Pourquoi surveiller les rapports DMARC ?
DMARC (Domain-based Message Authentication, Reporting and Conformance, RFC 7489) est le standard d'authentification email qui unifie SPF et DKIM pour protéger votre domaine contre l'usurpation d'identité et le phishing. Mais publier un enregistrement DMARC n'est que la première étape. Sans monitoring continu, vous ne savez pas :
- Quelles sources envoient du courrier au nom de votre domaine
- Si vos flux de courrier légitimes passent les contrôles SPF et DKIM avec un alignement correct
- Si des tiers non autorisés exploitent votre domaine pour du phishing ou du spam
Problèmes courants détectés grâce au monitoring DMARC :
- Expéditeurs tiers mal configurés : un CRM, une plateforme de newsletter ou un système de facturation envoie du courrier pour votre domaine sans alignement SPF ou DKIM correct. Vos emails arrivent en spam ou sont rejetés.
- Usurpation de domaine et phishing : des acteurs malveillants usurpent votre adresse From pour envoyer des emails de phishing. Sans monitoring, vous n'avez aucune visibilité sur ces attaques.
- Migrations de messagerie incomplètes : après un changement de fournisseur de messagerie, l'ancien service continue d'envoyer du courrier non aligné, faisant chuter votre taux de conformité DMARC.
- Services de messagerie non autorisés (shadow IT) : des services utilisent la messagerie sans votre autorisation. Les rapports DMARC révèlent ces expéditeurs inconnus.
Comment fonctionne l'authentification DMARC
DMARC s'appuie sur deux protocoles sous-jacents : SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail). Chacun authentifie un aspect différent de l'email :
| Protocole | Ce qu'il vérifie | Comment ça fonctionne |
|---|---|---|
| SPF | IP de l'expéditeur d'enveloppe | Le serveur de réception vérifie si l'IP de l'expéditeur est listée dans l'enregistrement DNS SPF du domaine |
| DKIM | Intégrité du message | Une signature cryptographique dans l'en-tête de l'email est vérifiée par rapport à une clé publique dans le DNS |
| DMARC | Alignement des identifiants | Vérifie qu'au moins SPF ou DKIM réussit et s'aligne avec le domaine de l'en-tête From |
Le concept clé est l'alignement. SPF et DKIM peuvent tous deux réussir, mais si aucun ne s'aligne avec le domaine de l'en-tête From, DMARC échoue quand même. C'est la source la plus fréquente d'échecs d'authentification, et la raison principale pour laquelle le monitoring est essentiel.
DMARC définit également ce que les serveurs de réception doivent faire en cas d'échec d'authentification : rien (p=none), mettre le message en quarantaine (p=quarantine) ou le rejeter (p=reject).
Comment configurer le monitoring DMARC en 3 étapes
Étape 1 : Ajoutez votre domaine et vérifiez la propriété
Connectez-vous et enregistrez le domaine que vous souhaitez surveiller. Ajoutez l'enregistrement TXT de vérification CaptainDNS à votre DNS. Ce système de vérification est partagé avec tous les services CaptainDNS (hébergement MTA-STS, monitoring TLS-RPT, hébergement BIMI).
Étape 2 : Configurez votre enregistrement DNS DMARC
L'assistant de configuration analyse l'état DNS actuel de votre domaine et propose l'enregistrement exact à publier :
- Aucun enregistrement DMARC existant : un enregistrement complet est généré avec
p=noneet notre adresserua= - Enregistrement DMARC existant : votre politique, vos paramètres d'alignement et vos adresses
rua=existantes sont préservés ; notre adresse est ajoutée automatiquement - Enregistrement existant invalide : le problème est signalé et un remplacement propre est proposé
Il suffit de copier l'hôte (_dmarc.votredomaine.com) et la valeur, puis de les coller dans votre fournisseur DNS.
Étape 3 : Les rapports sont reçus et analysés automatiquement
Les fournisseurs de messagerie commencent à envoyer leurs rapports agrégés dans les 24 à 48 heures. CaptainDNS les ingère, décompresse le XML, analyse les résultats d'authentification et affiche les conclusions dans votre tableau de bord : scores de conformité, IP sources, taux de réussite/échec et dispositions appliquées.
Comprendre les rapports DMARC agrégés
Les rapports DMARC agrégés (rua) sont des fichiers XML envoyés périodiquement (généralement toutes les 24 heures) par les fournisseurs de messagerie comme Google, Microsoft, Yahoo et Apple. Ils décrivent les résultats d'authentification pour chaque source ayant envoyé du courrier en utilisant votre domaine durant la période de rapport.
