Recherches récentes

    Articles populaires

      Articles
      Afficher tout
        Sujets
        Afficher tout
          Tickets
          Afficher tout
            aucun résultat

            Désolé ! aucun résultat trouvé pour

            Syntaxe du DMARC

            Modifié le  Mon, 25 Sep 2023 sur 12:04 PM

            Comment garantir la sécurité en respectant la syntaxe ? 

            Le DMARC est un enregistrement DNS de type TXT, prenant la forme suivante :

            v=DMARC1; [paramètres de politique]; [paramètre de rapports]; [autres paramètres];

            Remarque

            Cet enregistrement doit être présent sous le sous-domaine _dmarc du domaine sur lequel vous souhaitez mettre en place la protection DMARC. Par exemple, pour ajouter du DMARC sur le domaine merox.io, l'entrée TXT à ajouté sera sur _dmarc.merox.io.


            Les antispams interrogent la présence de cet enregistrement pour le domaine indiqué dans l'adresse émettrice (From). Ils testent alors la validité SPF et DKIM et indique si dmarc=fail ou dmarc=pass. Des exemples et les explications associées se trouvent ci-dessous.

            Vous pouvez aussi retrouver tous les détails dans la norme RFC7489.


            Remarque

            Vérifiez votre DMARC avec notre testeur gratuit : https://check.merox.io

            Exemples

            v=DMARC1; p=none;
            v=DMARC1; p=quarantine; sp=reject; rua=mailto:rua@emailsecurity.merox.io;
            v=DMARC1; p=none; ruf=mailto:ruf@merox.io; adkim=r; aspf=s;

            Le séparateur est le point-virgule « ; » et est obligatoire entre chaque paramètre.

            • v=DMARC1;obligatoire – au debut – définit la version du protocole. Seule valeur possible actuellement.
            • p=none;obligatoire – en deuxième position – définit la politique de traitement sur les emails non-conformes lorsque dmarc=fail. « none » n’a pas d’impact et permet donc le monitoring. « quarantine » ou « reject » sont les valeurs pour mettre en spam ou directement supprimer les emails non-conformes. 
            • sp=reject;optionnel – définit la politique de traitement pour les sous-domaines n’ayant pas une entrée DMARC spécifique. Si ce paramètre est absent, la valeur prise par défaut est celle définie dans [p=].
            • rua=mailto:rua@emailsecurity.merox.io;optionnel recommandé – définit l’email recevant les rapports DMARC. Ces rapports RUA sont des rapports au format XML agrégés envoyés une fois toutes les 24 heures (par défaut, voir [ri=])
            • ruf=mailto:exemple@domaine.fr;optionnel – définit l’email recevant les rapports forensic. Ces rapports RUF ne sont pas toujours générés par les antispams pour des soucis de données confidentielles et RGPD. Ce sont des entêtes d’email voire des emails entiers qui peuvent arriver.
              Généré en cas de double fail du SPF et DKIM (À traiter avec d’autres options « fo= ») 
            • adkim=r;optionnel – [=r] ou [=s], relaxed ou strict, sont les deux valeurs possibles pour le test d’alignement du DKIM, r étant par défaut si non spécifié. L’alignement peut être valide si l’on a un domaine et un sous-domaine du même domaine, dans ce cas, c’est du relaxed. Si l’on souhaite durcir l’alignement, strict exigera une correspondante parfaite.
            • aspf=r;optionnel – [=r] ou [=s], relaxed ou strict, sont les deux valeurs possibles pour le test d’alignement du SPF, [=r] étant par défaut si non spécifié. L’alignement peut être valide si l’on a un domaine et un sous-domaine du même domaine, dans ce cas, c’est du relaxed. Si l’on souhaite durcir l’alignement, strict exigera une correspondante parfaite. 

            D’autres paramètres existent, il est recommandé de ne pas les utiliser et de laisser leur valeur par défaut pour gagner en lisibilité pour les antispams et les humains :

            • ri=86400;optionnel – spécifie le temps entre deux rapports agrégés envoyés. La valeur par défaut est 24 heures exprimée en secondes (86400). Cependant la plupart des antispams ne traitent pas ce paramètre.
            • rf=afrf;optionnel – spécifie le format des rapports forensic. Actuellement, "afrf" est la seule valeur valide, donc inutile de la spécifier.
            • fo=0;optionnel – spécifie les cas où des rapports forensic sont envoyés. La valeur par défaut est 0.
              • o : un RUF est généré si DKIM et SPF sont en échec
              • 1 : pour générer un rapport avec DKIM ou SPF en échec
              • d : pour générer un rapport en cas d’échec DKIM
              • s : si SPF est en échec
              • il est possible de cumuler les informations, par exemple: "fo=1:d"

            Les RUA au format XML peuvent être interprétés par une plateforme comme Merox, voici des explications sur le contenu reçu.

            les RUF ne sont à utiliser qu’en cas de maîtrise de l’écosystème de messagerie et avec une bonne gestion sécurité sur l’accès à ces informations. Voici davantage d'informations sur les RUF.


            Limitations

            • Vous pouvez n’avoir qu’un seul enregistrement DMARC par domaine (ou sous-domaine)
            • L’enregistrement ne doit pas dépasser 255 caractères (comme chaque enregistrement DNS) idéalement
            • Les adresses emails pour la récupération des RUA est limité à 2. Les adresses doivent être séparé par une virgule [,]
            • Les adresses emails pour la récupération des RUF est limité à 2. Les adresses doivent être séparé par une virgule [,]


            v=DMARC1; p=quarantine; sp=reject;rua=mailto:rua@emailsecurity.merox.io,rua2@emailsecurity.merox.io; ruf=mailto:ruf@emailsecurity.merox.io; 


            Cet article a-t-il été utile ?

            C'est super !

            Merci pour votre commentaire

            Désolé ! Nous n'avons pas pu vous être utile

            Merci pour votre commentaire

            Dites-nous comment nous pouvons améliorer cet article !

            Sélectionner au moins l'une des raisons
            La vérification CAPTCHA est requise.

            Commentaires envoyés

            Nous apprécions vos efforts et nous allons corriger l'article

            Aperçu
            0 de 0