Aller au contenu principal

1. Introduction

Le Sender Policy Framework ([SPF]) et DomainKeys Identified Mail ([DKIM]) fournissent une authentification au niveau du domaine. Ils permettent aux destinataires de courrier coopérants de détecter le courrier autorisé à utiliser le nom de domaine, ce qui peut permettre un traitement différencié. (Une discussion détaillée des menaces que ces systèmes tentent de traiter se trouve dans [DKIM-THREATS].) Cependant, il n'y a eu aucun mécanisme unique largement accepté ou publiquement disponible pour la communication de politiques de traitement des messages spécifiques au domaine pour les destinataires, ou pour demander des rapports sur l'authentification et la disposition du courrier reçu. En l'absence de la capacité d'obtenir des rapports de retour, les expéditeurs qui ont mis en œuvre l'authentification du courrier ont des difficultés à déterminer l'efficacité de leur authentification. En conséquence, l'utilisation des échecs d'authentification pour filtrer le courrier ne réussit généralement pas.

Au fil du temps, des relations individuelles ont été établies entre des expéditeurs et des destinataires sélectionnés avec des moyens communiqués en privé pour affirmer la politique et recevoir le trafic de messages et les rapports de disposition d'authentification. Bien que ces pratiques ad hoc aient généralement réussi, elles nécessitent une coordination manuelle importante entre les parties, et ce modèle ne passe pas à l'échelle pour une utilisation générale sur Internet.

Ce document définit l'authentification, le rapport et la conformité des messages basés sur le domaine (Domain-based Message Authentication, Reporting, and Conformance, DMARC), un mécanisme par lequel les opérateurs de courrier exploitent les technologies d'authentification et de publicité de politique existantes pour permettre à la fois le retour de flux de messages et l'application de politiques contre le courrier non authentifié.

DMARC permet aux propriétaires de domaine (Domain Owner) et aux destinataires de collaborer en :

  1. Fournissant aux destinataires des assertions sur les politiques des propriétaires de domaine

  2. Fournissant un retour aux expéditeurs afin qu'ils puissent surveiller l'authentification et juger les menaces

Le schéma de base de DMARC est le suivant :

  1. Les propriétaires de domaine publient des assertions de politique sur les domaines via le DNS.

  2. Les destinataires comparent l'adresse RFC5322.From dans le courrier aux résultats SPF et DKIM, s'ils sont présents, et à la politique DMARC dans le DNS.

  3. Ces destinataires peuvent utiliser ces résultats pour déterminer comment le courrier doit être traité.

  4. Le destinataire envoie des rapports au propriétaire de domaine ou à son mandataire concernant le courrier prétendant provenir de leur domaine.

Les termes de sécurité utilisés dans ce document sont définis dans [SEC-TERMS].

Dernière mise à jour le