DMARC

Le DMARC est une technologie qui combine les vérifications SPF et DKIM pour offrir aux propriétaires de domaines une meilleure protection contre les usurpations. La prémisse de base est que les spammeurs connaissent maintenant de nombreuses méthodes d'ignorer les protections offertes par d'autres technologies d'authentification (SPF et DKIM). DMARC les lie tous ensemble tout en ajoutant des mécanismes de rapportage pour aider à corriger et mettre à jour le DMARC. 

Pour comprendre comment fonctionnent les vérifications DMARC, nous devons d'abord parler du SPF et du DKIM.


SPF

Nous avons déjà un article détaillé expliquant le SPF (voir les articles connexes). En résumé, les vérifications SPF se produisent pendant la transaction SMTP. La vérification SPF vérifie si le serveur qui envoie le courriel est autorisé à envoyer au nom de ce domaine. La liste des serveurs autorisés ainsi que l'action à prendre en cas d'échec sont tous déterminés par l'enregistrement SPF du domaine utilisé pendant la transaction SMTP.

DKIM

DKIM fonctionne en utilisant deux composantes : 

  1. Lorsqu'un courriel est envoyée par son serveur, une signature DKIM est générée. Cette signature est générée en hachant ensemble des parties du courriel (une sélection d'en-têtes et contenu du courriel) avec une clé de chiffrement privée.
  2. Lorsqu'un serveur reçoit un courriel avec une signature DKIM, il peut vérifier le DNS pour trouver la clé publique de ce domaine. Cette clé est ensuite utilisée pour vérifier que le contenu haché (les en-têtes et le contenu du courriel sélectionnés) n'a été modifié pendant le transit. La vérification DKIM échoue si le contenu du courriel a été modifié depuis l'envoi du message.

La technologie de signature DKIM permet à un domaine de certifier qu'un tiers peut envoyer avec son nom de domaine au niveau Contenu. Par exemple, les expéditeurs de masse tels que Constant Contact et MailChimp vous permettent de configurer une clé DKIM qui leur permettent de signer les messages qu'ils envoient en votre nom.

Combiner le tout avec DMARC

La vérification effectuée par DMARC est tout à fait simple : on charche à savoir si le domaine d'envoi utilisé dans le contenu du courriel est aligné avec (cad.: est égal à) un domaine utilisé dans une autre vérification d'authentification.

En autres mots :

  • L'enregistrement DMARC doit exister pour le domaine affiché dans contenu du courriel.
  • Le DMARC vérifie si ce même domaine a été utilisé dans la vérification SPF et que la vérification SPF n'a pas échoué. 
  • Le DMARC vérifie si ce même domaine a été utilisé dans la vérification DKIM et que la vérification DKIM n'a pas échoué. 

Pour le dire autrement, au moins l'un des éléments suivants doit être vrai pour que l'alignement du DMARC réussisse :

  • L'adresse d'expédition dans le contenu du courriel doit correspondre au domaine vérifié par SPF (et que cette vérification réussisse) ou;
  • L'adresse d'expédition dans le contenu du courriel doit correspondre au domaine annoncé dans le SDID des entêtes DKIM (IE.: d = domaine) (et que la validation DKIM réussisse)

Le DMARC est une technologie interessante puisqu'elle permet de faire beaucoup plus que juste l'authentification du domaine d'envoi. L'enregistrement DMARC indique au serveur de vérification l'action à prendre avec les messages qui échouent à la vérification (rejet, quarantaine ou aucune action) et peut appliquer cet action sur un pourcentage des courriels ayant échoué la validation. DMARC permet également l'envoi de rapports - c'est le R dans DMARC - a des adresses spécifiques. Ces rapports sont utiles pour déterminer quels expéditeurs tentent de usurper le domaine ou si des serveurs ne sont pas configurés correctement.

Nos filtres effectuent des vérifications DMARC et exécutent les actions spécifiées par l'expéditeur en cas d'erreur. Si les vérifications DMARC causent des problèmes de réception, vous pouvez ajouter le domaine en problème à la Liste blanche d'authentification ou à la Liste blanche des adresses IP .

Vous pouvez lire une introduction au DMARC ici. Vous trouverez également plus d'informations techniques dans RFC7489 : Domain-based Message Authentication, Reporting, and Conformance (DMARC).

Ceci a-t-il répondu à votre question? Merci d'avoir partagé vos commentaires! Une erreur est survenue lors du traitement de votre requête. Veuillez réessayer un peu plus tard.