Comprendre la balise 'fo' de DMARC

Comprendre la balise 'fo' de DMARC : Options et Meilleures Pratiques pour les Rapports d'Échec

 

La balise 'fo' dans DMARC, qui signifie 'options d'échec', est une balise facultative permettant aux propriétaires de domaines de spécifier les types de problèmes d'authentification et d'alignement devant faire l'objet de rapports. Cette balise prend en charge quatre types spécifiques de rapports d'échec : fo=0, fo=1, fo=d et fo=s. Il est possible de combiner plusieurs options de rapport pour créer une stratégie de signalement adaptée à vos préférences et à votre tolérance au risque.

 

Cette balise facultative définit la manière dont les rapports RUF (Rapports d'échec) doivent être générés. Il est essentiel de recevoir et d'analyser régulièrement ces rapports, car ils fournissent des informations cruciales telles que :

• L'adresse IP de l'expéditeur

• Le domaine de l'expéditeur

• L'heure de l'envoi du message

• Les causes de l'échec de l'authentification

• Les résultats d'alignement SPF et DKIM

 

En analysant stratégiquement ces informations, vous pouvez identifier les serveurs de messagerie légitimes soumis à des faux positifs et comprendre pourquoi. De plus, cela vous permet de détecter les activités malveillantes tentées en votre nom.

 

Options de la balise 'fo' de DMARC :

• fo=0 (option par défaut) : Des rapports d'échec DMARC sont générés uniquement si SPF et DKIM ne produisent pas de résultat 'pass' aligné. En d'autres termes, fo=0 génère des rapports uniquement pour les échecs d'authentification graves que vous, en tant que propriétaire de domaine, ne pouvez pas vous permettre d'ignorer.
• fo=1 (option recommandée) : Des rapports d'échec DMARC sont produits si SPF ou DKIM ne génèrent pas de résultat 'pass' aligné. Cette option est recommandée car elle fournit des rapports pour tous les épisodes d'échec et pas seulement pour les plus graves.
• fo=d (option spécifique à DKIM) : Cette option spécifie que des rapports d'échec doivent être générés pour les messages qui échouent aux évaluations de signature DKIM, indépendamment de l'état d'alignement. Elle est idéale lorsque vous vous concentrez uniquement sur la connaissance et la résolution des problèmes spécifiques à DKIM.
• fo=s (option spécifique à SPF) : Cette option génère des rapports d'échec uniquement pour les e-mails qui échouent aux vérifications SPF, quel que soit l'état d'alignement. Elle est idéale pour les propriétaires de domaines qui se concentrent sur les problèmes liés à SPF.

 

Quand utiliser chaque paramètre de rapport d'échec ?

• Commencez avec l'option par défaut fo=0 pour éviter d'être submergé par trop de rapports. Maintenez cette option jusqu'à ce que vous ayez mis en place un processus adéquat.
• Passez progressivement à fo=1 si vous souhaitez des rapports d'échec plus complets.
• Si vous souhaitez vous concentrer uniquement sur les problèmes liés à DKIM, choisissez fo=d.
• Si vous souhaitez vous concentrer uniquement sur les problèmes liés à SPF, choisissez fo=s.
• Vous pouvez combiner les options qui correspondent le mieux à vos objectifs en matière d'authentification des e-mails.
• Ne sous-estimez pas l'importance des rapports d'échec. Continuez à les évaluer pour voir comment différents fournisseurs de services de messagerie perçoivent votre domaine.

 

Si vous avez choisi de recevoir des rapports d'échec mais que vous ne les recevez pas, il est possible que votre enregistrement DMARC présente des erreurs de configuration. Voici ce que vous devez vérifier pour commencer à recevoir les rapports RUA et RUF :

• Vous avez saisi des adresses e-mail correctes dans les sections RUA et RUF.
• Le fournisseur de messagerie prend en charge les rapports d'échec.
• La valeur 'fo' est correctement configurée selon vos préférences en matière d'authentification des e-mails.

 

Nous comprenons à quel point il peut être fastidieux de corriger les erreurs de configuration, d'apporter des ajustements et d'évaluer les rapports simultanément. C'est pourquoi nous proposons des services de qualité qui s'occupent de tout cela et bien plus encore. N'hésitez pas à nous contacter pour savoir comment nous pouvons vous aider.