DNS Tree Walk : comment DMARCbis détermine la politique à appliquer

Modifié le  Mer, 1 Juill. à 11:58 H

Comment fonctionne l'algorithme DNS Tree Walk ?

  • Il commence par vérifier l'enregistrement du domaine exact.
  • Si aucun enregistrement n'est trouvé, il remonte progressivement l'arbre DNS, jusqu'à trouver un enregistrement DMARC valide
  • Le premier enregistrement valide rencontré est celui qui sera utilisé pour appliquer la politique

Exemple :

On reçoit un email de toto@news.marketing.exemple.fr. 

  • On va vérifier le DMARC présent sur ce domaine => _dmarc.news.marketing.exemple.fr => RIEN
  • On va vérifier le DMARC du parent => _dmarc.marketing.exemple.fr => RIEN
  • On continue => _dmarc.exemple.fr => DMARC trouvé, c'est celui qu'on utilisera pour appliquer une politique.

Le DNS Tree Walk et ses limites

Ce mécanisme ne remonte pas indéfiniment. Il est limité à un nombre limité requêtes pour éviter les attaques d'amplification DNS.

Ce mécanisme s'arrête lorsqu'il rencontre un domaine organisationnel, c'est à dire le domaine un niveau en dessous d'un domaine présent dans la PSL (Public Suffix List). 

Exemple: news.marketing.exemple.fr => Le domaine organisationnel est exemple.fr (car .fr est présent dans la PSL)

Si aucun enregistrement DMARC n'a été trouvé alors la politique par défaut ("p=none") est appliquée.


DMARCbis et DNS Tree Walk

DMARCbis rajoute au DNS Tree Walk des points d'arrêt supplémentaires, que l'on peut activer explicitement.

  • psd=y : permet de définir un domaine comme PSD (Public Suffix Domain). => Entraîne l'arrêt du DNS Tree Walk et définit les domaines au niveau en dessous comme domaines organisationnels.

  • psd=n : permet de définir un domaine comme domaine organisationnel, et de contourner les éventuelles règles présentes dans les niveaux supérieurs

  • psd=u : valeur par défaut qui indique que ce domaine doit être traité normalement par le DNS Tree Walk


[Insérer schéma ici]


Grâce à DMARCbis et au tag psd, il devient possible de définir plus précisément les frontières de responsabilité DMARC, ce qui est particulièrement utile pour les organisations disposant de nombreux sous-domaines ou de structures DNS complexes.

Cet article a-t-il été utile ?

C'est super !

Merci pour votre commentaire

Désolé ! Nous n'avons pas pu vous être utile

Merci pour votre commentaire

Dites-nous comment nous pouvons améliorer cet article !

Sélectionner au moins l'une des raisons
La vérification CAPTCHA est requise.

Commentaires envoyés

Nous apprécions vos efforts et nous allons corriger l'article