | Mode d’alignement pour SPF | aspf=r |
adkim | facultative | Mode d’alignement pour DKIM | adkim=r |
Voir le Registre d’étiquettes DMARC pour les autres étiquettes disponibles.
Lorsque vous vous connectez sur app.dmarcanalyzer.com, allez vers «Records DNS» pour générer votre DMARC record.
Uniquement les étiquettes v (version) et (politique) sont requises. Trois dispositions de message ou paramètres de politique possibles sont disponibles:
Le mode d’alignement (aspf / adkim) fait référence à la précision avec laquelle les records de l’expéditeur sont comparés aux signatures SPF et DKIM, les deux valeurs possibles étant relâchées ou strictes. représentées par «r» et «s» respectivement. En bref, relâché permet des correspondances partielles, telles que des sous-domaines d’un domaine donné, alors que stricte exige une correspondance exacte.
Assurez-vous d’inclure votre adresse e-mail avec l’étiquette rua facultative pour recevoir les rapports quotidiens. Si vous souhaitez utiliser DMARC Analyzer pour analyser vos rapports, veillez à utiliser
l’outil générateur de records DNS pour obtenir les adresses e-mail de retour légal et cumulé.
La création d’un record TXT avec le nom et la valeur appropriés est différente pour chaque hôte de domaine. Contactez-nous si vous avez besoin d’aide pour le configurer avec votre fournisseur.
Il devrait être assez simple et peut ressembler à ceci dans le générateur:
et à ceci dans l’hôte de votre domaine:
Les rapports quotidiens sont au format XML. Lisez-les pour mieux comprendre votre flux de messagerie. Les rapports vous aident à vous assurer que les sources de votre courrier sortant authentifient correctement. Assurez-vous que les différentes adresses IP envoyant des e-mails prétendant provenir de votre domaine soient en effet légitimes, configurez-les correctement avec DKIM ou ajoutez-les à leur gamme SPF. Les rapports aident également les administrateurs à prendre des mesures rapides lorsqu’ils ont une politique de blocage en vigueur si une nouvelle source de messagerie est mise en ligne ou si la configuration d’une source de courrier électronique existante est interrompue.
Voici un extrait d’un rapport montrant les résultats pour des messages envoyés à partir de deux adresses IP, l’un envoyé directement et l’autre renvoyé. Les deux messages ont réussi:
<record> <row> <source_ip>207.126.144.129</source_ip> <count>1</count> <policy_evaluated> <disposition>none</disposition> </policy_evaluated> </row> <identities> <header_from>yourdomain.com</header_from> </identities> <auth_results> <dkim> <domain>yourdomain.com</domain> <result>pass</result> <human_result></human_result> </dkim> <spf> <domain>yourdomain.com</domain> <result>pass</result> </spf> </auth_results> </record> <record> <row> <source_ip>207.126.144.131</source_ip> <count>1</count> <policy_evaluated> <disposition>none</disposition> <reason> <type>forwarded</type> <comment></comment> </reason> </policy_evaluated> </row> <identities> <header_from>yourdomain.com</header_from> </identities> <auth_results> <dkim> <domain>yourdomain.com</domain> <result>pass</result> <human_result></human_result> </dkim> <spf> <domain>yourdomain.com</domain> <result>pass</result> </spf> </auth_results> </record>
Nous recommandons fortement d’augmenter l’utilisation DMARC lentement en utilisant ces politiques dans cet ordre. Tout d’abord, surveillez votre trafic et recherchez des anomalies dans les rapports, telles que des messages qui ne sont pas encore signés ou qui sont peut-être usurpés. Ensuite, lorsque vous êtes à l’aise avec les résultats, modifiez le paramètre de politique de record TXT de «none» à «quarantaine». Encore une fois, examinez les résultats, cette fois dans votre prise de spam et dans les rapports quotidiens DMARC. Enfin, une fois que vous êtes absolument certain que tous vos messages sont signés, modifiez le paramètre de politique à «reject» pour utiliser pleinement DMARC. Réexaminez les rapports pour vous assurer que vos résultats sont acceptables.
De même, l’étiquette pct facultative peut être utilisée pour échantillonner votre déploiement DMARC. Puisque 100% est la valeur par défaut, avoir plus de «pct=20» dans vos records DMARC TXT entraîne un cinquième de tous les messages affectés par la politique recevant réellement la disposition au lieu de tous. Ce paramètre est particulièrement utile lorsque vous choisissez la messagerie quarantine et reject. Commencez avec un pourcentage inférieur et augmentez-le tous les quelques jours.
Ainsi, un cycle de déploiement conservatif ressemblerait à:
Essayez de supprimer les pourcentages pour compléter le déploiement. Comme toujours, examinez vos rapports quotidiens.
Utilisez notre outil DMARC Analyzer pour générer un exemple de DMARC record.
Essayez DMARC Analyzer gratuitement.