Qu’est-ce que DMARC ?

DMARC (Domain-based Message Authentication, Reporting, and Conformance) est un protocole d'authentification de courrier électronique qui aide les FAI à vérifier l'identité de l'expéditeur et empêche l'usurpation d'identité de domaine.

À quelle fréquence dois-je générer un nouvel enregistrement DMARC ?

Vous n'avez besoin de générer un enregistrement DMARC qu'une seule fois par domaine. Mettez-le à jour si vous changez de fournisseur d'envoi de courrier électronique ou si vous souhaitez ajuster vos politiques d'authentification.

Quelle est la différence entre la politique principale et la politique de sous-domaine ?

La politique principale s'applique à votre domaine racine, tandis que la politique de sous-domaine s'applique aux sous-domaines tels que « mail.example.com ». Vous pouvez définir des politiques différentes pour chacun.

Dois-je utiliser « aucun », « quarantaine » ou « rejeter » ?

Commencez par « aucun » pour surveiller les résultats, passez à « quarantaine » pour une application modérée et utilisez « rejeter » uniquement lorsque vous êtes sûr de votre configuration SPF et DKIM.

Générateur d'enregistrement DMARC

Générez des enregistrements DNS DMARC pour votre domaine avec notre assistant gratuit étape par étape.

Entrez votre domaine

Commencez par saisir le domaine pour lequel vous souhaitez créer un enregistrement DMARC.

Nom de domaine *

Qu'est-ce que le DMARC ?

DMARC (Domain-based Message Authentication, Reporting & Conformance) est défini dans la norme RFC 7489. Il s'appuie sur le SPF et le DKIM en ajoutant deux capacités clés : une politique qui indique aux destinataires comment gérer le courrier non authentifié (surveiller, mettre en quarantaine ou rejeter) et un mécanisme de rapport qui vous envoie des rapports XML sur l'identité des expéditeurs utilisant votre domaine et la réussite ou l'échec de leur authentification.

Crucialement, DMARC ajoute le concept d'**alignement** — le domaine dans l'en-tête « From » visible de l'e-mail doit correspondre au domaine authentifié par SPF ou DKIM. Cela empêche les attaquants de réussir SPF/DKIM sur un domaine différent tout en usurpant votre domaine dans l'en-tête From.

Pourquoi avez-vous besoin du DMARC ?

1Protection de l'en-tête From

Le SPF et le DKIM seuls ne protègent pas l'adresse From visible — le DMARC comble cette lacune avec l'alignement

2Politique d'application

Vous décidez de ce qu'il advient du courrier en échec : le surveiller, l'envoyer en spam ou le rejeter purement et simplement

3Rapports agrégés

Les rapports XML quotidiens (RUA) montrent chaque IP envoyant du courrier avec votre domaine et les taux de réussite/échec

4Rapports forensiques

Les rapports d'échec (RUF) envoient une copie caviardée des messages individuels en échec pour enquête

5Requis par Google/Yahoo

Depuis février 2024, les expéditeurs de masse doivent avoir au minimum DMARC p=none pour atteindre les boîtes de réception Gmail/Yahoo

6Protection de la marque

Empêche les e-mails de phishing qui usurpent votre marque d'atteindre vos clients

Comment fonctionne le DMARC — étape par étape

Vous publiez un enregistrement TXT DMARC sur `_dmarc.votre-domaine.com` spécifiant votre politique et les adresses de rapport.

Un message arrive au serveur récepteur. Il exécute les vérifications SPF et DKIM indépendamment.

L'alignement DMARC est testé : le domaine authentifié (par SPF ou DKIM) correspond-il au domaine de l'en-tête From ?

Si l'un ou l'autre de SPF+alignement OU DKIM+alignement réussit, DMARC réussit pour le message.

Si les deux échouent, le récepteur applique votre politique : none (livrer), quarantine (dossier spam) ou reject (rebond).

Le récepteur collecte les données d'authentification pour votre domaine et envoie des rapports agrégés (RUA) ou forensiques (RUF) aux adresses spécifiées.

Syntaxe de l'enregistrement DMARC

Enregistrement DNS TXT sur _dmarc.votre-domaine.com

v=DMARC1; p=quarantine; pct=100; sp=reject;
            rua=mailto:dmarc-reports@votre-domaine.com;
            ruf=mailto:dmarc-failures@votre-domaine.com;
            adkim=s; aspf=s; fo=1

Référence des balises

v=DMARC1— version, requis

p=— politique pour le domaine

sp=— politique pour les sous-domaines

pct=— % de messages en échec auxquels la politique s'applique

rua=— destinataires des rapports agrégés (mailto:)

ruf=— destinataires des rapports forensiques (mailto:)

adkim=— alignement DKIM : r=relaxed, s=strict

aspf=— alignement SPF : r=relaxed, s=strict

fo=— options de rapport d'échec (0,1,d,s)

ri=— intervalle de rapport en secondes (86400 par défaut)

Les trois politiques DMARC

p=none

Surveillance uniquement. Le courrier en échec est livré normalement. À utiliser au début pour recueillir des rapports avant l'application.

p=quarantine

Le courrier en échec va dans le dossier spam/courrier indésirable. Une étape intermédiaire avant le rejet complet.

p=reject

Le courrier en échec est rejeté au niveau SMTP et n'est jamais livré. La protection la plus forte.

L'alignement DMARC expliqué

Alignement assoupli (par défaut)

Le domaine authentifié peut être un parent organisationnel. Par ex : mail.votre-domaine.com passe pour votre-domaine.com

Alignement strict

Le domaine authentifié doit correspondre exactement au domaine From. mail.votre-domaine.com ne passe PAS pour votre-domaine.com

Échecs DMARC courants et solutions

Échec d'alignement SPF

Le domaine de l'enveloppe From (return-path) ne correspond pas à l'en-tête From — courant avec les ESP utilisant leur propre return-path

Échec d'alignement DKIM

Le domaine d= dans la signature DKIM ne correspond pas au domaine From visible — configurez votre ESP pour signer avec votre domaine

Adresse RUA manquante

Sans rua=, vous n'avez aucun rapport ni visibilité — incluez toujours au moins une adresse de rapport

Sous-domaines non couverts

Ajoutez sp=reject pour étendre votre politique aux sous-domaines, ou publiez des enregistrements DMARC distincts par sous-domaine

FAQ

Foire aux questions

Commencez par définir votre politique (p). Nous recommandons p=none pour surveiller le trafic, puis passez à p=quarantine et enfin p=reject pour bloquer complètement les e-mails non autorisés.

La balise 'rua' spécifie où recevoir les rapports agrégés, tandis que 'ruf' est pour les rapports d'échec médico-légaux. Inclure une adresse 'rua' est fortement recommandé.

Utilisez la balise 'sp' dans l'enregistrement de votre domaine racine pour définir une politique pour tous les sous-domaines (ex: sp=reject).

La balise 'pct' (pourcentage) vous permet d'appliquer votre politique DMARC à une partie seulement de vos e-mails en échec, permettant une montée en puissance progressive de la sécurité.

Ces balises définissent la rigueur du contrôle d'alignement. 'r' (relaxed) permet aux sous-domaines de correspondre au domaine racine, tandis que 's' (strict) exige une correspondance exacte.