Guide technique

Comment configurer DMARC - Guide complet

Mis à jour en mars 2026 - Temps de lecture : 8 min

DMARC (Domain-based Message Authentication, Reporting and Conformance) est le troisième et dernier pilier de l'authentification email. Il s'appuie sur SPF et DKIM pour offrir une protection complète contre l'usurpation d'identité de votre domaine. DMARC vous permet de dire aux serveurs de messagerie : "Voici comment vérifier que mes emails sont légitimes, et voici ce qu'il faut faire s'ils ne le sont pas."

Depuis février 2024, Google et Yahoo exigent une politique DMARC pour les expéditeurs en masse. Mais même si vous envoyez peu d'emails, DMARC est devenu un standard incontournable pour la délivrabilité et la protection de votre marque.

Comment fonctionne DMARC

DMARC ne fonctionne pas seul. Il vérifie que vos emails passent SPF et/ou DKIM, et ajoute une condition supplémentaire : l'alignement. Voici le processus complet :

  1. Réception de l'email - Le serveur destinataire reçoit un email prétendant venir de votre-domaine.fr.
  2. Vérification SPF - Le serveur vérifie l'enregistrement SPF. Résultat : PASS ou FAIL.
  3. Vérification DKIM - Le serveur vérifie la signature DKIM. Résultat : PASS ou FAIL.
  4. Vérification de l'alignement - DMARC vérifie que le domaine de l'adresse "From" visible correspond au domaine authentifié par SPF ou DKIM. C'est l'alignement.
  5. Application de la politique - Si les vérifications échouent, le serveur applique la politique définie dans votre enregistrement DMARC (none, quarantine ou reject).
  6. Envoi du rapport - Le serveur envoie un rapport XML à l'adresse spécifiée dans votre enregistrement DMARC, vous permettant de surveiller les résultats.

L'alignement, concept clé de DMARC

L'alignement est ce qui distingue DMARC d'une simple vérification SPF+DKIM. Il garantit que le domaine visible par l'utilisateur (l'adresse "From") correspond au domaine technique authentifié :

  • Alignement SPF - Le domaine du MAIL FROM (enveloppe) doit correspondre au domaine du From (en-tête visible).
  • Alignement DKIM - Le domaine du champ d= dans la signature DKIM doit correspondre au domaine du From.

DMARC passe si au moins l'un des deux alignements est valide (SPF aligné OU DKIM aligné).

L'alignement peut être strict (les domaines doivent être identiques) ou relaxed (les sous-domaines sont acceptés). Par défaut, DMARC utilise l'alignement relaxed.

Syntaxe d'un enregistrement DMARC

L'enregistrement DMARC est un enregistrement DNS de type TXT placé sur le sous-domaine _dmarc :

_dmarc.votre-domaine.fr  TXT  "v=DMARC1; p=none; rua=mailto:dmarc@votre-domaine.fr; pct=100"

Les tags DMARC

  • v=DMARC1 (obligatoire) - Version du protocole. Toujours DMARC1.
  • p= (obligatoire) - La politique à appliquer aux emails qui échouent. Voir les détails ci-dessous.
  • rua= (recommandé) - Adresse email qui recevra les rapports agrégés (rapports quotidiens en XML).
  • ruf= (optionnel) - Adresse email qui recevra les rapports forensiques (détails sur chaque échec). Peu de serveurs envoient ces rapports pour des raisons de vie privée.
  • pct= (optionnel, défaut: 100) - Pourcentage des emails soumis à la politique. Permet un déploiement progressif.
  • sp= (optionnel) - Politique pour les sous-domaines. Si absent, la politique p= s'applique aussi aux sous-domaines.
  • adkim= (optionnel, défaut: r) - Mode d'alignement DKIM : r (relaxed) ou s (strict).
  • aspf= (optionnel, défaut: r) - Mode d'alignement SPF : r (relaxed) ou s (strict).

Les trois politiques DMARC

p=none - Mode surveillance

Les emails qui échouent ne sont pas bloqués. Vous recevez uniquement les rapports. C'est le mode recommandé pour commencer : il vous permet de voir qui envoie des emails en votre nom (services légitimes ou fraudeurs) sans risquer de bloquer des emails importants.

v=DMARC1; p=none; rua=mailto:dmarc@votre-domaine.fr

p=quarantine - Mode mise en spam

Les emails qui échouent sont placés dans le dossier spam du destinataire. C'est l'étape intermédiaire : les emails suspects sont filtrés mais pas complètement rejetés, ce qui laisse une marge en cas de faux positif.

v=DMARC1; p=quarantine; rua=mailto:dmarc@votre-domaine.fr; pct=100

p=reject - Mode rejet

Les emails qui échouent sont purement et simplement rejetés par le serveur destinataire. C'est la politique la plus sécurisée : aucun email frauduleux utilisant votre domaine n'atteint jamais la boîte de réception. C'est l'objectif final d'un déploiement DMARC réussi.

v=DMARC1; p=reject; rua=mailto:dmarc@votre-domaine.fr; pct=100

Testez votre DMARC

Vérifiez si votre domaine a un enregistrement DMARC valide et quelle politique est en place.

