DMARC Record Checker
Récupère l'enregistrement DMARC de n'importe quel domaine et relit la policy, l'alignement et le reporting en clair, avec un score qui repère un setup spoofable.
Ce DMARC record checker récupère la policy qu'un domaine publie réellement et vous la relit en clair : sur quoi p est réglé, si quelqu'un collecte vraiment les rapports agrégés, et à quel point l'alignement SPF et DKIM reste strict. Je l'ouvre surtout quand un mail de phishing débarque déguisé en une marque dont je m'occupe, parce que neuf fois sur dix la réponse est juste là, dans l'enregistrement. Il interroge _dmarc.votredomaine.com, pas le domaine nu, puisque c'est là que vit le DMARC et le détail que tout le monde rate. Ensuite il analyse chaque tag, note à quel point vous êtes proche d'une vraie application, et pointe les points faibles : un p=none qui se contente de surveiller, une adresse rua manquante, ou un alignement assez lâche pour laisser passer un spoof.
Les requêtes passent par le service de lookup PeopleAreGeek. Nous ne journalisons rien.
Utilitaire DNS email en direct
Tapez un domaine. Je récupère son enregistrement DMARC et je vous le traduis en clair : sur quoi la policy est réglée, si quelqu'un collecte vraiment les rapports, à quel point l'alignement est exigeant. J'ouvre ce truc surtout quand on me transfère un mail de phishing déguisé en une marque dont je m'occupe. Et neuf fois sur dix, la réponse est juste là, dans l'enregistrement, sans avoir à jouer au détective. Le DMARC, c'est la consigne qui dit au serveur destinataire quoi faire quand SPF ou DKIM échouent. Mal réglé, le spoof atterrit quand même dans la boîte de réception.
C'est quoi, le DMARC ?
Vérifier le DMARC d'un domaine, c'est lire une note que vous laissez dans le DNS, à destination de tous les serveurs mail de la planète. La note dit : si un message prétend venir de moi mais que les vérifications SPF ou DKIM ne collent pas, voilà ce que j'aimerais que vous en fassiez. Il y a un deuxième rôle aussi, et franchement, je trouve que c'est la meilleure raison de mettre le DMARC en place. Le DMARC peut vous renvoyer chaque jour des rapports listant tous ceux qui envoient au nom de votre domaine. C'est en général comme ça qu'on tombe sur l'outil marketing pirate dont personne n'avait parlé. Mieux vaut le découvrir maintenant, tant que vous êtes encore en p=none, qu'après avoir annoncé au monde entier que vous passiez en reject.
Les niveaux de policy DMARC
- p=none ne bloque rien du tout. Ça se contente d'activer les rapports pour que vous puissiez observer. On commence toujours par là.
- p=quarantine dit : le mail qui échoue part en spam, pas dans la boîte de réception. J'ai tendance à rester là-dessus un bon moment, jusqu'à ce que les rapports arrêtent de me surprendre.
- p=reject, c'est le réglage qui coupe vraiment le spoofing, parce que le mail qui échoue est refusé à la porte et n'arrive jamais.
Sources et lectures complémentaires
Questions fréquentes
Est-ce que chaque domaine devrait avoir du DMARC ?
Oui. Même ceux depuis lesquels vous n'envoyez pas le moindre mail. Les domaines parqués, les marques mortes, ce projet perso que vous aviez oublié posséder : ce sont justement ceux que les attaquants visent en premier, précisément parce que personne ne les surveille. Si un domaine a le moindre rapport avec l'email, ou avec de l'argent qui atterrit dans la boîte de quelqu'un, alors zapper l'enregistrement me paraît carrément imprudent.
Est-ce que p=none suffit ?
Pour les premières semaines, oui. p=none vous laisse le temps de lire les rapports et de repérer tous vos expéditeurs légitimes avant de commencer à bloquer quoi que ce soit. Seul, en revanche, ça ne protège personne. Un spoofeur se fiche éperdument que vous soyez en train de le surveiller. Donc une fois que SPF et DKIM ressortent propres et que les rapports arrêtent de vous réserver des surprises, passez en quarantine. Puis, quand vous aurez les nerfs assez solides, en reject.
Où vit réellement l'enregistrement DMARC ?
Pas sur le domaine racine, comme le fait SPF. Il se trouve sur _dmarc.votredomaine.com, sur son propre nom d'hôte, et c'est exactement pour ça que ce checker interroge ce nom et pas le domaine nu. Lisez seulement les enregistrements TXT de la racine et vous jureriez qu'il n'y a aucun DMARC. Ce simple détail piège plus de monde que n'importe quel tag de l'enregistrement.
À quoi sert le tag policy ?
Le tag p, c'est la consigne qu'un serveur destinataire suit quand un message échoue à SPF ou à DKIM. p=none ne bloque rien et active seulement les rapports. p=quarantine envoie le mail en échec vers le spam. p=reject le refuse à la porte, donc il n'arrive jamais. Le checker vous relit ce tag en clair et note à quel point l'enregistrement est proche d'une vraie application.