La route vers p=reject — Une stratégie de déploiement DMARC par phases
· DMARC Analyzer Pro
Passer de p=none à p=reject n'a pas à être effrayant. Suivez cette approche par phases pour appliquer DMARC sans perturber votre e-mail légitime.
Atteindre `p=reject` est l'objectif ultime de toute implémentation DMARC, mais y parvenir nécessite de la patience et une planification minutieuse. Passer directement au rejet sans comprendre votre écosystème e-mail est la recette pour bloquer vos propres messages légitimes.
Phase 1 : Découverte (p=none)
Commencez avec une politique `none` et concentrez-vous exclusivement sur la collecte de données. Publiez votre enregistrement DMARC avec le reporting RUA et laissez-le fonctionner pendant au moins quatre à six semaines. Durant cette période, votre objectif est de construire une image complète de chaque service et serveur qui envoie des e-mails en utilisant votre domaine.
Vous découvrirez des choses inattendues. L'équipe marketing s'est inscrite à un nouvel outil d'e-mailing sans prévenir l'IT. Un ancien serveur d'application envoie encore des notifications. Une entreprise partenaire envoie des e-mails en votre nom via une plateforme partagée. Ces découvertes sont exactement la raison pour laquelle la phase de surveillance existe.
Phase 2 : Remédiation
Avec vos données de rapport en main, passez en revue chaque source d'envoi légitime et assurez-vous qu'elle est correctement authentifiée. Ajoutez les services manquants à votre enregistrement SPF. Configurez la signature DKIM pour chaque expéditeur tiers qui la prend en charge. Pour les services qui ne supportent pas DKIM, évaluez s'ils peuvent être remplacés ou si des solutions alternatives existent.
Cette phase est souvent la plus longue car elle implique une coordination entre les départements et avec les fournisseurs externes. Ne vous précipitez pas — chaque source légitime non résolue est un message qui sera bloqué lorsque vous appliquerez la politique.
Phase 3 : Application progressive (p=quarantine avec pct)
Une fois vos sources légitimes authentifiées, passez à `p=quarantine` avec une valeur `pct` basse. Le tag `pct` vous permet d'appliquer votre politique à seulement un pourcentage des messages échouants. Commencez à `pct=5` et augmentez progressivement tout en surveillant vos rapports DMARC pour détecter tout échec inattendu.
Si des échecs apparaissent, enquêtez et remédiez avant d'augmenter le pourcentage. Cette approche incrémentale vous donne un filet de sécurité — même si quelque chose a été manqué pendant la phase de découverte, seule une petite fraction des messages sera affectée.
Phase 4 : Quarantaine complète
Une fois que vous avez atteint `pct=100` avec `p=quarantine` et que vos rapports montrent des résultats constamment propres, laissez-le fonctionner encore deux à quatre semaines. Cela renforce la confiance que votre configuration est solide.
Phase 5 : Rejet
La dernière étape est de passer de `quarantine` à `reject`. Encore une fois, vous pouvez utiliser le tag `pct` pour y arriver progressivement. À `p=reject` avec `pct=100`, les serveurs récepteurs bloqueront activement tout message qui échoue à l'authentification DMARC — empêchant effectivement quiconque d'usurper votre domaine.
Maintenance continue
Atteindre `p=reject` n'est pas la fin du voyage. Votre écosystème e-mail continuera d'évoluer à mesure que de nouveaux services sont ajoutés et d'anciens sont retirés. La surveillance continue via le reporting DMARC vous assure de détecter les changements avant qu'ils ne deviennent des problèmes.