Résumé IA
Une politique DMARC est l'instruction dans votre enregistrement DMARC qui indique aux serveurs de messagerie de réception ce qu'il faut faire des e-mails qui échouent à l'authentification. Il existe trois options : none (surveillance uniquement), quarantine (envoyer vers le spam) et reject (bloquer entièrement). Cette seule balise, écrite sous la forme p= dans votre enregistrement DNS, fait la différence entre un DMARC qui surveille simplement votre trafic d'e-mails et un DMARC qui arrête réellement les messages usurpés avant qu'ils n'atteignent une boîte de réception.
Si vous avez déjà un enregistrement DMARC, la politique est facile à trouver. Elle se trouve juste après p= dans l'enregistrement :
v=DMARC1; p=quarantine; rua=mailto:[email protected]
Dans cet exemple, la politique est quarantine. Ci-dessous, j'expliquerai ce que font les trois politiques, je vous montrerai la syntaxe exacte de l'enregistrement pour chacune, et je présenterai un calendrier réaliste pour passer de la surveillance à l'application complète.
- Avez-vous déjà défini une politique DMARC ?
- None vs. quarantine vs. reject en un coup d'œil
- p=none : surveillance sans application
- p=quarantine : la politique d'application transitoire
- p=reject : application complète
- Les balises pct et sp
- Combien de temps prend le passage de none à reject
- Erreurs courantes à éviter
- FAQ
Avez-vous déjà défini une politique DMARC ?
Si vous n'êtes pas sûr que votre domaine ait un enregistrement DMARC ou quelle politique il utilise, c'est la première chose à vérifier avant que tout cela ait de l'importance.
Le moyen le plus simple est un outil de recherche DMARC gratuit comme MXToolbox. Entrez votre domaine, et il vous montrera l'enregistrement complet, y compris la valeur p=, s'il en existe une. Vous verrez l'une des trois choses suivantes :
- Aucun enregistrement DMARC trouvé. Votre domaine n'a aucune politique, ce qui signifie que n'importe qui peut usurper votre domaine dans les e-mails sans aucune conséquence.
- Un enregistrement avec p=none. DMARC est configuré en mode de surveillance, mais n'applique encore rien.
- Un enregistrement avec p=quarantine ou p=reject. DMARC applique activement une politique.
Si rien ne s'affiche, vous devrez créer un enregistrement DMARC avant qu'une politique ne s'applique à vous. J'ai rédigé un guide complet, avec des captures d'écran pour ajouter l'enregistrement via votre fournisseur DNS, dans comment créer un enregistrement DMARC. Ce guide couvre où se trouvent les enregistrements DNS (votre hébergeur, registraire ou CDN), les champs exacts à remplir, et comment confirmer que l'enregistrement est actif une fois que vous l'avez publié.
Pendant que vous vérifiez, il est également utile de confirmer que le courrier sortant de votre site WordPress est configuré pour passer SPF et DKIM en premier lieu. WP Mail SMTP vous montre le statut d'authentification de chaque e-mail envoyé par votre site, afin que vous ne deviniez pas si votre propre site est l'une des sources que DMARC est sur le point de signaler.
Réparez vos e-mails WordPress maintenant
Le reste de cet article suppose que vous avez déjà un enregistrement ou que vous venez d'en créer un, et que vous souhaitez comprendre quelle politique choisir et quand la modifier.
None vs. quarantine vs. reject en un coup d'œil
| p=none | p=quarantine | p=reject | |
|---|---|---|---|
| Ce qui arrive aux e-mails échoués | Livré normalement | Envoyé vers le spam/indésirables | Bloqué avant la livraison |
| Niveau de protection | Aucun (surveillance uniquement) | Partiel | Complet |
| Risque de délivrabilité en cas de mauvaise configuration | Aucun | Les e-mails légitimes peuvent arriver en spam | Les e-mails légitimes peuvent être rejetés |
| À utiliser au mieux quand | Début, mappage des expéditeurs | Expéditeurs majoritairement vérifiés, test de l'application | Tous les expéditeurs confirmés comme passant |
| Les rapports sont-ils toujours envoyés ? | Oui | Oui | Oui |
p=none : surveillance sans application
p=none est la politique de départ pour tout domaine publiant DMARC pour la première fois. Elle indique aux serveurs de réception de ne prendre aucune mesure sur les e-mails qui échouent à l'authentification. Les messages échoués sont toujours livrés exactement comme ils le seraient sans DMARC. La seule chose qui change est que vous commencez à recevoir des rapports agrégés indiquant quelles sources envoient des e-mails sous votre domaine et si elles réussissent SPF et DKIM.
v=DMARC1; p=none; rua=mailto:[email protected]
Ce que fait p=none :
- Génère une visibilité sur chaque serveur envoyant des e-mails pour le compte de votre domaine
- N'a aucun impact sur la délivrabilité, car aucune mesure d'application n'est prise
- Ne nécessite aucune configuration SPF ou DKIM préalable pour être publié
Ce que p=none ne fait pas :
- Arrêter les tentatives de phishing ou d'usurpation d'identité utilisant votre domaine
- Protéger votre marque ou vos destinataires de quelque manière que ce soit
- Servir de politique valide à long terme
Un domaine restant indéfiniment en p=none a un enregistrement DMARC mais aucune protection réelle. C'est l'erreur la plus courante dans les déploiements DMARC : traiter la surveillance comme la ligne d'arrivée au lieu de la première étape.
