DMARC Manager

Français

English
Español
Deutsch
Italiano
한국어
日本語
Português (BR)
繁體中文

Français

English
Español
Deutsch
Italiano
한국어
日本語
Português (BR)
繁體中文

Guide de Migration DMARC

Lors de la migration des plateformes DMARC, il est important de comprendre la configuration actuelle appliquée par la plateforme DMARC existante. Une migration bien planifiée garantit que vos e-mails continuent de circuler sans problème tout en renforçant l'authentification et les rapports. Ce guide vous accompagne à travers chaque phase du changement de fournisseurs DMARC (et des configurations DNS associées).

Aperçu

Ce guide couvre les points suivants :

  • Planification et inventaire
  • Évaluation et préparation
  • Configuration parallèle
  • Séquencement des mises à jour DNS
  • Tests et surveillance
  • Exécution de la bascule
  • Revue post-migration

Suivre ce processus assure l'alignement avec les meilleures pratiques et vous permet d'exploiter les conseils d'automatisation pour garantir zéro temps d'arrêt, maintenir la délivrabilité et maximiser les rapports et l'application.

1. Planification et Inventaire

Cette première phase garantit que vous avez une compréhension complète de chacun des domaines pertinents de la configuration actuelle.

Inventaire des Domaines et Enregistrements

Cataloguez chaque domaine impliqué. Pour chaque domaine, rassemblez les enregistrements DNS actuels suivants :

Enregistrement DNSType d'Enregistrement AttenduComment l'Identifier
DMARCTXT ou CNAMEContient _dmarc dans le nom d'hôte
SPFTXTCommence par v=spf1 dans la section valeur
DKIMTXT ou CNAMEContient _domainkey dans le nom d'hôte
BIMITXTCommence par v=BIMI1 dans la section valeur
MTA-STSTXTContient _mta-sts dans le nom d'hôte
TLS-RPTTXTContient _tls-rpt dans le nom d'hôte

Documentez l'application DMARC existante (p=none/quarantine/reject) et les adresses de rapport (rua/ruf). Un inventaire complet dès le départ est crucial – "créez d'abord un inventaire des paramètres de votre service de protection existant" avant d'apporter des modifications.

Pour les grands environnements, utilisez des scripts ou des outils d'exportation DNS pour automatiser cette collecte de données.

Identifier les Sources d'Envoi

  • Listez tous les expéditeurs de courrier (serveurs sur site, services cloud, plateformes marketing, etc.) et leurs includes SPF actuels ou clés DKIM pour chaque domaine
  • Vérifiez tous les sous-domaines ou délégations tierces
  • Validez votre inventaire en utilisant les rapports DMARC existants ou les journaux d'e-mails sortants

Examiner les Flux de Rapports Actuels

  • Notez où sont envoyés les rapports agrégés/d'échec DMARC et les rapports TLS-RPT (adresses e-mail)
  • Planifiez de maintenir la visibilité en les transférant vers la nouvelle plateforme DMARC Manager
  • Les enregistrements DMARC peuvent lister plusieurs URIs de rapport (séparés par des virgules) pour envoyer simultanément des données aux anciens et nouveaux systèmes

Établir les Performances de Base

Avant les modifications, enregistrez les métriques e-mail actuelles (taux de rebond, plaintes spam, délivrabilité) et les niveaux de conformité DMARC. Cela permet de vérifier les améliorations post-migration et d'assurer qu'il n'y a pas de régressions.

2. Évaluation et Préparation

La phase d'évaluation et de préparation garantit que vous êtes prêt pour un retour en arrière si nécessaire. Pour les environnements plus petits, tout ce qui suit peut ne pas être nécessaire, utilisez votre jugement.

Sauvegarde des Enregistrements DNS Existants

  • Exportez ou sauvegardez vos fichiers de zone
  • Conservez des copies de tous les enregistrements actuels pour DMARC, SPF, sélecteurs DKIM, MTA-STS, TLS-RPT, etc.

Cataloguer les Nouvelles Entrées DNS Cibles

Ouvrez DMARC Manager et capturez les nouveaux paramètres cibles pour chaque domaine. Assurez-vous d'avoir les nouveaux enregistrements requis de DMARC manager pour chaque domaine (si couvert dans la plateforme héritée) :

  • DMARC
  • SPF
  • DKIM
  • MTA-STS
  • TLS-RPT
  • BIMI

Exemple : Un exemple de où trouver les instructions de configuration pour DMARC. Les autres paramètres peuvent être trouvés en passant simplement à l'onglet des paramètres standards correspondant.

