Suite à mon article sur la sécurité mail avec SPF, DKIM et justement DMARC, une fois que tout est en place et que vous êtes en politique « quarantine » ou « none », il est préférable de monitorer ce qui se passe avant de passer la politique stricte en « reject ». Vous verrez toutes les anomalies et les oublis pour ne laisser que les mails autorisés!
Deux type de rapports DMARC
- rua : adresse à laquelle envoyer les rapports agrégés de DMARC
- ruf : adresse à laquelle envoyer les rapports d’erreur individuels
Vous devez créer une adresse mail générique pour recevoir les rapports agrégés pour l’analyser avec un outil interne. Souvent du style . Il faut ensuite modifier votre champ DMARC pour lui ajouter des paramètres :
_dmarc.mondomain.tld=v=DMARC1; p=none; rua=mailto:; fo=1fo=1: Générez un rapport d’échec DMARC si l’un des mécanismes d’authentification sous-jacents (SPF ou DKIM) produit un résultat autre que « pass » aligné. (Recommandé)
Exemple multi-email rua avec le séparateur virgule :
v=DMARC1;p=none;rua=mailto:,mailto:;ruf=mailto:;fo=1Exemple quarantaine :
v=DMARC1;p=quarantine;rua=mailto:;fo=1;Les différents type de paramètres
Plus de détail sur les rapports agrégés
Outils d’analyse Power Dmarc en ligne
J’ai testé l’outil en ligne Power Dmarc, il est gratuit pour un domaine en usage personnel pour 10.000 mails envoyés / mois en envoyant un mail au support très réactif.
En pro, cela démarre à 8$/mois pour <50.000 mails/mois pour 5 domaines, ce qui est honnête comme tarif.
La création du compte est assez complet et vous pouvez vérifier directement que vous avez vous champs SPF, DMARC, DKIM sont correctes.
Notez que le DKIM va prendre un sélecteur « automatiquement », mais pas vraiment… Sauf si vous avez 1,2,etc pour votre sélecteur.
Chez Infomaniak, c’est une date au format international, il faut donc allez la renseigner sous peine d’avoir un « faux » score négatif.
Pour se faire, allez dans Settings > Manage Domains :
Après avoir sélectionné votre domaine, allez mettre le sélecteur manuellement :
Rapport généré depuis easyDmarc
Afin de montrer ce que permet la mise en place des rapports DMARC, vous voyez ici qu’une partie non authentifiée dans le champ SPF est envoyée depuis MailChimp, typiquement le marketing qui avait mis cela en place sans avertir l’IT.
Il faut régulariser cela avant de passer en mode « reject » le champ DMARC sous peine d’avoir ces mails-là bloqués!
Vous voyez également un certains nombre de mail transférés vers gmail ou Infomaniak, vous devez interdire les transfert dans votre serveur de mail ou votre prestataire.
Une fois que vous n’avez plus que des compliants, alors vous pouvez passer le champ DMARC à « v=DMARC1; p=reject; ».
Si vous avez des solutions open-source pour l’analyse des rapports XML, n’hésitez pas à partager, c’est une prochaine étape!
Articles relatifs :
Laisser un commentaire