RUA vs RUF : rapports agrégés vs rapports d'échec
DMARC définit deux types de rapports :
| Type de rapport | Tag | Fréquence | Contenu | Support fournisseur |
|---|---|---|---|---|
| Agrégé (RUA) | rua= | Quotidien (généralement toutes les 24h) | Données d'authentification résumées par IP source | Largement supporté par tous les principaux fournisseurs |
| Forensique (RUF) | ruf= | Par échec | Détails de messages individuels incluant les en-têtes | Très limité (la plupart des fournisseurs n'envoient pas de rapports RUF pour des raisons de confidentialité) |
CaptainDNS se concentre sur les rapports agrégés (RUA), qui fournissent les données nécessaires au suivi de conformité et à l'identification des sources. Les rapports forensiques sont rarement disponibles en pratique.
Que contient un rapport DMARC agrégé ?
| Champ | Description |
|---|---|
| Organisation émettrice | Le fournisseur de messagerie qui a généré le rapport (Google, Microsoft, Yahoo, etc.) |
| Période | Horodatages de début et de fin de la fenêtre de rapport |
| Politique publiée | Votre politique DMARC (none, quarantine, reject) et les pourcentages appliqués |
| Résultats par IP source | Pour chaque IP d'envoi : nombre de messages, résultat SPF, résultat DKIM, statut d'alignement, disposition appliquée |
| Identifiants d'en-tête | Domaine de l'en-tête From et domaines utilisés pour l'évaluation SPF et DKIM |
Exemple de rapport DMARC agrégé
Voici un extrait simplifié d'un rapport DMARC agrégé au format XML :
<?xml version="1.0" encoding="UTF-8"?>
<feedback>
<report_metadata>
<org_name>google.com</org_name>
<date_range>
<begin>1710201600</begin>
<end>1710288000</end>
</date_range>
</report_metadata>
<policy_published>
<domain>example.com</domain>
<p>none</p>
<sp>none</sp>
<pct>100</pct>
</policy_published>
<record>
<row>
<source_ip>203.0.113.1</source_ip>
<count>1547</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>pass</spf>
</policy_evaluated>
</row>
<row>
<source_ip>198.51.100.42</source_ip>
<count>23</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>fail</dkim>
<spf>fail</spf>
</policy_evaluated>
</row>
</record>
</feedback>
La première ligne montre 1 547 messages provenant d'une source légitime qui passent les deux contrôles. La seconde révèle 23 messages provenant d'une IP inconnue qui échouent à la fois SPF et DKIM, une tentative potentielle d'usurpation. CaptainDNS analyse ces rapports automatiquement et présente les données dans votre tableau de bord.
Référence des tags d'un enregistrement DMARC
Un enregistrement DMARC TXT est publié à _dmarc.votredomaine.com. Voici les tags disponibles :
| Tag | Requis | Exemple | Description |
|---|---|---|---|
v | Oui | v=DMARC1 | Version du protocole (toujours DMARC1) |
p | Oui | p=none | Politique pour le domaine : none, quarantine ou reject |
sp | Non | sp=reject | Politique pour les sous-domaines (hérite de p si absent) |
rua | Non | rua=mailto:reports@example.com | Où envoyer les rapports agrégés |
ruf | Non | ruf=mailto:forensics@example.com | Où envoyer les rapports d'échec |
adkim | Non | adkim=s | Mode d'alignement DKIM : r (relaxed, par défaut) ou s (strict) |
aspf | Non | aspf=r | Mode d'alignement SPF : r (relaxed, par défaut) ou s (strict) |
pct | Non | pct=50 | Pourcentage de messages soumis à la politique (par défaut 100) |
fo | Non | fo=1 | Options de rapports forensiques : 0 (par défaut), 1, d, s |
ri | Non | ri=86400 | Intervalle de rapport en secondes (par défaut 86400 = 24h) |
Utilisez notre Générateur DMARC pour créer un enregistrement valide, ou le Vérificateur de syntaxe DMARC pour valider un enregistrement existant.
Du monitoring à l'application : le chemin vers p=reject
DMARC est le plus efficace avec p=reject, où les messages usurpés sont rejetés entièrement. Mais passer directement à reject sans monitoring est dangereux : les expéditeurs légitimes dont l'authentification est mal configurée verront leur courrier bloqué.
Progression recommandée :
-
p=none(monitoring uniquement) : collectez les rapports pendant 2 à 4 semaines. Identifiez toutes les sources légitimes et corrigez les problèmes d'alignement SPF/DKIM. Objectif : taux de conformité supérieur à 95 %. -
p=quarantine(application partielle) : les messages en échec sont envoyés dans le spam au lieu de la boîte de réception. Commencez avecpct=25, puis augmentez à 50 % et 100 % sur 2 à 4 semaines. Surveillez si du courrier légitime est mis en quarantaine. -
p=reject(application complète) : les messages en échec sont rejetés. L'usurpation de domaine est totalement bloquée. Commencez avecpct=25, puis montez progressivement à 100 %.
