Table des matières

DMARC

Cette page concerne l’implémentation du protocole DMARC chez Picasoft. Pour une explication théorique de celui-ci, voir ce paragraphe.

La configuration de DMARC pour Picasoft se fait en deux temps :

  1. l’insertion d’un enregistrement TXT dans le DNS,
  2. la configuration d’un programme chargé d’appliquer DMARC aux mails entrant.

Publication de notre politique DMARC dans le DNS

L’enregistrement DMARC dans le DNS permet de spécifier au monde entier la procédure qu’on souhaite voir appliquée aux mails dont le champ from termine en @picasoft.net. Celle-ci peut être :

Dans les trois cas, un rapport peut être envoyé si une adresse mail est renseignée dans cet enregistrement DNS.

La rédaction de cet enregistrement peut se faire manuellement. Sinon, le site officiel propose une configuration interactive et aboutit à la rédaction de cet enregistrement, à insérer tel quel dans le DNS. À titre d’exemple, l’entrée dans le DNS de Picasoft est :

_dmarc.picasoft.net. IN TXT "v=DMARC1; p=none; rua=mailto:tech@picasoft.net; sp=none; adkim=s; aspf=r; ri=604800"

Explications :

On peut aussi le retrouver avec la commande :

dig -t txt _dmarc.picasoft.net

:!: Attention à bien penser à incrémenter le serial du DNS après modification de celui-ci.

Configuration de OpenDMARC

Le programme utilisé pour appliquer les politiques DMARC des autres sur nos mails entrant est opendmarc (paquet du même nom). Lors de l’installation de celui-ci, un fichier /etc/opendmarc.conf est créé, ainsi qu’un utilisateur système et un groupe opendmarc.

La configuration est similaire à celle de OpenDKIM, en plus simplifiée (il n’y a que les sockets et le fichier /etc/opendmarc.conf à configurer). Les spécificités de cette configuration sont :

Pour configurer plus finement OpenDMARC, se reporter à la documentation officielle.

À noter : indépendamment de la politique de l’émetteur, OpenDMARC permet au destinataire de choisir de supprimer ou non les mails qui échouent au test DMARC avec le paramètre RejectFailures false.