Qu’est-ce que DMARC ?

À partir de février 2024, Gmail et Yahoo mettent en place de nouvelles exigences d’authentification qui requièrent l’utilisation d’un domaine personnalisé authentifié par DKIM avec DMARC renforcé.

GetResponse conseille vivement à tous les expéditeurs d’utiliser les adresses électroniques de leurs propres domaines d’envoi comme champ from, et de configurer à la fois DKIM et DMARC.

Pour plus de détails sur ces modifications, consultez notre article de blog :
Changements d’authentification de Gmail et Yahoo : Tout ce qu’il faut savoir

Qu’est-ce que DMARC ?

DMARC signifie Domain-based Message Authentication, Reporting & Conformance. Il s’agit d’un protocole d’authentification, de politique et de rapports pour le courrier électronique. Il s’appuie sur les protocoles SPF et DKIM, largement utilisés, pour améliorer et contrôler la protection d’un domaine contre les courriers électroniques frauduleux, en ajoutant un lien avec le nom de domaine de l’auteur (“De :”), des politiques publiées pour le traitement des échecs d’authentification par les destinataires, et des rapports des destinataires aux expéditeurs.

Mise en place d’un enregistrement DMARC

Avant de commencer à configurer DMARC :

Dans l’enregistrement DMARC TXT, la politique DMARC est définie. La configuration d’une politique DMARC définit le niveau de rigueur de la vérification des messages et les actions recommandées pour un serveur recevant un message en cas d’échec de l’authentification.

Pour configurer les fonctions DMARC de base, vous devez ajouter l’enregistrement approprié dans les paramètres du serveur DNS de votre domaine. Préparez un enregistrement TXT définissant le texte de base de l’enregistrement DMARC, puis ajoutez ou mettez à jour ce fichier dans les paramètres DNS de livraison de votre domaine à partir duquel vos campagnes de marketing par courriel sont envoyées.

Une politique DMARC peut être définie dans un seul enregistrement. Voici un exemple de l’enregistrement le plus simple qui puisse être utilisé :

v=DMARC1; p=none;

Le nom de l’enregistrement DMARC (hôte) doit être _dmarc.yourdomain.com, où yourdomain.com doit être remplacé par l’URL du domaine.

Voici un autre exemple :

v=DMARC1; p=reject; rua=mailto:postmaster@example.com,
mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

Remarque : les adresses électroniques doivent être remplacées par les adresses de travail auxquelles vous avez accès. Les balises utilisées dans cet exemple peuvent ne pas convenir à tout le monde, veuillez lire leur description ci-dessous.

Un enregistrement DMARC comprend des balises obligatoires et optionnelles, définissant les politiques d’authentification du courrier électronique. Un exemple fondamental d’enregistrement DMARC doit inclure les balises essentielles suivantes :

  • v tag – informe sur les versions de DMARC, il est toujours défini comme DMARC1
  • p tag – contient des informations sur ce que les serveurs doivent faire avec les messages qui échouent à l’authentification, il y a trois politiques à choisir :
    • p=none – surveille les courriels envoyés sur votre domaine sans modifier les serveurs de messagerie des destinataires.
    • p=quarantine – redirige les courriels qui échouent vers les dossiers de courrier indésirable ou de spam tout en continuant à suivre les courriels envoyés.
    • p=reject – refuse les courriels qui échouent, les faisant rebondir et n’atteignant aucun dossier de destinataire, tout en assurant le suivi des courriels envoyés.

Si vous êtes novice en matière de DMARC, il est préférable de configurer votre politique à l’aide de p tag avec la valeur “none”.

Au fil du temps, après avoir analysé les rapports entrants pour savoir comment votre domaine est authentifié par les serveurs de réception, vous pouvez modifier le paramètre de cette balise pour la mettre en quarantaine ou la rejeter.

Des étiquettes optionnelles permettent une personnalisation plus poussée :

  • pct – décrit le pourcentage d’e-mails non authentifiés qui doivent être soumis à l’enregistrement DMARC. La plage est exprimée de 0 à 100, où 0 signifie 0 % des messages et 100 signifie 100 %. Le paramètre pct est facultatif, mais si vous ne le définissez pas dans l’enregistrement, sa valeur par défaut sera 100, ce qui inclura tous les messages non authentifiés.
  • rua=mailto:address@domain.com – spécifie une adresse électronique pour les rapports des fournisseurs de boîtes aux lettres participants, ce qui permet d’identifier les problèmes de domaine.
  • adkim – spécifie l’alignement de l’identifiant DKIM
    • adkim=s – l’alignement sera strict, ce qui signifie que le nom de domaine doit être exactement le même que le nom de domaine saisi dans les en-têtes de courrier DKIM.
    • adkim=r – l’alignement est approximatif, tous les sous-domaines valides utilisés dans l’en-tête sont acceptés.
  • aspf – fonctionne de manière similaire à adkim, mais se rapporte aux valeurs SPF.
    • aspf=s – l’adresse e-mail de départ doit correspondre exactement au nom de domaine
    • aspf=r – tout sous-domaine valide peut être utilisé dans l’en-tête du message

Chaque domaine que vous utilisez pour l’envoi nécessite la création d’une entrée distincte et la mise en œuvre de toutes les actions décrites ci-dessus. Pour les sous-domaines, les politiques DMARC s’appliquent en cascade. Si vous les définissez pour un domaine et non pour des sous-domaines, elles reprendront automatiquement les paramètres du domaine parent. Vous pouvez définir des règles distinctes pour chaque sous-domaine à l’aide du paramètre sp.

Pour plus d’informations sur l’authentification du courrier électronique, et pas seulement pour les débutants, veuillez consulter notre article de blog, et pour des informations complètes sur la fonctionnalité DMARC, visitez le site dmarc.org.

Comment ajouter un enregistrement DMARC chez des fournisseurs spécifiques ?

Vous pouvez consulter les instructions officielles établies par d’autres plateformes (et certaines par nous) sur la manière d’ajouter des enregistrements DMARC ici :

123-RegHover
Amazon Route 53 (AWS)Hostgator
ArsysHostinger
BluehostInmotion Hosting
CloudflareIONOS
Crazy DomainsIWantMyName
Domain.comName.com
Digital OceanNamecheap
DNSimpleNameSilo
DreamHostNetlify
DynadotOne.com
EnomOVH
GandiPorkbun
GoDaddyRegister.com
Google Domains

Pour plus d’informations sur l’authentification du courrier électronique, et pas seulement pour les débutants, veuillez consulter notre article de blog, et pour des informations complètes sur la fonctionnalité DMARC, visitez le site dmarc.org.

Ressources populaires