Kharma Wiki

Outils pour utilisateurs

Outils du site

Piste : playground
dmarc

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
dmarc [2025/08/31 10:03] – [Préambule] sebdmarc [2025/10/16 20:01] (Version actuelle) – [En pratique] seb
Ligne 49: Ligne 49:
 ===== En pratique ===== ===== En pratique =====
  
-''v=DMARC1; pct=100; p=none; sp=reject; rua=mailto:postmaster@mondomaine.com; ruf=mailto:postmaster@mondomaine.com; fo:1; aspf=r; adkim=r''+''v=DMARC1; pct=10; p=none; sp=reject; rua=mailto:postmaster@mondomaine.com; ruf=mailto:postmaster@mondomaine.com; fo:1; aspf=r; adkim=r''
  
-Cet enregistrement est parfait pour commencer (on peut modifier l'enregistrement après une période test de façon à affiner le réglage DMARC) car peu restrictif, seuls les emails provenant des sous-domaines et ne passant pas les tests sont rejetés.+Cet enregistrement est parfait pour commencer car peu restrictif, seuls 10% des emails sont testés, ceux provenant des sous-domaines et ne passant pas les tests sont rejetés
 + 
 +On consulte les rapports quotidiennement et on augmente le % de tests, puis on passe sur ''p=quarantine'', on passe aussi sur ''spf=s'' et ''dkim=s'' si ils ne posent pas de problèmes.
  
 Une fois tous les problèmes réglés, on peut transformer cet enregistrement en : Une fois tous les problèmes réglés, on peut transformer cet enregistrement en :
  
-''v=DMARC1; pct=100; p=reject; sp=reject; rua=mailto:postmaster@mondomaine.com; ruf=mailto:postmaster@mondomaine.com; fo:1; aspf=s; adkim=s''+''v=DMARC1; pct=100; p=reject; sp=reject; rua=mailto:postmaster@mondomaine.com; ruf=mailto:postmaster@mondomaine.com; fo:1; aspf=s; adkim=s;''
  
 Beaucoup plus strict et montrant aux MTAs qu'on se soucie d'une sécurité maximale, toute en conservant des rapports ; à condition de les étudier régulièrement sinon aucun intérêt de demander à les recevoir. Beaucoup plus strict et montrant aux MTAs qu'on se soucie d'une sécurité maximale, toute en conservant des rapports ; à condition de les étudier régulièrement sinon aucun intérêt de demander à les recevoir.
  
 +Attention, cela pose problème lors de forwarding d'email puisque l'émetteur change ; on peut mettre ''spf=r'' et ''dkim=r'' (pour Relaxed), les MTAs peuvent donc choisir quoi faire (généralement dirigé en spam).
 ===== Rapports ===== ===== Rapports =====
  
Ligne 64: Ligne 67:
  
 Ce rapport au format XML permet de savoir si les emails sont délivrés correctement. On retrouve un résumé de la politique de traitement de SPF et DKIM, et si les emails ont passés les tests (ou si certains ont été rejetés ou marqués comme spam). Ce rapport au format XML permet de savoir si les emails sont délivrés correctement. On retrouve un résumé de la politique de traitement de SPF et DKIM, et si les emails ont passés les tests (ou si certains ont été rejetés ou marqués comme spam).
 +
 +En cas de problèmes, comme un spammeur qui voudrait se faire passer pour //**expe@mondomaine.com**//, on aurait des informations dans le rapport forensic (//ruf//) telles que :
 +
 +<code xml>
 +<row>
 +    <source_ip>203.0.113.45</source_ip>
 +    <count>1</count>
 +    <policy_evaluated>
 +        <disposition>reject</disposition>
 +        <dkim>fail</dkim>
 +        <spf>fail</spf>
 +    </policy_evaluated>
 +</row>
 +</code>
  
 Ces rapports sont essentiels, au moins durant la période de mise en place d'une politique solide (très stricte) et qui fonctionne bien. Ces rapports sont essentiels, au moins durant la période de mise en place d'une politique solide (très stricte) et qui fonctionne bien.
Ligne 73: Ligne 90:
 ===== Ressources ===== ===== Ressources =====
  
-https://support.google.com/a/answer/2466580+  * Conseils Gmail : [[https://support.google.com/a/answer/2466580]] 
 +  * Test du DMARC : [[https://dmarcian.com/]] 
 +  * Lire les rapports DMARC : [[https://us.dmarcian.com/xml-to-human-converter/]]
dmarc.1756627432.txt.gz · Dernière modification : de seb