Enregistrement DMARC dmarc-record
Qu’est-ce que DMARC ? what-is-dmarc
DMARC (Domain-based Message Authentication, Reporting, and Conformance, soit Authentification, création de rapports et conformité des messages basés sur le domaine) est une méthode d’authentification d’e-mail qui permet aux personnes propriétaires de domaine de protéger leur domaine d’une utilisation non autorisée. En fournissant une politique claire aux fournisseurs de messagerie et aux fournisseurs d’accès à Internet (FAI), elle permet d’empêcher des entités malveillantes d’envoyer des e-mails prétendant provenir de votre domaine. L’implémentation de DMARC réduit le risque que les e-mails légitimes soient marqués comme spam ou refusés et améliore la délivrabilité de vos e-mails.
DMARC propose également des rapports sur les messages dont l’authentification échoue, ainsi qu’un contrôle sur la gestion des e-mails qui ne sont pas conformes à la validation DMARC. Selon la politique DMARC implémentée, ces e-mails peuvent être surveillés, mis en quarantaine ou refusés. Ces fonctionnalités vous permettent de prendre des mesures pour atténuer les erreurs potentielles et les corriger.
Pour vous aider à éviter les problèmes de délivrabilité tout en prenant le contrôle des e-mails qui ne parviennent pas à s’authentifier, Journey Optimizer prend désormais en charge la technologie DMARC directement dans son interface d’administration. En savoir plus
Comment DMARC fonctionne-t-il ? how-dmarc-works
SPF et DKIM sont tous deux utilisés pour associer un e-mail à un domaine et permettent d’authentifier les e-mails. DMARC va plus loin et contribue à empêcher les usurpations en faisant correspondre le domaine vérifié par DKIM et SPF.
Pour être conforme à DMARC, un message doit être conforme à SPF ou DKIM.
- SPF (Sender Policy Framework) aide à vérifier que l’e-mail provient d’une source autorisée en comparant l’adresse IP du serveur d’envoi à une liste d’adresses IP autorisées pour le domaine.
- DKIM (DomainKeys Identified Mail) ajoute une signature numérique aux e-mails, permettant aux personnes destinataires de vérifier l’intégrité et l’authenticité du message.
Si l’authentification des deux échoue, DMARC échoue et l’e-mail est diffusé conformément à la politique DMARC que vous avez sélectionnée.
Politiques DMARC dmarc-policies
Si un e-mail ne parvient pas à s’authentifier auprès de DMARC, vous pouvez décider quelle action sera appliquée à ce message. DMARC propose trois options de politique :
- Surveiller (p=none) : indique au fournisseur de messagerie/FAI d’appliquer la procédure normale au message.
- Quarantaine (p=quarantine) : indique au fournisseur de messagerie/FAI d’envoyer les e-mails qui ne passent pas DMARC vers le dossier spam ou de courrier indésirable des personnes destinataires.
- Rejeter (p=reject) : indique au fournisseur de messagerie/FAI de bloquer les e-mails qui ne passent pas DMARC, ce qui entraîne un rebond.
Mise à jour des exigences DMARC dmarc-update
Dans le cadre de l’application des bonnes pratiques du secteur, Google et Yahoo! exigent tous deux que vous disposiez d’un enregistrement DMARC pour tout domaine utilisé pour leur envoyer des e-mails. Cette nouvelle exigence s’applique dès le 1er février 2024.
Par conséquent, Adobe vous recommande vivement de prendre les mesures suivantes :
-
Assurez-vous que l’enregistrement DMARC est configuré pour tous les sous-domaines que vous avez délégués à Adobe dans Journey Optimizer. Voici comment procéder
-
Lorsque vous déléguez un nouveau sous-domaine à Adobe, vous pouvez configurer DMARC directement dans votre Journey Optimizerinterface d’administration. Voici comment procéder
Implémenter DMARC dans Journey Optimizer implement-dmarc
L’interface d’administration Journey Optimizer vous permet de configurer l’enregistrement DMARC pour tous les sous-domaines que vous avez déjà délégués ou que vous souhaitez déléguer à Adobe. Les étapes détaillées sont décrites ci-dessous.
Vérifier vos sous-domaines existants pour DMARC check-subdomains-for-dmarc
Pour vous assurer que l’enregistrement DMARC est configuré pour tous les sous-domaines que vous avez délégués à Journey Optimizer, suivez les étapes ci-dessous.
-
Accédez au menu Administration > Canaux > Paramètres des e-mails > Sous-domaines, puis cliquez sur Configurer le sous-domaine.
-
Pour chaque sous-domaine délégué, vérifiez la colonne Enregistrement DMARC. Si aucun enregistrement n’a été trouvé pour un sous-domaine donné, une alerte s’affiche.
note caution CAUTION Pour se conformer à la nouvelle exigence de Gmail et Yahoo! et éviter des problèmes de délivrabilité avec les principaux FAI, il est recommandé de configurer un enregistrement DMARC pour tous les sous-domaines délégués. En savoir plus -
Sélectionnez un sous-domaine auquel aucun enregistrement DMARC n’est associé et renseignez les champs Enregistrement DMARC en fonction des besoins de votre entreprise. Les étapes pour renseigner les champs de l’enregistrement DMARC sont présentées dans cette section.
