Comment créer un enregistrement DMARC ?

DMARC contribue à protéger votre domaine contre les utilisations frauduleuses, telles que l'usurpation d'identité et le phishing. Il fonctionne en association avec les protocoles SPF et DKIM afin de garantir l'authenticité des e-mails envoyés depuis votre domaine. Cela améliore la délivrabilité globale, ce qui peut s'avérer très utile lors de l'envoi de newsletters, par exemple.

Ce guide vous explique comment ajouter un enregistrement DMARC de base dans vos paramètres DNS et vous indique quelle politique choisir.

• Qu'est-ce que le DMARC ?
• Explication des politiques DMARC 
• Rapports DMARC relatifs aux e-mails
• Créez un enregistrement DMARC sur votre domaine
• Facultatif : ajoutez RUF à votre enregistrement DMARC
• Exemple :

Nouvelle mise à jour du panneau de configuration one.com

Avec le déploiement de la nouvelle version de notre panneau de configuration, certaines étapes ou captures d'écran de ce guide peuvent différer de ce que vous voyez actuellement. Pendant que nous travaillons à la mise à jour du guide, veuillez consulter le guide ci-dessous si les instructions ne correspondent pas à ce que vous voyez à l'écran :

Navigating le nouveau design du panneau de configuration de one.com

Qu'est-ce que le DMARC ?

Le protocole DMARC (Domain-based Message Authentication, Reporting & Conformance) indique aux serveurs de messagerie destinataires comment traiter les e-mails qui échouent aux vérifications SPF et DKIM. Il permet d'empêcher des tiers d'envoyer des e-mails en se faisant passer pour votre domaine.

DMARC vous permet également de recevoir des rapports sur l'activité de messagerie de votre domaine, ce qui vous permet de surveiller et d'améliorer la sécurité de vos e-mails.

• Le SPF vérifie si un e-mail a été envoyé via des serveurs approuvés.
• Le protocole DKIM ajoute une signature numérique aux e-mails, ce qui permet aux serveurs de messagerie destinataires de vérifier l'authenticité de l'e-mail.
• DMARC définit une politique de traitement des e-mails qui échouent aux vérifications SPF ou DKIM.

Pour que DMARC fonctionne correctement, votre domaine doit déjà disposer des éléments suivants :

• Un record SPF
• DKIM activées pour votre service de messagerie

La fonction DKIM est activée par défaut pour les e-mails envoyés depuis nos serveurs. Vous pouvez consulter notre guide sur l'activation du SPF hrefà l'adressehref hrefhttps://help.one.com/hc/en-us/articles/115005595945hrefcheck.

Remarque : le protocole DMARC n'intervient que lors de l'envoi d'e-mails. Il n'a aucune incidence sur les spams que vous recevez dans votre propre boîte de réception. Toutefois, si tous les comptes de messagerie mettaient en œuvre ces méthodes de validation, l'usurpation d'identité ne serait, en théorie, plus possible.

Explication des politiques DMARC

Une politique DMARC détermine le sort réservé aux e-mails qui échouent au contrôle DMARC. Lorsque vous créez l'enregistrement DMARC, vous devez choisir une politique :

• aucun - Surveillance uniquement. Aucun e-mail n'est bloqué. 
• quarantaine - Les e-mails qui n'ont pas abouti sont signalés comme suspects et sont souvent déplacés vers le dossier des spams.
• refus - Les e-mails ayant échoué sont complètement bloqués.

Vous pouvez modifier votre politique DMARC à tout moment. Une approche courante consiste à commencer par « none », puis à passer à « quarantine », et enfin à « reject ». Cela vous permet d'abord d'observer comment votre domaine est utilisé, puis de tester l'impact du filtrage, et de ne bloquer les e-mails non authentifiés qu'une fois que tout fonctionne comme prévu.

Si vous souhaitez suivre cette procédure, nous vous recommandons vivement de faire appel à un service de reporting externe (payant) pour vous aider à analyser les rapports, tel que Dmarcian, EasyDMARC ou DMARCLY.

Si vous souhaitez simplement activer DMARC sans analyser les rapports, nous vous recommandons de définir la politique sur « quarantaine ». Cela permet de marquer les e-mails non authentifiés comme suspects ou de les envoyer dans le dossier des spams, ce qui améliore considérablement la sécurité de votre messagerie.