p=quarantine : la politique d'application transitoire
p=quarantine demande aux serveurs de réception de traiter les messages échoués avec suspicion, généralement en les acheminant vers le dossier spam ou indésirable du destinataire au lieu de la boîte de réception. L'e-mail n'est pas bloqué immédiatement. Il arrive toujours, mais pas là où il le devrait normalement.
v=DMARC1; p=quarantine; rua=mailto:[email protected]
La manière exacte dont la « quarantaine » est gérée varie légèrement selon le fournisseur de messagerie. Certains signalent le message comme suspect plutôt que de le déplacer. La plupart, y compris Gmail et Outlook, l'envoient dans le spam. Quoi qu'il en soit, l'effet pratique est le même : les e-mails légitimes qui échouent à l'authentification deviennent plus difficiles à voir pour le destinataire, c'est pourquoi la quarantaine ne doit être définie qu'une fois que vous êtes sûr que tous vos expéditeurs connus sont correctement configurés.
Pourquoi les domaines utilisent la quarantaine comme étape intermédiaire :
- Elle intercepte les mauvaises configurations avant qu'elles ne deviennent des rejets. Si un expéditeur légitime commence à échouer à DMARC, l'e-mail atterrit dans le spam au lieu de disparaître complètement. Vous pouvez détecter le problème et le résoudre.
- Elle renforce la confiance pour le rejet. Observer le bon fonctionnement de la quarantaine pendant quelques semaines est le signal le plus clair que vous êtes prêt pour une application complète.
- Elle peut être appliquée progressivement. La balise
pctvous permet de mettre en quarantaine seulement un pourcentage d'e-mails échoués au début (plus à ce sujet ci-dessous).
p=reject : application complète
p=reject est la politique la plus stricte. Elle demande aux serveurs de réception de bloquer les e-mails qui échouent à l'authentification DMARC avant même qu'ils ne soient livrés. Pas de boîte de réception, pas de dossier spam. Le message est refusé.
v=DMARC1; p=reject; rua=mailto:[email protected]
Il existe deux méthodes courantes par lesquelles les serveurs de réception implémentent le rejet :
- Rejet lors de la connexion SMTP. Le serveur de réception rejette le message pendant la connexion initiale, avant qu'il ne soit entièrement accepté. C'est la méthode la plus utilisée et celle recommandée par la plupart des fournisseurs de messagerie.
- Acceptation, puis abandon. Le serveur accepte le message, puis le supprime silencieusement ou le renvoie à l'expéditeur. Cela arrive moins souvent, mais reste valide selon les spécifications DMARC.
Le rejet est l'objectif final de tout déploiement DMARC sérieux. C'est aussi la politique où les erreurs sont les plus visibles. Si un expéditeur légitime n'a pas été correctement authentifié, son courrier n'atterrira pas dans les spams où il pourrait être trouvé. Il n'arrivera tout simplement pas, et il n'y aura pas d'échec partiel pour vous alerter.
Les balises pct et sp
Deux balises supplémentaires vous permettent de contrôler la manière dont une politique est appliquée, et il est utile de connaître les deux avant de dépasser p=none.
pct contrôle le pourcentage de courriers échoués auxquels la politique s'applique. Plutôt que de passer directement à une application à 100%, vous pouvez d'abord appliquer la quarantaine ou le rejet à une plus petite partie du trafic échoué.
v=DMARC1; p=quarantine; pct=25; rua=mailto:[email protected]
Les messages en dehors de ce pourcentage sont traités comme si la politique était toujours p=none. Cela vous donne une montée en puissance progressive au lieu d'un interrupteur tout ou rien, et c'est le moyen le plus sûr de passer à l'application si vous n'êtes pas entièrement sûr que tous les expéditeurs sont pris en compte.
sp définit une politique distincte pour les sous-domaines. Sans elle, les sous-domaines héritent de la politique que vous avez définie pour le domaine principal.
v=DMARC1; p=reject; sp=quarantine; rua=mailto:[email protected]
Cet exemple applique le rejet au domaine racine tout en donnant aux sous-domaines une politique de quarantaine plus souple, utile si un sous-domaine est géré par une autre équipe ou n'a pas encore été entièrement authentifié. Omettre cette balise est une lacune courante : un domaine peut être entièrement verrouillé avec p=reject tandis qu'un sous-domaine non surveillé reste largement ouvert à l'usurpation.
Combien de temps prend le passage de none à reject
Il n'y a pas de calendrier fixe dans les spécifications DMARC, mais précipiter le déploiement est la façon la plus courante de bloquer les e-mails légitimes. Un rythme défendable et couramment recommandé ressemble à ceci :
- Restez à p=none pendant au moins 2 à 4 semaines, et plus longtemps si votre domaine envoie via plusieurs outils tiers (plateformes marketing, CRM, logiciels de helpdesk, outils de facturation). Utilisez cette période pour examiner les rapports agrégés et confirmer que tous les expéditeurs légitimes réussissent SPF ou DKIM.
