Explication de l'exigence BIMI DMARC p=reject
Explication de l'exigence BIMI DMARC p=reject
La plupart des déploiements BIMI échoués remontent à une cause unique : une politique DMARC incorrecte. Les organisations se concentrent sur la génération du fichier logo SVG et négligent l'exigence d'authentification qui détermine si le logo s'affiche ou non.
BIMI est un protocole de sécurité, pas une fonctionnalité de marque. Les fournisseurs de messagerie n'affichent votre logo qu'après avoir vérifié cryptographiquement que le message provient bien de votre domaine [1].
Cet article décrit le prérequis DMARC pour BIMI, compare les trois politiques d'application et précise comment préparer votre domaine.
Qu'est-ce que DMARC ?
Domain-based Message Authentication, Reporting, and Conformance (DMARC) est une norme d'authentification des e-mails qui empêche les expéditeurs non autorisés d'utiliser votre domaine dans l'en-tête From.
DMARC s'appuie sur deux protocoles sous-jacents :
- SPF (Sender Policy Framework) : Vérifie que l'adresse IP d'envoi est autorisée par le propriétaire du domaine.
- DKIM (DomainKeys Identified Mail) : Applique une signature cryptographique à chaque message afin que le destinataire puisse confirmer que le message n'a pas été modifié en transit.
L'enregistrement DMARC indique aux serveurs de réception, tels que Gmail et Yahoo, comment traiter les messages qui échouent à la fois aux vérifications SPF et DKIM.
Les trois politiques DMARC
Vous publiez votre enregistrement DMARC sous forme d'enregistrement TXT dans votre zone DNS. La balise p= définit la politique d'application.
1. p=none (Mode surveillance)
Le serveur de réception délivre les messages en échec dans la boîte de réception et envoie des rapports agrégés à l'adresse que vous spécifiez. Utilisez cette politique pour identifier les sources d'envoi légitimes avant de passer à l'application.
Statut BIMI : ❌ Rejeté. Les fournisseurs de messagerie n'affichent pas les logos BIMI pour les domaines configurés en p=none.
2. p=quarantine (Mode application)
Le serveur de réception dirige les messages en échec vers le dossier spam ou courrier indésirable.
Statut BIMI : ✅ Accepté. C'est la politique minimale requise pour BIMI. La politique doit s'appliquer à 100 % des messages. Incluez pct=100 ou omettez la balise pct (la valeur par défaut est 100).
3. p=reject (Mode application stricte)
Le serveur de réception supprime les messages en échec. Ils ne sont pas délivrés. Statut BIMI : ✅ Accepté. C'est la politique recommandée pour BIMI.
Pourquoi BIMI exige une politique d'application
Cette exigence existe pour empêcher l'usurpation visuelle. Lorsqu'un fournisseur de messagerie affiche votre logo à côté d'un message, il certifie au destinataire que le message est authentique [2].
Si BIMI acceptait p=none, un attaquant pourrait usurper votre domaine et amener le fournisseur de messagerie à afficher votre logo à côté d'un message de phishing. Exiger p=quarantine ou p=reject garantit que le propriétaire du domaine a bloqué les e-mails non authentifiés avant que le logo ne soit accordé.
Considérations relatives aux sous-domaines
Les entreprises utilisent fréquemment des sous-domaines pour des flux de messagerie distincts, tels que marketing.entreprise.com ou reçus.entreprise.com. BIMI exige que le domaine organisationnel soit en mode application.
Si votre domaine organisationnel publie p=reject mais remplace les sous-domaines par sp=none, BIMI échoue pour les e-mails envoyés depuis ces sous-domaines. L'application doit s'appliquer à la fois au domaine organisationnel et à ses sous-domaines.
Comment auditer votre infrastructure
Confirmez votre statut DMARC avant de générer un fichier SVG ou de demander un Verified Mark Certificate (VMC).
Utilisez makeBIMI pour auditer votre domaine. L'outil interroge vos enregistrements DNS, évalue votre configuration SPF et DMARC, et indique si votre domaine répond à l'exigence d'application pour BIMI.
Une fois que votre domaine a passé l'audit, générez votre fichier SVG conforme et faites appel à un courtier en certificats tel que veriBIMI pour obtenir votre certificat.
Références
[1] M. Blank, et al. "Brand Indicators for Message Identification (BIMI)." IETF Datatracker, RFC 9091, https://datatracker.ietf.org/doc/html/rfc9091 [2] DMARC.org. "Overview." DMARC, https://dmarc.org/overview/