DMARC (acronyme de « Domain-based Message Authentication, Reporting & Conformance ») est un protocole d'authentification d'e-mail proposant des instructions via une politique DMARC publiée dans les DNS, vers les IPS et les destinataires d'e-mail quant à la gestion des e-mails non authentifiés. Il a initialement été conçu pour détecter et lutter contre les e-mails frauduleux.

DMARC exploite deux protocles d'authentification existants (SPF et DKIM) afin d'aider les destinataires d'e-mails à déterminer l'authenticité d'un message avant de le livrer dans la boîte de réception, de le bloquer ou de la placer en quarantaine ou dans le dossier spam en fonction de politiques paramétrées par l'expéditeur.

Voici un exemple d'enregistrement DMARC pouvant figurer dans les DNS :

• v=DMARC1;p=reject;pct=100;rua=mailto:postmaster@emarsys.com

Le principal objectif de DMARC est de mettre en place une « politique ». Cette politique définit l'action devant être effectuée à la réception d'un e-mail non authentifié de ce domaine. Les options sont : ne rien faire (« aucun »), placer l'e-mail dans le dossier Spam (en « quarantaine ») ou bloquer (« rejeter ») le message. La politique de rejet est la seule à assurer la protection complète du domaine.

Isolés, DKIM et SPF sont vulnérables : n'importe qui peut acheter un domaine et ajouter DKIM/SPF aux en-têtes d'un email. DMARC essaie de lier les résultats des vérifications DKIM et SPF au domaine qui se trouve dans l'en-tête De. Cela s'appelle l'alignement.

L'alignement aide à éviter l'usurpation du domaine De en associant le domaine utilisé dans l'en-tête De à la balise d=sender.domain dans la signature DKIM, et en associant le domaine d'expéditeur à l'enveloppe du domaine utilisé dans SPF.

Pour passer DMARC, un message doit passer l'authentification SPF et l'alignement SPF, et/ou l'authentification DKIM et l'alignement DKIM.

La deuxième fonctionnalité de DMARC consiste à permettre à l'ISP d'envoyer des rapports quant au succès ou à l'échec de l'authentification d'un domaine. Ces rapports sont envoyés aux adresses « rua » (rapports agrégés) et « ruf » (rapports légaux) définies. Le document https://e-mail.eco.de/wp-content/blogs.dir/26/files/eco_dmarc_legal_report.pdf fournit une perspective intéressante sur les aspects légaux des rapports DMARC.

DMARC permet aux ISP de s'appuyer davantage sur la réputation du domaine. La bonne réputation du domaine contribue à distribuer les e-mails aux bons endroits, en particulier lors d'un envoi via des IP partagées. Tout domaine n'étant pas protégé par DMARC est vulnérable aux tentatives de pishing et de fraudes. Si votre domaine peut être compromis par un tiers, sa réputation en pâtira.

Mais ce n'est pas tout. Bon nombre d'expéditeurs emploient des méthodes de traçage de lien pour suivre les taux de clic. Certains de ces liens traçables partagent les mêmes caractéristiques que les liens utilisés dans les e-mails de pishing. Si les liens traçables sont mal conçus, vos e-mails peuvent atterrir dans le dossier spam ou être bloqués, sauf si DMARC est utilisé. DMARC empêche le fait que des e-mails mal conçus ou formatés soient considérés comme une tentative de pishing.

Avant de protéger totalement votre domaine avec DMARC, il peut être utile de tester la bonne authentification de tous les e-mails que vous envoyez à partir de vos différents environnements. Pour ce faire, configurez une politique définie sur « aucun » ou « quarantaine » et activez le reporting. Vous devriez pouvoir lire les rapports que vous recevez afin de déterminer si votre authentification fonctionne comme vous le souhaitez.

Il existe des outils utiles pour visualiser les données des rapports agrégés, par exemple XML to Human Converter.

Une fois que vous avez le certitude que SPF et DKIM sont parfaitement alignés sur l'ensemble de l'infrastructure concernée, vous pouvez changer la politique et choisir « rejeter » en toute sécurité. Les enregistrements DMARC sont valides pour tous les sous-domaines du domaine avec lequel il est configuré. Par exemple, un enregistrement DMARC standard sur exemple.com s'applique également à sous-domaine.exemple.com. Pour une protection optimale de votre marque, il est recommandé de configurer DMARC sur le plus haut niveau de domaine possible.

Articles de résolutions des problèmes relatifs à DMARC :

• Un client répond à un spam ou des e-mails frauduleux dans votre boîte de réception d'e-mail de réponse, et ce malgré DMARC

• https://certified-senders.eu/wp-content/uploads/CSA_DMARC_protect_your_brand.pdf
• https://dmarc.org/overview/
• https://blogs.msdn.microsoft.com
• https://en.wikipedia.org/wiki/DMARC