Remarque : les domaines .ch ne permettent pas de définir la politique DMARC sur « none ».

Rapports DMARC relatifs aux e-mails

Lorsque vous créez un enregistrement DMARC, vous devez également saisir une adresse e-mail pour recevoir les rapports DMARC. Ces rapports sont envoyés au format XML et contiennent un aperçu de l'ensemble du trafic de messagerie prétendant provenir de votre domaine, y compris les e-mails qui satisfont ou échouent au contrôle DMARC.

Il existe deux types de rapports :

• Rapports RUA - Envoyés quotidiennement, ils contiennent un résumé de toute l'activité de messagerie de votre domaine, y compris les adresses IP et les résultats d'authentification.
• Rapports RUF - Envoyés uniquement lorsqu'un e-mail échoue au contrôle DMARC. Ils contiennent des informations détaillées telles que l'en-tête du message et des extraits de l'e-mail d'origine.

La plupart des utilisateurs ont tout intérêt à ne recevoir que les rapports RUA, car ceux-ci contiennent toutes les informations nécessaires au suivi. Les rapports RUF sont facultatifs et s'avèrent principalement utiles pour le dépannage avancé.

Remarque : tous les fournisseurs de messagerie n'envoient pas de rapports DMARC ; il est donc normal que certains e-mails n'apparaissent pas dans vos données.

Créez un enregistrement DMARC sur votre domaine

Avant de commencer

Nous vous recommandons de créer une adresse e-mail sur votre domaine, hrefde la formehref hrefhttps://help.one.com/hc/en-us/articles/115005586329hrefcreating, dédiée à la réception de ces rapports, par exemple : dmarc-reports@yourdomain.com. Cela vous permettra de regrouper vos rapports et de les gérer plus facilement.

Ajoutez l'enregistrement DMARC

1. Connectez-vous à votre panneau de configuration .
2. Accédez à la vignette « Paramètres avancés » et cliquez sur « Paramètres DNS ».
3. Accédez à la section « Enregistrements DNS » et cliquez sur « Créer un nouvel enregistrement »
4. Sélectionnez « TXT » comme type d'enregistrement.
5. Veuillez saisir les valeurs suivantes :
   - Nom d'hôte : _dmarc
   - Valeur : Saisissez le texte ci-dessous et remplacez « policy name » par le nom de la police de votre choix et « an-email-address » par l'adresse e-mail de votre choix :

   v=DMARC1 ; p=nom_de_la_politique ; rua=mailto:une-adresse-e-mail

   - TTL : Laissez ce champ vide pour utiliser la valeur par défaut de 3 600 secondes, sauf si vous avez besoin d'une valeur spécifique.
6. Cliquez sur Créer un enregistrement pour enregistrer vos paramètres.
   Les modifications prennent généralement effet en quelques minutes.

Pour vérifier si l'enregistrement est correctement configuré, vous pouvez utiliser un outil de vérification des enregistrements hrefhttps://www.dmarcanalyzer.com/dmarc/dmarc-record-check/hrefDMARC ».

Facultatif : ajoutez RUF à votre enregistrement DMARC

Si vous souhaitez obtenir des rapports plus détaillés sur les e-mails individuels qui ne respectent pas les règles DMARC, vous pouvez ajouter la balise facultative « ruf ». Ces rapports « d'analyse approfondie » peuvent inclure les en-têtes des messages et, dans certains cas, des extraits de l'e-mail d'origine. Ils sont principalement utiles pour le dépannage avancé.

Si vous choisissez d'ajouter RUF, nous vous recommandons d'utiliser la même boîte aux lettres dédiée :

v=DMARC1 ; p=nom_de_la_politique ; rua=mailto:une_adresse_électronique ; ruf=mailto:une_adresse_électronique

Renforcez votre politique

Après avoir examiné vos rapports et vérifié que les e-mails légitimes sont correctement authentifiés, vous pouvez progressivement renforcer votre politique DMARC. 

Commencez par p=none, puis passez à p=quarantine, et enfin à p=reject.

Exemple :

Dans cet exemple, nous configurons DMARC sur le domaine one-example.com. Nous avons choisi la quarantaine comme politique et saisi dmarc-reports@one-example.com comme adresse e-mail pour les rapports RUA et RUF.

Articles liés :

• Add un enregistrement SPF
• Puis-je utiliser DKIM pour mes comptes e-mail one.com ?