Rôles des Parties Prenantes

Attribuez les responsabilités. Définissez qui met à jour le DNS, qui configure le nouveau DMARC Manager, qui surveille les rapports et qui gère le retour en arrière si quelque chose échoue. Par exemple, les opérations IT pourraient gérer les changements DNS, tandis que les équipes de sécurité examinent les rapports. Des rôles clairs et des canaux de communication sont essentiels.

Évaluation des Risques et Planification

  • Identifiez les risques (par exemple, mauvaise configuration temporaire causant des rebonds) et planifiez l'atténuation
  • Envisagez de migrer pendant les fenêtres de faible trafic ou par phases par groupe de domaines
  • Pour un grand nombre de domaines, effectuez la migration par lots (par exemple, 100 domaines à la fois) pour limiter l'impact

Préparer le Nouvel Environnement

  • Familiarisez votre équipe avec l'interface/API de la nouvelle plateforme
  • Collectez toutes les informations nécessaires (nouvelles clés publiques DKIM, valeurs include SPF, adresses de rapport, points de terminaison MTA-STS)
  • Assurez-vous d'avoir accès au DNS pour les enregistrements du nouveau DMARC Manager
  • Notez tous les enregistrements DNS CNAME ou TXT requis

Réduire les TTLs DNS

  • Quelques jours avant les modifications, réduisez les TTLs sur les enregistrements clés (DMARC, SPF, DKIM, MTA-STS, TLS-RPT) à une valeur basse (par exemple, 300–3600 secondes)
  • Cela minimise les délais de propagation pendant la bascule
  • N'oubliez pas de restaurer des TTLs plus élevés après la stabilisation

Délégation des Rôles et Documentation

  • Documentez chaque changement planifié et préparez des guides étape par étape
  • Pour chaque domaine (ou modèle de domaines), notez les modifications DNS exactes et la séquence
  • Maintenez des journaux de modifications prêts pour l'audit afin de pouvoir démontrer la conformité et ce qui a changé quand

3. Configuration Parallèle

Pendant que l'ancienne plateforme DMARC reste active, configurez le nouveau DMARC Manager en parallèle pour que les deux systèmes reçoivent ou valident les e-mails simultanément. Cette phase de "double écriture" évite les temps d'arrêt ou les angles morts, et s'applique à toutes les entrées DNS pertinentes.

Ajouter des Domaines au Nouveau DMARC Manager

  1. Ajoutez tous les nouveaux domaines dans le DMARC Manager
  2. Vérifiez la propriété DNS selon les besoins (par exemple, via DNS TXT ou e-mail)

Configuration DMARC

  1. Définissez la politique DMARC initiale du domaine nouvellement ajouté sur la politique actuellement publiée
  2. Ajoutez les adresses de rapport de l'ancienne plateforme DMARC dans DMARC Manager
  3. Configurez sous 'Modifier les Paramètres' dans l'Interface des Domaines :
    • Ajoutez l'adresse RUA dans la section Rapports Agrégés
    • Ajoutez l'adresse RUF dans la section Rapports d'Échec

Configuration SPF

  1. Mettez à jour l'enregistrement TXT SPF de chaque domaine dans DMARC Manager vers l'enregistrement SPF actuellement publié
  2. Assurez-vous que tous les includes apparaissent dans DMARC Manager
  3. Vérifiez que la balise 'all' est définie sur la même politique (typiquement ~all)
  4. Ne supprimez pas encore les includes SPF anciens dans la plateforme DMARC héritée

Configuration DKIM

  1. Ajoutez les clés DKIM à la gestion des clés DKIM du nouveau DMARC Manager
  2. Ne supprimez pas encore les anciens enregistrements DKIM

Configuration BIMI

  1. Copiez les fichiers de certificat vers DMARC manager
  2. Copiez le fichier image vers DMARC manager (utilisez le SVG exact)
  3. Ne supprimez pas encore les anciens enregistrements BIMI

Configuration MTA-STS

Si vous utilisez MTA-STS, assurez-vous que la politique MTA-STS du nouveau DMARC Manager reflète l'ancienne.