- Passez à p=quarantine une fois que les expéditeurs connus sont propres, en commençant par une faible valeur de
pctcomme 25 et en l'augmentant à mesure que les rapports restent exempts de trafic légitime intercepté. - Avancez à p=reject uniquement après que la quarantaine a fonctionné à 100% sans affecter les e-mails légitimes. La plupart des domaines atteignent cette étape entre quelques mois et environ un an après le début, en fonction du nombre de sources d'envoi qu'ils doivent authentifier.
Sauter des étapes est la raison pour laquelle la plupart des déploiements DMARC échouent. Un domaine avec un seul fournisseur d'e-mails peut progresser rapidement. Un domaine envoyant via une douzaine d'outils marketing, de support et transactionnels a besoin de plus de temps, car chacune de ces sources doit réussir l'authentification avant que l'application ne soit sûre.
Erreurs courantes à éviter
- Sauter directement au rejet. Publier p=reject avant de confirmer que tous les expéditeurs légitimes sont authentifiés rejettera les vrais e-mails, parfois sans aucun avertissement.
- Jamais de p=none. Un enregistrement DMARC sans politique d'application fournit une visibilité mais aucune protection réelle contre l'usurpation.
- Oublier les sous-domaines. Si
spn’est pas défini, un attaquant peut cibler un sous-domaine qui n’a pas été verrouillé, même si le domaine principal est entièrement appliqué. - Sauter la rampe. Passer de p=none à 100% de rejet en une seule étape est plus risqué que de passer progressivement par les valeurs
pct. - Ne pas vérifier à nouveau après l'ajout de nouveaux expéditeurs. Un nouvel outil marketing ou un service d'e-mails transactionnels doit passer l'alignement SPF ou DKIM avant d'être ajouté à votre mix d'envoi, sinon il commencera à échouer DMARC dès que l'application sera active.
Sauter des étapes est la raison pour laquelle la plupart des déploiements DMARC échouent. Un domaine avec un seul fournisseur d'e-mails peut progresser rapidement. Un domaine envoyant via une douzaine d'outils marketing, de support et transactionnels a besoin de plus de temps, car chacune de ces sources doit réussir l'authentification avant que l'application ne soit sûre.
Si votre site WordPress est l'une de ces sources d'envoi, il vaut la peine de vérifier tôt. La fonction de messagerie par défaut de WordPress envoie via PHP mail() ou tout ce que le serveur est configuré pour utiliser, ce qui échoue souvent à l'alignement SPF et DKIM même lorsque le reste de votre domaine est correctement configuré. WP Mail SMTP achemine les e-mails de WordPress via une connexion SMTP authentifiée, de sorte que les propres e-mails de votre site ne deviennent pas le seul expéditeur qui retarde votre passage en quarantaine ou en rejet.
Réparez vos e-mails WordPress maintenant
FAQ
Que signifie DMARC p=none ? p=none signifie que DMARC est en mode de surveillance. Les e-mails qui échouent à l'authentification sont toujours livrés normalement, mais vous recevez des rapports indiquant quelles sources envoient des e-mails en tant que votre domaine et s'ils réussissent les vérifications.
Quelle est la différence entre DMARC quarantaine et rejet ? Quarantaine envoie les e-mails échoués dans le dossier spam du destinataire, ils sont donc toujours livrés mais plus difficiles à voir. Rejet bloque les e-mails échoués avant la livraison, ils n'arrivent donc jamais, même pas dans les spams.
Combien de temps devriez-vous rester sur p=none ? Au moins 2 à 4 semaines, bien que les domaines avec plusieurs expéditeurs tiers aient souvent besoin de plus de temps pour confirmer que chaque source est correctement authentifiée avant de passer à l'application.
Une politique DMARC affecte-t-elle la délivrabilité ? p=none n'a aucun effet sur la délivrabilité. p=quarantine et p=reject peuvent affecter la délivrabilité si un expéditeur légitime n'a pas été correctement authentifié, c'est pourquoi les deux ne doivent être appliqués que progressivement et après que la surveillance confirme que vos expéditeurs sont propres.
Ensuite, créez un enregistrement DMARC
Une fois que vous savez quelle politique convient à votre étape de déploiement, la publication correcte de l'enregistrement est tout aussi importante que le choix du bon. Mon guide sur comment créer un enregistrement DMARC explique étape par étape comment ajouter la syntaxe exacte à votre DNS, de sorte qu'il n'y ait aucun risque qu'une faute de frappe ne casse votre application.
Prêt à réparer vos e-mails ? Commencez dès aujourd'hui avec le meilleur plugin SMTP WordPress. Si vous n'avez pas le temps de réparer vos e-mails, vous pouvez obtenir une assistance complète de configuration "White Glove" moyennant un supplément, et il y a une garantie de remboursement de 14 jours pour tous les plans payants.
Si cet article vous a aidé, suivez-nous sur Facebook et Twitter pour plus de conseils et tutoriels WordPress.