-
Tenez compte des deux options ci-dessous :
-
Si vous modifiez un sous-domaine configuré avec CNAME, vous devez copier l’enregistrement DNS pour DMARC dans votre solution d’hébergement pour générer les enregistrements DNS correspondants.
Vérifiez que l’enregistrement DNS a été généré dans votre solution d’hébergement de domaine et cochez la case « Je confirme… ».
-
Si vous modifiez un sous-domaine entièrement délégué à Adobe, il vous suffit de renseigner les champs Enregistrement DMARC détaillés dans cette section. Aucune action supplémentaire n’est requise.
-
-
Enregistrez vos modifications.
Configurer DMARC pour les nouveaux sous-domaines set-up-dmarc
Lors de la délégation de nouveaux sous-domaines à Adobe dans Journey Optimizer, un enregistrement DMARC sera créé dans DNS pour votre domaine. Suivez les étapes ci-dessous pour mettre en œuvre DMARC.
-
Configurez un nouveau sous-domaine. Voici comment procéder
-
Accédez à la section Enregistrement DMARC.
Si le sous-domaine comporte un enregistrement DMARC existant et s’il est récupéré par Journey Optimizer, vous pouvez utiliser les mêmes valeurs que celles mises en surbrillance dans l’interface ou les modifier si nécessaire.
note note NOTE Si vous n’ajoutez pas de valeurs, les valeurs préremplies par défaut seront utilisées. -
Définissez l’action que le serveur de la personne destinataire doit effectuer en cas d’échec de DMARC. Selon la politique DMARC que vous souhaitez appliquer, sélectionnez l’une des trois options :
- Aucune (valeur par défaut) : indique à la personne destinataire de n’effectuer aucune action sur les messages qui ne passent pas l’authentification DMARC, tout en envoyant des rapports d’e-mail à l’expéditeur ou à l’expéditrice.
- Quarantaine : indique au serveur de réception de mettre en quarantaine les e-mails qui ne passent pas l’authentification DMARC. Cela signifie généralement de placer ces messages dans le dossier spam ou courrier indésirable de la personne destinataire.
- Refus : indique à la personne destinataire de refuser complètement (rebond) tout e-mail pour le domaine qui ne réussit pas l’authentification. Lorsque cette politique est activée, seul un e-mail qui est vérifié comme étant authentifié à 100 % par votre domaine aura une chance d’être placé en boîte de réception.
note note NOTE Il est recommandé de déployer lentement la mise en œuvre de DMARC en faisant passer votre politique DMARC de Aucune à Quarantaine, puis à Refus, à mesure que vous comprenez l’impact potentiel de DMARC. -
Vous pouvez éventuellement ajouter une ou plusieurs adresses e-mail de votre choix pour indiquer où stocker les rapports DMARC des e-mails qui ne réussissent pas l’authentification dans votre entreprise. Vous pouvez ajouter jusqu’à cinq adresses pour chaque rapport.
note note NOTE Assurez-vous que vous contrôlez une véritable boîte de réception (hors Adobe) dans laquelle vous pouvez recevoir ces rapports. Il existe deux rapports différents générés par les FAI que les expéditeurs et expéditrices peuvent recevoir par le biais des balises RUA/RUF dans leur politique DMARC :
- Rapports agrégés (RUA) : ils ne contiennent aucune information d’identification personnelle qui pourrait être sensible au RGPD.
- Rapports d’échec (RUF) : ils contiennent des adresses e-mail sensibles au RGPD. Avant de les utiliser, vérifiez en interne comment traiter les informations qui doivent être conformes au RGPD.
note note NOTE Ces rapports hautement techniques fournissent une vue d’ensemble des e-mails qui ont fait l’objet d’une tentative d’usurpation. Il est préférable de les digérer à l’aide d’un outil tiers. -
Sélectionnez le pourcentage applicable des e-mails pour DMARC.
Ce pourcentage dépend de votre confiance dans votre infrastructure de messagerie et de la tolérance envers les faux positifs (e-mails légitimes marqués comme frauduleux). Il est courant que les organisations commencent par définir la politique DMARC sur Aucune. Augmentez progressivement le pourcentage de la politique DMARC et surveillez de près l’impact sur la bonne diffusion des e-mails.
note note NOTE Collaborez avec vos administrateurs et vos administratrices de messagerie ainsi que votre équipe informatique pour augmenter progressivement le pourcentage lorsque vous prenez confiance dans vos pratiques d’authentification des e-mails. Une bonne pratique consiste à viser un taux de conformité DMARC élevé, idéalement proche de 100 %, afin de maximiser les avantages de sécurité tout en réduisant le risque de faux positifs.
-
Sélectionnez une intervalle de rapports entre 24 et 168 heures. Cela permet aux personnes propriétaires de domaine de recevoir des mises à jour régulières des résultats de l’authentification des e-mails et de prendre les mesures nécessaires pour améliorer la sécurité des e-mails.