Calendrier : La plupart des organisations complètent ce parcours en 4 à 8 semaines. Ne précipitez pas les choses. Chaque étape doit confirmer qu'aucun flux de courrier légitime n'est impacté.
Atteindre p=reject débloque également BIMI (Brand Indicators for Message Identification), qui affiche le logo de votre marque à côté de vos emails dans les boîtes de réception compatibles.
Exigences DMARC de Google et Yahoo
Depuis février 2024, Google et Yahoo appliquent des exigences d'authentification email plus strictes pour les expéditeurs en masse (5 000+ messages par jour vers des adresses Gmail ou Yahoo) :
- Enregistrement DMARC requis : les expéditeurs en masse doivent publier un enregistrement DMARC avec au moins
p=none - SPF et DKIM requis : les deux protocoles doivent être configurés, pas seulement l'un des deux
- Alignement requis : le domaine de l'en-tête From doit s'aligner avec SPF ou DKIM
- Désinscription en un clic : les emails marketing doivent supporter la désinscription en un clic selon la RFC 8058
Le monitoring DMARC est indispensable pour respecter ces exigences. Sans lui, vous ne pouvez pas vérifier que vos sources email passent les contrôles d'authentification ni maintenir le taux de conformité requis. Les expéditeurs non conformes risquent de voir leur courrier ralenti ou rejeté par Google et Yahoo.
Échecs DMARC courants et comment les corriger
| Échec | Cause | Correction |
|---|---|---|
| L'alignement SPF échoue | Le domaine de l'expéditeur d'enveloppe diffère du domaine de l'en-tête From | Configurez le service tiers pour utiliser votre domaine comme expéditeur d'enveloppe, ou ajoutez ses IP d'envoi à votre enregistrement SPF |
| L'alignement DKIM échoue | La signature DKIM utilise un domaine différent de l'en-tête From | Configurez la signature DKIM avec votre domaine (pas le domaine par défaut du fournisseur) |
| SPF dépasse la limite de requêtes DNS | L'enregistrement SPF contient plus de 10 requêtes DNS | Aplatissez votre enregistrement SPF ou supprimez les includes inutilisés. Utilisez notre Vérificateur de syntaxe SPF |
| Un expéditeur tiers échoue aux deux | Le service envoie en votre nom sans SPF ni DKIM | Ajoutez les IP du service à votre enregistrement SPF et configurez la signature DKIM |
| Usurpation de sous-domaine | Des attaquants utilisent des sous-domaines que vous n'avez pas protégés | Ajoutez sp=reject à votre enregistrement DMARC pour appliquer la politique de rejet à tous les sous-domaines |
| Le courrier transféré échoue | Le transfert de courrier casse SPF ; DKIM survit si le corps n'est pas modifié | Assurez-vous que DKIM est configuré, il survit au transfert. Envisagez le support ARC (Authenticated Received Chain) |
Cas d'usage concrets
Cas 1 : Identifier un service tiers mal configuré
Symptôme : Le taux de conformité DMARC chute de 98 % à 72 % sur une semaine.
Diagnostic : Le tableau de bord montre une nouvelle IP source envoyant un volume important sans alignement DKIM. Il s'agit du nouveau CRM marketing, configuré sans signature DKIM pour votre domaine.
Action : Configurez la signature DKIM dans le CRM. Le taux de conformité remonte dans les rapports suivants.
Cas 2 : Détecter une usurpation de domaine
Symptôme : Des IP sources inconnues apparaissent dans les rapports, envoyant du courrier au nom de votre domaine avec un échec total SPF et DKIM.
Diagnostic : Les rapports DMARC révèlent des tentatives de phishing depuis des serveurs situés dans des juridictions suspectes. Votre politique p=none laisse passer ces messages.
Action : Passez progressivement votre politique de p=none à p=quarantine puis p=reject. Les rapports suivants confirment que les messages frauduleux sont rejetés.
Cas 3 : Respecter les exigences Google pour les expéditeurs en masse
Symptôme : Gmail commence à différer vos emails marketing avec des erreurs temporaires 4xx. Les taux de livraison chutent.
Diagnostic : Le monitoring DMARC montre que votre plateforme de newsletter envoie du courrier sans alignement DKIM sur le domaine de l'en-tête From. La politique d'expéditeurs en masse de Google exige la conformité d'authentification.
Action : Configurez la signature DKIM pour votre domaine dans la plateforme de newsletter et vérifiez l'alignement via les rapports DMARC. Les taux de livraison reviennent à la normale en quelques jours.
FAQ - Questions fréquentes
Q : Qu'est-ce que le monitoring DMARC ?
