La spécification DMARC a été publiée pour la première fois en 2012, et l’IETF propose des modifications au contrôle basé sur le DNS dans DMARCbis, le titre de travail de la version mise à jour. Le groupe de travail DMARC de l’IETF a discuté des mises à jour de la spécification DMARC afin qu’elle soit plus flexible et plus facile à comprendre et à déployer.
DMARCbis, communément appelé DMARC 2.0, est la prochaine révision du protocole d’authentification des e-mails DMARC. Développé par l’IETF et attendu comme norme proposée en 2025, DMARCbis résout les ambiguïtés de longue date de la spécification originale, introduit une méthode plus fiable d’évaluation de domaine et simplifie l’utilisation des balises. Les configurations DMARC existantes resteront valides, mais les organisations sont encouragées à les revoir afin de s’aligner sur ces améliorations et de bénéficier d’une sécurité et d’une interopérabilité accrues.
DMARCbis se trouve actuellement dans la phase « Last Call » de l’IETF et devrait être publié en 2025.
Qu’est-ce que DMARCbis ?
DMARCbis est la prochaine évolution du protocole DMARC (Domain-based Message Authentication, Reporting, and Conformance). Contrairement à son prédécesseur (RFC 7489), publié en tant que document informatif, DMARCbis devrait être adopté comme une norme officielle. Cela reflète l’importance croissante du protocole et son déploiement généralisé dans l’écosystème mondial de l’email.
Les principes fondamentaux restent inchangés : les propriétaires de domaine peuvent authentifier leurs sources d’e-mails, empêcher l’usurpation d’identité et obtenir une visibilité sur l’utilisation de leurs domaines. Cependant, la mise à jour vise à rendre le protocole plus facile à mettre en œuvre, plus précis dans l’alignement des domaines et plus clair dans ses directives.
Améliorations clés dans DMARCbis
Remplacement du PSL par une exploration de l’arborescence DNS
Le nouvel algorithme Tree Walk remplace la dépendance à la Public Suffix List (PSL) pour déterminer le domaine organisationnel. À la place, la hiérarchie DNS est utilisée directement, permettant un alignement plus précis et une prise en charge native de l’héritage des politiques. La recherche est limitée à huit niveaux, et les limites de domaine sont définies à l’aide de nouvelles balises telles que psd.
Structure de balises simplifiée
Pour réduire la confusion et la complexité de mise en œuvre, plusieurs balises sont remplacées, notamment les suivantes :
| Balises obsolètes | Nouvelles balises |
|---|---|
pct – Application partielle | psd – Marque explicitement les domaines de suffixe public |
rf – Format de rapport | np – Définit des politiques pour les sous-domaines inexistants |
ri – Intervalle de rapport | t – Indique le statut de test (à titre consultatif uniquement) |
Spécification et clarté améliorées
La spécification DMARCbis a été restructurée avec un formatage plus cohérent, des définitions plus claires et de meilleurs exemples. Une nouvelle section décrit également ce qui constitue une « participation complète à DMARC », offrant aux propriétaires de domaines et aux destinataires une norme commune de conformité.
Compatibilité descendante
Le v=DMARC1 La balise v=DMARC1 reste inchangée afin de préserver la compatibilité. Les enregistrements DMARC existants et correctement configurés continueront de fonctionner tels quels, mais les organisations sont encouragées à les revoir et les ajuster pour les aligner avec les nouvelles directives.
Pourquoi cela est important
Bien que DMARCbis soit une évolution plutôt qu’une rupture, il apporte des améliorations significatives en matière de sécurité, de clarté opérationnelle et de gestion des domaines. En affinant l’alignement des domaines, en améliorant l’héritage des politiques et en offrant de meilleures directives, DMARCbis facilite la mise en œuvre et la gestion d’une authentification des e-mails robuste à grande échelle.
Pour les organisations utilisant déjà DMARC, la transition devrait être simple. Toutefois, comprendre et se préparer dès maintenant aux changements garantira une mise à jour plus fluide par la suite – et évitera les problèmes liés aux balises obsolètes ou aux sous-domaines mal configurés.
Comment se préparer
Les enregistrements v=DMARC1 existants restent valables et continueront d’être la norme lorsque les changements seront publiés. Cela dit, lorsque DMARCbis sera publié, les propriétaires de domaines devront revoir et mettre à jour leurs enregistrements DMARC pour profiter des changements.
Lorsque les mises à jour de DMARCbis seront publiées, vous pourrez examiner vos enregistrements DMARC pour vous assurer qu’ils sont conformes à la spécification DMARC modifiée :
- Suppression des balises obsolètes pct (pourcentage), rf (format de rapport) et ri (intervalle de rapport) ;
- Ajoutez les nouvelles balises np (non-existent policy), psd (Public Suffix Domains) et t (testing mode) décrites ci-dessus.