4. Séquencement des Mises à Jour d'Enregistrements

Un séquencement approprié des modifications DNS minimise les risques. Suivez cet ordre :

  1. Réduire les TTLs (fait dans la Préparation)
  2. Remplacez le SPF existant par le nouveau SPF :
    • Suivez les instructions DMARC Manager
    • Vérifiez la syntaxe et les limites de recherche
    • Attendez la propagation DNS (minutes à une heure)
  3. Publiez les nouvelles entrées de gestion des clés DKIM :
    • Ajoutez les nouveaux enregistrements NS de gestion DKIM
    • Gardez les anciens enregistrements DKIM actifs pour le retour en arrière
  4. Remplacez l'enregistrement DMARC existant :
    • Utilisez l'enregistrement DMARC Manager
    • Vérifiez la syntaxe (un TXT/CNAME DMARC par domaine)
  5. Remplacez l'enregistrement BIMI existant :
    • Supprimez l'ancien enregistrement BIMI
    • Ajoutez les nouveaux enregistrements NS BIMI
  6. Mettez à jour l'enregistrement DNS MTA-STS
  7. Mettez à jour le TXT DNS TLS-RPT
  8. Pause de validation (24–48 heures)
  9. Ajustement d'application optionnel

Étapes de Vérification

À chaque étape, vérifiez l'authentification des e-mails :

  • SPF : Vérifiez l'authentification avec des outils ou des e-mails de test
  • DKIM : Envoyez des messages de test et validez les en-têtes
  • DMARC : Confirmez les rapports partagés entre les fournisseurs

5. Tests et Surveillance

Rapports DMARC

  • Confirmez que les deux services reçoivent des rapports
  • Comparez les rapports échantillons
  • Vérifiez les sources d'e-mail légitimes

Tests d'Authentification

  • Envoyez des e-mails de test depuis chaque source
  • Vérifiez SPF=pass et DKIM=pass
  • Enquêtez sur tous les échecs

Vérification MTA-STS

  • Utilisez des vérificateurs MTA-STS en ligne
  • Testez les e-mails de domaine externe
  • Vérifiez la console admin Google Workspace (si applicable)

Revue TLS-RPT

  • Examinez les rapports après quelques jours
  • Traitez tous les problèmes
  • Confirmez que le nouveau fournisseur reçoit les rapports

Surveillance de la Délivrabilité

  • Surveillez les taux de rebond
  • Surveillez les rapports de spam
  • Suivez les plaintes des utilisateurs

6. Exécution de la Bascule

Une fois vérifié, effectuez la bascule finale :

  1. Supprimez les anciennes clés DKIM (après 48–72 heures)
  2. Nettoyez les includes SPF
  3. Finalisez l'enregistrement DMARC :
    v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100
  4. Mettez à jour la configuration MTA-STS
  5. Supprimez l'ancienne URI TLS-RPT
  6. Désactivez l'ancien fournisseur

Note : Effectuez les suppressions pendant les fenêtres de maintenance avec des plans de sauvegarde prêts.

7. Revue Post-Migration

Liste de Vérification de Validation

  • [ ] Tous les domaines rapportent à DMARC Manager
  • [ ] Seuls les enregistrements DMARC Manager restent
  • [ ] Vérifiez avec dig ou l'interface de gestion DNS

Revue des Performances

  • Surveillez les taux de rejet d'e-mail
  • Vérifiez la conformité DMARC
  • Comparez les métriques pré/post migration

Documentation

  • Compilez les journaux d'audit
  • Documentez les changements DNS
  • Enregistrez les dates de bascule
  • Sauvegardez les messages de confirmation

Amélioration de la Politique

  • Planifiez les augmentations d'application
  • Évoluez vers p=reject
  • Examens SPF réguliers

Conclusion

En inventoriant méticuleusement, préparant et exécutant les systèmes en parallèle, vous assurez zéro temps d'arrêt pendant la bascule. Les rapports multi-destinataires maintiennent la délivrabilité et la visibilité ininterrompues. Enfin, le nettoyage des anciens enregistrements et le renforcement des politiques complètent la migration, vous laissant avec une authentification d'e-mail plus forte et une surveillance complète sous DMARC Manager.