R : Le monitoring DMARC consiste à recevoir et analyser les rapports agrégés (rua) envoyés par les fournisseurs de messagerie. Ces rapports indiquent quelles sources envoient du courrier au nom de votre domaine et si elles passent les contrôles SPF et DKIM avec un alignement correct.
Q : Quelle est la différence entre les rapports agrégés DMARC (RUA) et les rapports d'échec (RUF) ?
R : Les rapports agrégés (rua) sont envoyés quotidiennement et contiennent des données d'authentification résumées par IP source. Les rapports d'échec (ruf) sont envoyés pour chaque échec individuel et contiennent plus de détails, notamment les en-têtes du message. La plupart des fournisseurs n'envoient que les rapports agrégés. CaptainDNS se concentre sur l'analyse des rapports agrégés.
Q : Comment DMARC fonctionne-t-il avec SPF et DKIM ?
R : DMARC s'appuie sur SPF et DKIM en ajoutant l'alignement des identifiants. SPF valide l'IP de l'expéditeur d'enveloppe, DKIM valide une signature cryptographique, et DMARC vérifie qu'au moins l'un des deux réussit avec un alignement sur le domaine de l'en-tête From. Le monitoring révèle quand l'alignement échoue.
Q : Quelle politique DMARC choisir au départ ?
R : Commencez par p=none pour surveiller sans affecter la livraison du courrier. Une fois que votre taux de conformité DMARC est régulièrement supérieur à 95 %, passez à p=quarantine. Après avoir confirmé qu'aucun courrier légitime n'est impacté, passez à p=reject pour une protection complète contre l'usurpation.
Q : Comment configurer le monitoring DMARC ?
R : Ajoutez votre domaine dans CaptainDNS, vérifiez la propriété via l'enregistrement TXT, puis suivez l'assistant de configuration qui détecte votre enregistrement DMARC actuel et propose la mise à jour exacte nécessaire. Les rapports commencent à arriver dans les 24 à 48 heures.
Q : Le monitoring DMARC est-il gratuit avec CaptainDNS ?
R : Oui, entièrement gratuit pour jusqu'à 5 domaines. Pas de frais cachés, pas de période d'essai. Chaque domaine devrait pouvoir surveiller ses rapports DMARC agrégés quel que soit le budget.
Q : Google et Yahoo exigent-ils DMARC ?
R : Oui. Depuis février 2024, Google et Yahoo exigent des expéditeurs en masse (5 000+ messages par jour) qu'ils publient un enregistrement DMARC. Le monitoring vous aide à respecter et maintenir ces exigences en suivant la conformité de l'authentification.
Q : Que se passe-t-il si je configure ma politique DMARC sur reject ?
R : Avec p=reject, les serveurs de réception rejettent les messages qui échouent à la fois à l'alignement SPF et DKIM. Cela empêche totalement l'usurpation de domaine, mais peut bloquer le courrier légitime si les expéditeurs tiers ne sont pas correctement configurés. Surveillez toujours d'abord avec p=none.
Q : Combien de temps faut-il pour recevoir les rapports DMARC ?
R : La plupart des fournisseurs de messagerie envoient les rapports agrégés toutes les 24 heures. Après avoir publié votre adresse rua=, attendez-vous à recevoir les premiers rapports dans les 24 à 48 heures selon votre volume d'emails.
Q : Quel est le lien entre le monitoring DMARC et un enregistrement DMARC ?
R : L'enregistrement DMARC définit votre politique d'authentification (none, quarantine, reject) et le tag rua= indique où envoyer les rapports. Le monitoring DMARC analyse ces rapports pour vous montrer qui utilise votre domaine et si l'authentification fonctionne correctement.
Outils complémentaires
| Outil | Utilité |
|---|---|
| Vérification d'enregistrement DMARC | Vérifier l'enregistrement DMARC DNS de votre domaine |
| Générateur DMARC | Générer un enregistrement DNS DMARC |
| Vérification de syntaxe DMARC | Valider la syntaxe d'un enregistrement DMARC |
| Vérification d'enregistrement SPF | Vérifier votre enregistrement DNS SPF |
| Vérification d'enregistrement DKIM | Vérifier votre enregistrement DNS DKIM |
| Hébergement MTA-STS | Héberger gratuitement votre politique MTA-STS |
| Monitoring TLS-RPT | Surveiller les rapports SMTP TLS |
| Hébergement BIMI | Héberger gratuitement votre logo et certificat BIMI |
Ressources utiles
- RFC 7489 : DMARC, spécification officielle DMARC
- RFC 7208 : SPF, Sender Policy Framework
- RFC 6376 : DKIM, DomainKeys Identified Mail
- Google : Consignes pour les expéditeurs, exigences pour les expéditeurs en masse
- Yahoo : Bonnes pratiques pour les expéditeurs, exigences d'authentification Yahoo
- M3AAWG Best Practices, recommandations du Messaging Anti-Abuse Working Group