DMARC
Qu'est-ce que DMARC ?
DMARCStandard d'authentification d'e-mail défini par le RFC 7489 qui permet au propriétaire d'un domaine de publier une politique indiquant aux récepteurs que faire des messages échouant SPF/DKIM et l'alignement.
DMARC (Domain-based Message Authentication, Reporting and Conformance), spécifié dans le RFC 7489, complète SPF (RFC 7208) et DKIM (RFC 6376) en imposant un alignement d'identifiants entre le domaine du champ From: et le domaine authentifié par SPF ou DKIM. Le titulaire publie un enregistrement TXT à _dmarc.example.com indiquant la politique (p=none, quarantine, reject), le traitement des sous-domaines, le mode d'alignement, le pourcentage et les URI de rapports (rua, ruf). Les récepteurs envoient des rapports agrégés (RFC 7489) et forensiques (RFC 6591) permettant d'authentifier les sources légitimes avant de passer à reject. DMARC bloque la plupart des usurpations directes de domaine, conditionne BIMI et est exigé depuis 2024 par les règles d'expéditeurs en masse de Yahoo et Google.
● Exemples
- 01
Publier v=DMARC1; p=reject; rua=mailto:dmarc@example.com pour imposer une authentification stricte sur example.com.
- 02
Utiliser les rapports XML agrégés pour identifier et authentifier une plateforme marketing oubliée avant de passer de p=none à p=reject.
● Questions fréquentes
Qu'est-ce que DMARC ?
Standard d'authentification d'e-mail défini par le RFC 7489 qui permet au propriétaire d'un domaine de publier une politique indiquant aux récepteurs que faire des messages échouant SPF/DKIM et l'alignement. Cette notion relève de la catégorie Sécurité réseau en cybersécurité.
Que signifie DMARC ?
Standard d'authentification d'e-mail défini par le RFC 7489 qui permet au propriétaire d'un domaine de publier une politique indiquant aux récepteurs que faire des messages échouant SPF/DKIM et l'alignement.
Comment fonctionne DMARC ?
DMARC (Domain-based Message Authentication, Reporting and Conformance), spécifié dans le RFC 7489, complète SPF (RFC 7208) et DKIM (RFC 6376) en imposant un alignement d'identifiants entre le domaine du champ From: et le domaine authentifié par SPF ou DKIM. Le titulaire publie un enregistrement TXT à _dmarc.example.com indiquant la politique (p=none, quarantine, reject), le traitement des sous-domaines, le mode d'alignement, le pourcentage et les URI de rapports (rua, ruf). Les récepteurs envoient des rapports agrégés (RFC 7489) et forensiques (RFC 6591) permettant d'authentifier les sources légitimes avant de passer à reject. DMARC bloque la plupart des usurpations directes de domaine, conditionne BIMI et est exigé depuis 2024 par les règles d'expéditeurs en masse de Yahoo et Google.
Comment se défendre contre DMARC ?
Les défenses contre DMARC combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de DMARC ?
Noms alternatifs courants : Authentification, rapport et conformité de messages par domaine.
● Termes liés
- network-security№ 1076
SPF (Sender Policy Framework)
Mécanisme d'authentification d'e-mail du RFC 7208 permettant à un domaine de publier dans le DNS quelles adresses IP ou quels hôtes sont autorisés à émettre du courrier avec son domaine dans le MAIL FROM d'enveloppe.
- network-security№ 330
DKIM
Standard d'authentification d'e-mail (RFC 6376) permettant à un domaine expéditeur d'apposer une signature cryptographique aux messages sortants, pour que les destinataires vérifient que l'en-tête et le corps n'ont pas été altérés.
- network-security№ 095
BIMI
Standard de messagerie qui permet d'afficher un logo de marque vérifié à côté des messages authentifiés dans les clients compatibles, à condition que le domaine applique une politique DMARC en quarantine ou reject.
- attacks№ 375
Usurpation d'e-mail
Falsification des en-têtes d'un e-mail pour qu'il semble provenir d'un expéditeur de confiance, généralement à des fins de phishing, fraude ou diffusion de malware.
- attacks№ 135
Compromission de messagerie d'entreprise
Fraude ciblée où un attaquant usurpe ou prend le contrôle d'une boîte mail d'entreprise pour pousser un employé à virer de l'argent, modifier des coordonnées bancaires ou exfiltrer des données.
- network-security№ 984
Passerelle de messagerie sécurisée
Service périmétrique ou cloud filtrant le courrier entrant et sortant à la recherche de spam, phishing, malware, fuites de données et violations de politique avant arrivée dans les boîtes.
● Voir aussi
- № 707MTA-STS
- № 058ARC (Authenticated Received Chain)
- № 452Greylisting
- № 336DNSBL (liste noire DNS)