présentation
La spécification DMARC mise à jour, publiée en tant que RFC 9989, introduit la nouvelle balise np. Son objectif est de spécifier la politique que les récepteurs doivent appliquer lorsque le domaine de l'expéditeur est un sous-domaine non existant du domaine où l'enregistrement DMARC est publié.
Nous avons découvert que la définition de « domaine non existant » contenue dans la RFC 9989 entre en conflit avec une autre spécification récente, la RFC 9824, connue sous le nom de « Compact Denial of Existence in DNSSEC », ce qui entraîne que la balise np ne fonctionne pas toujours comme prévu.
fonctionnement de la balise np
Dans un enregistrement DMARC, la balise np est utilisée pour spécifier la politique à appliquer aux sous-domaines non existants. Par exemple :
v=DMARC1; p=none; sp=quarantine; np=reject;Cela permet de définir des politiques différentes pour les sous-domaines existants et non existants, ce qui peut être utile pour bloquer les e-mails malveillants sur les sous-domaines inutilisés tout en maintenant une politique moins stricte sur les autres sous-domaines.
dnssec et nsec
DNSSEC est une extension de sécurité pour DNS qui permet aux résolveurs de vérifier que les réponses DNS sont authentiques et n'ont pas été modifiées. Cela se fait en ajoutant des signatures cryptographiques que les résolveurs peuvent vérifier.
La balise np de DMARC définit les domaines non existants comme ceux qui renvoient un code de réponse NXDOMAIN. Cependant, dans le monde DNSSEC, les choses sont plus compliquées en raison de l'utilisation de la balise NSEC pour prouver que les domaines non existants n'existent pas.
implications et limites
Le problème de compatibilité entre DMARC et DNSSEC peut entraîner des problèmes pour les domaines qui utilisent DNSSEC avec des fournisseurs de DNS tels que Cloudflare, NS1, AWS Route 53 et Azure.
Il est important de noter que cette incompatibilité peut avoir des implications sur la sécurité des e-mails et la lutte contre le spam, car les politiques de DMARC ne sont pas toujours appliquées correctement.