Defaults.Exposed › Configuration › DMARC

Comment configurer DMARC avec AWS Route 53

Ajoutez un enregistrement DMARC dans votre zone hébergée Route 53 pour indiquer aux messageries que faire des e-mails qui échouent à vos contrôles.

Pourquoi c’est important pour votre activité

DMARC relie SPF et DKIM et ajoute l’instruction qui manquait : que doit faire une messagerie destinataire lorsqu’un e-mail prétendant venir de vous échoue aux contrôles ? Sans DMARC, chaque messagerie improvise. Avec DMARC, c’est vous qui décidez — et vous pouvez demander à recevoir des rapports montrant qui envoie du courrier en votre nom.

En clair : DMARC est ce qui empêche réellement des escrocs d’usurper votre domaine pour arnaquer vos clients ou vos collaborateurs. C’est la règle posée par-dessus les serrures que sont SPF et DKIM — gratuite, et qui vaut largement les quelques minutes nécessaires.

Configurez d’abord SPF et DKIM

DMARC fonctionne en vérifiant les résultats de SPF et DKIM. Si vous ne les avez pas encore mis en place, commencez par là — une règle DMARC sans rien en dessous n’a rien à faire appliquer.

Vérifiez que Route 53 gère votre DNS

Comme pour tout enregistrement DNS, cela ne fonctionne que si Route 53 répond au DNS de votre domaine. Route 53 est votre hébergeur DNS, pas votre fournisseur de messagerie. Dans la console Route 53, ouvrez Hosted zones, sélectionnez votre domaine et notez les quatre valeurs NS (serveurs de noms) ; celles-ci doivent correspondre aux serveurs de noms définis chez votre registraire. Si vous avez enregistré le domaine via Route 53, elles correspondent généralement déjà ; s’il est enregistré ailleurs — ou si vous avez plusieurs zones hébergées pour le domaine — vérifiez attentivement. Si les serveurs de noms actifs pointent ailleurs, ajoutez l’enregistrement DMARC chez le fournisseur qui gère réellement votre DNS.

Étape par étape chez Route 53

1. Connectez-vous à la console AWS et ouvrez Route 53.
2. Dans le menu de gauche, choisissez Hosted zones, puis cliquez sur le nom de votre domaine.
3. Cliquez sur Create record.
4. Si un assistant avec des options de routage apparaît, basculez vers le formulaire simple (cherchez Quick create record).
5. Dans Record name, saisissez exactement : _dmarc Ne saisissez pas votre nom de domaine après — Route 53 l’ajoute pour vous (il affiche votre domaine à côté du champ).
6. Réglez Record type sur TXT.
7. Dans Value, commencez en douceur avec une règle de simple surveillance, entourée de guillemets droits : "v=DMARC1; p=none; rua=mailto:[email protected]" Remplacez l’adresse par une boîte que vous consultez vraiment. Cela demande aux messageries de vous envoyer des rapports de synthèse sans encore modifier le traitement d’aucun courrier.
8. Laissez le TTL sur la valeur par défaut.
9. Cliquez sur Create records.

Choisir votre règle (la partie p=)

• p=none — surveillance seule. Rien n’est bloqué ; vous recevez simplement des rapports. Commencez ici.
• p=quarantine — envoie le courrier en échec vers les indésirables/spam.
• p=reject — refuse purement et simplement le courrier en échec (la protection la plus forte).

Laissez p=none quelques semaines, lisez les rapports pour confirmer que tout votre courrier légitime passe, puis montez vers quarantine et enfin reject. Passer directement à reject avant d’avoir vérifié les rapports risque de bloquer vos propres e-mails légitimes.

Pièges courants chez Route 53

• La valeur doit être entre guillemets droits. Route 53 attend que vous saisissiez les guillemets vous-même : "v=DMARC1; p=none; ...". Les oublier est l’erreur Route 53 la plus fréquente.
• Le nom d’enregistrement est _dmarc, avec le tiret bas. Une erreur courante est d’omettre le tiret bas, ou de saisir _dmarc.votredomaine.com — chez Route 53, vous saisissez seulement _dmarc et la zone est ajoutée pour vous. Saisir le domaine complet crée un host cassé _dmarc.votredomaine.com.votredomaine.com qui ne sera jamais contrôlé.
• Un seul enregistrement DMARC. Comme pour SPF, il ne doit y avoir qu’un seul enregistrement TXT DMARC sur _dmarc. Si l’un existe déjà, modifiez-le au lieu d’en ajouter un second.
• Utilisez une vraie boîte de réception pour les rapports. L’adresse après rua=mailto: doit être une boîte que vous consultez réellement, sinon les rapports sont perdus. Elle peut être sur le même domaine ou un autre. (Si vous dirigez les rapports vers un domaine que vous ne contrôlez pas, ce domaine doit l’autoriser — mais pour votre propre domaine, tout va bien.)
• La bonne zone hébergée, le bon compte. Avec plusieurs zones ou comptes AWS, il est facile de modifier la mauvaise. Confirmez que les quatre valeurs NS de la zone correspondent à vos serveurs de noms actifs.
• Laissez du temps. Les changements DNS peuvent prendre de quelques minutes à deux heures pour être pris en compte.

Vérifiez que ça a marché

Une fois enregistré et propagé, lancez le contrôle gratuit sur ce site. Il vous dira en langage clair si votre enregistrement DMARC est en place et quelle règle vous avez définie.

Terminé ? Vérifiez votre domaine gratuitement pour confirmer que cela a fonctionné — et voir votre note complète sur les 34 contrôles.