Entrez un nom de domaine valide (ex : monentreprise.fr)

Déploiement progressif recommandé

Ne passez jamais directement à p=reject. Voici le plan de déploiement recommandé :

Semaine 1-2 : Surveillance (p=none)

  1. Vérifiez que SPF et DKIM sont correctement configurés pour votre domaine.
  2. Publiez un enregistrement DMARC avec p=none et une adresse rua.
  3. Attendez de recevoir les rapports pendant au moins une à deux semaines.
  4. Analysez les rapports pour identifier tous les services légitimes qui envoient des emails pour votre domaine.

Semaine 3-4 : Quarantaine progressive

  1. Passez à p=quarantine avec pct=25 (seulement 25 % des emails non authentifiés sont mis en spam).
  2. Surveillez les rapports et les éventuels problèmes signalés par vos utilisateurs.
  3. Si tout va bien, augmentez progressivement : pct=50, puis pct=75, puis pct=100.

Semaine 5+ : Rejet

  1. Une fois que p=quarantine; pct=100 fonctionne sans problème, passez à p=reject; pct=25.
  2. Augmentez progressivement jusqu'à p=reject; pct=100.
  3. Continuez à surveiller les rapports régulièrement.
Le déploiement progressif vous semble fastidieux ? On configure votre DMARC (et SPF + DKIM) correctement dès le premier coup, sans risque.
On s'en occupe →

Comprendre les rapports DMARC (RUA)

Les rapports agrégés (RUA) sont des fichiers XML envoyés quotidiennement par les serveurs destinataires. Ils contiennent :

  • Le nombre d'emails reçus depuis votre domaine.
  • Les adresses IP des serveurs qui ont envoyé ces emails.
  • Les résultats des vérifications SPF, DKIM et alignement pour chaque source.
  • La politique appliquée (none, quarantine, reject) et le nombre d'emails concernés.

Les rapports bruts sont au format XML et difficilement lisibles. Des services gratuits comme DMARC Analyzer, Postmark DMARC, ou URIports permettent de les visualiser sous forme de tableaux et graphiques lisibles.

Exemple de rapport RUA simplifié

<feedback>
  <report_metadata>
    <org_name>google.com</org_name>
    <date_range>
      <begin>1711929600</begin>
      <end>1712016000</end>
    </date_range>
  </report_metadata>

  <record>
    <row>
      <source_ip>209.85.220.69</source_ip>
      <count>150</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>pass</spf>
      </policy_evaluated>
    </row>
  </record>

  <record>
    <row>
      <source_ip>185.12.34.56</source_ip>
      <count>3</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>fail</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
  </record>
</feedback>

Dans cet exemple, les 150 emails envoyés depuis l'IP Google (209.85.220.69) passent SPF et DKIM - ils sont légitimes. Les 3 emails de l'IP 185.12.34.56 échouent aux deux vérifications - c'est probablement une tentative d'usurpation, exactement ce que DMARC est conçu pour détecter.

Cas particuliers et pièges

  • Listes de diffusion - Les mailing lists (Google Groups, Sympa, etc.) modifient souvent les emails en transit, ce qui casse la signature DKIM et l'alignement SPF. Vérifiez vos rapports avant de passer en mode reject.
  • Sous-domaines - Par défaut, la politique DMARC du domaine principal s'applique aux sous-domaines. Utilisez sp= pour définir une politique différente si certains sous-domaines ont des besoins spécifiques.
  • Transfert d'emails - Quand un destinataire configure un transfert automatique, le SPF échoue souvent car l'email est renvoyé depuis un serveur non autorisé. DKIM résiste mieux au transfert, d'où l'importance d'avoir les deux protocoles.
  • Services tiers oubliés - CRM, outils de facturation, plateformes d'emailing, helpdesk... tout service qui envoie des emails en votre nom doit être inclus dans votre SPF et configurer DKIM. Un service oublié avec p=reject = emails bloqués.

Ajouter l'enregistrement DMARC dans votre DNS

  1. Connectez-vous à l'interface de gestion DNS de votre domaine.
  2. Ajoutez un enregistrement de type TXT.
  3. Dans le champ "Nom" ou "Hôte", entrez _dmarc (certains hébergeurs demandent _dmarc.votre-domaine.fr).
  4. Dans le champ "Valeur", collez votre politique DMARC.
  5. Sauvegardez et attendez la propagation DNS.

Besoin d'aide avec DMARC ?

Le déploiement de DMARC nécessite de la méthode et de la patience. Il faut identifier tous les services d'envoi, configurer SPF et DKIM correctement pour chacun, puis monter progressivement en politique. Notre équipe peut prendre en charge l'ensemble du processus - de l'audit initial au déploiement p=reject - avec surveillance continue des rapports.

Pas le temps de configurer tout ça ?

On configure SPF, DKIM et DMARC sur votre domaine. Vous n'avez rien à faire.

49€ HT
Par domaine · Configuration complète · Résultat garanti · Sous 48h
On s'en occupe →