Déployer DMARC étape par étape
Déployer DMARC n'est pas tant écrire un enregistrement DNS que mener un déploiement maîtrisé : commencer en mode surveillance, recenser chaque émetteur légitime, corriger l'alignement, puis renforcer progressivement. Une mise en application précipitée est la première cause de perte de courrier légitime ; traitez cela comme une migration par étapes.
Prérequis
DMARC repose sur SPF et DKIM ; confirmez d'abord que les deux sont en place :
- Un enregistrement SPF couvrant toutes les sources légitimes (
v=spf1 ... -all), sous la limite des 10 résolutions. - La signature DKIM activée chez vos fournisseurs de messagerie, avec des clés 2048 bits publiées sous des sélecteurs.
Vérifiez qu'un vrai message passe bien les deux et s'aligne avec votre domaine From: avant de toucher à DMARC.
Étape 1 — Publier un enregistrement de surveillance
Commencez à p=none. Cela ne change rien à la remise ; cela ne fait que demander des rapports.
_dmarc.example.com. IN TXT
"v=DMARC1; p=none; rua=mailto:dmarc@example.com; ruf=mailto:dmarc@example.com; fo=1"
rua— destination des rapports agrégés (XML quotidien).ruf— rapports forensiques (souvent non supportés pour raisons de confidentialité ; optionnel).fo=1— demande un rapport dès qu'un mécanisme échoue à l'alignement.
Si les rapports partent vers un autre domaine, ajoutez-y un enregistrement d'autorisation :
example.com._report._dmarc.prestataire-rapports.net. IN TXT "v=DMARC1"
Étape 2 — Lire les rapports agrégés
Les rapports agrégés sont en XML, un par destinataire et par jour, classés par IP source :
<record>
<row>
<source_ip>198.51.100.10</source_ip>
<count>42</count>
<policy_evaluated><dkim>pass</dkim><spf>fail</spf></policy_evaluated>
</row>
<identifiers><header_from>example.com</header_from></identifiers>
</record>
Le XML brut devient vite ingérable — passez-le dans un outil d'analyse DMARC. Dressez l'inventaire de chaque IP émettrice : plateforme marketing, outil de ticketing, SIRH, facturation, support. Pour chacune, confirmez si elle passe SPF et/ou DKIM et s'aligne.
Étape 3 — Corriger les émetteurs légitimes
Pour chaque source non alignée :
- Échec SPF — ajoutez l'
include:ou les IP de l'émetteur ; surveillez le plafond des 10 résolutions. - Échec DKIM — activez DKIM chez ce fournisseur et publiez son sélecteur ; l'alignement DKIM résiste mieux au transfert, à privilégier.
- Aucun alignement — routez ce courrier par un chemin authentifié, ou déplacez-le vers un sous-domaine dédié (ex.
mail.example.com) avec ses propres enregistrements.
Itérez jusqu'à ce que les rapports montrent ~100 % du volume légitime aligné et conforme. Cette phase peut prendre plusieurs semaines dans une grande organisation.
Étape 4 — Quarantaine par paliers
Passez à quarantine, mais déployez graduellement avec pct :
"v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@example.com; adkim=s; aspf=s"
pct=25 applique la politique à un quart aléatoire du courrier en échec ; le reste reste traité en none. Augmentez 25 → 50 → 100 sur plusieurs semaines, en surveillant tout émetteur légitime oublié.
Étape 5 — Appliquer reject
Une fois la quarantaine à pct=100 propre, passez à l'application complète :
"v=DMARC1; p=reject; rua=mailto:dmarc@example.com; adkim=s; aspf=s"
N'oubliez pas les sous-domaines. Fixez une politique explicite pour qu'un usurpateur ne puisse pas abuser d'un sous-domaine inutilisé :
"v=DMARC1; p=reject; sp=reject; rua=mailto:dmarc@example.com"
Mode d'alignement : strict ou relâché
aspf=r/adkim=r(relâché, par défaut) — le même domaine organisationnel suffit (mail.example.coms'aligne avecexample.com).aspf=s/adkim=s(strict) — égalité exacte requise.
Le relâché convient généralement ; réservez le strict aux cas où vous maîtrisez totalement chaque sous-domaine émetteur.
Tout l'intérêt de DMARC est
p=rejectavec une couverture élevée. Un domaine laissé indéfiniment enp=noneest surveillé mais reste usurpable — le reporting est un moyen, l'application est le but.
Exploitation dans la durée
- Continuez à lire les rapports agrégés ; de nouveaux outils SaaS apparaissent sans cesse et échoueront s'ils ne sont pas autorisés.
- Faites tourner les sélecteurs DKIM régulièrement.
- Alertez sur les pics de volume en échec depuis des IP inconnues — c'est souvent une campagne d'usurpation active.
Comment GottaPhish aide
Atteindre p=reject stoppe l'usurpation du domaine exact, mais les attaquants ripostent avec des domaines sosies et des appâts de nom affiché que DMARC ne peut pas bloquer. GottaPhish et son équipe d'experts vous aident à combler cette faille résiduelle : des simulations réalistes contre précisément ces vecteurs — domaines cousins, émetteurs mal alignés — et des tableaux de bord reliant chaque attaque aux utilisateurs qui s'y sont laissé prendre. Nos experts vous accompagnent dans la configuration, conçoivent des scénarios adaptés à votre stade d'application et vous aident à interpréter les résultats, afin d'associer votre déploiement DMARC à la sensibilisation qui comble la faille humaine.
