Hop DMARC

services/mail/normes.md

@@ -30,7 +30,7 @@ seront décrites.
 | SPF     | Implémenté        | Large                              |
 | DKIM    | Implémenté        | Large                              |
 | SRS     | Implémenté        | ?                                  |
-| DMARC   | Non-implémenté    | Large                              |
+| DMARC   | Implémenté        | Large                              |
 | ARC     | Non-implémenté    | ? (Google l'utilise)               |
 | MTA-STS | Non-implémenté    | ? (MS, Méta et Google l'utilisent) |
 | DANE    | Non-implémenté    | Faible (requiert DNSSEC)           |
@@ -263,6 +263,20 @@ du mail (valeurs des clefs `b` et `bh`).
 - [La RFC](https://www.rfc-editor.org/rfc/rfc7489),
 - [La page Wikipédia](https://en.wikipedia.org/wiki/DMARC).
 
+Au Crans, DMARC est implémenté (avec une politique relativement souple) depuis octobre 2025. Un `dig txt _dmarc.crans.org` renvoie entre autres la ligne suivante.
+
+```txt
+"v=DMARC1;p=quarantine;pct=100;rua=mailto:<censure>>;sp=quarantine;aspf=s;"
+```
+
+Traduction :
+- `v` pour `version`. DMARC est en version 1.
+- `p` pour `policy`. Si un mail prétendant venir du Crans échoue au test DMARC, le Crans recommande de l'envoyer en quarantaine (= le traiter comme un spam).
+- `pct` pour `percentage`. Appliquer cette politique à 100% des emails échouant au test DMARC.
+- `rua` pour `reporting URI for aggregate (data)`. L'adresse du Crans qui doit recevoir les rapports des serveurs extérieurs ayant reçu des mails disant venir du Crans (que ça soit vrai ou non). L'adresse choisie renvoie vers une adresse sujette au spam interne, mais c'est la vie. Il est envisagé de changer le RUA vers une adresse dédiée, pour filtrer un peu.
+- `sp` pour `subdomain policy`.
+- `aspf` pour `alignment spf`. Politique stricte sur le SPF.
+
 ## ARC
 
 - [La RFC](https://www.rfc-editor.org/rfc/rfc8617.html),