SpoofCheck
Guides/DMARC

DMARC (Domain-based Message Authentication) : Le guide complet

Tout comprendre sur la politique DMARC pour orchestrer SPF et DKIM et proteger votre domaine contre le phishing.

Qu'est-ce que le DMARC ?

Le DMARC (Domain-based Message Authentication, Reporting and Conformance) est un protocole d'authentification email defini dans la RFC 7489. Il a ete cree pour resoudre une faiblesse majeure de SPF et DKIM : ces protocoles, seuls, ne disent pas au serveur recepteur quoi faire en cas d'echec.

DMARC agit comme un chef d'orchestre qui definit une politique claire : que doit faire le serveur recepteur lorsqu'un email echoue aux verifications SPF et DKIM ? Le rejeter, le mettre en quarantaine ou ne rien faire ? DMARC apporte egalement un systeme de rapports qui vous permet de voir exactement qui envoie des emails avec votre domaine.

Le concept cle de DMARC est l'alignement : le domaine utilise dans le header "From" (visible par le destinataire) doit correspondre au domaine verifie par SPF ou DKIM. Sans cet alignement, un attaquant pourrait passer le SPF avec son propre domaine d'enveloppe tout en affichant votre domaine dans le "From" visible.

DMARC est aujourd'hui considere comme indispensable. De nombreux fournisseurs de messagerie (Google, Yahoo, Microsoft) exigent desormais un enregistrement DMARC valide pour accepter les emails en volume. Sans DMARC, vos emails risquent d'atterrir en spam ou d'etre rejetes.

Comment fonctionne le DMARC ?

DMARC combine les resultats de SPF et DKIM avec une verification supplementaire d'alignement :

  1. Reception de l'email — Le serveur recepteur recoit un email et extrait le domaine du header "From".
  2. Requete DNS DMARC — Il interroge le DNS pour trouver un enregistrement DMARC a l'adresse _dmarc.domaine.com.
  3. Verification SPF + alignement — Le serveur verifie si le SPF passe ET si le domaine de l'enveloppe (MAIL FROM) est aligne avec le domaine du header "From".
  4. Verification DKIM + alignement — Le serveur verifie si le DKIM passe ET si le domaine de la signature DKIM (tag d=) est aligne avec le domaine du header "From".
  5. Application de la politique — Si ni SPF ni DKIM ne passent avec alignement, le serveur applique la politique DMARC definie par le proprietaire du domaine.
  6. Envoi de rapports — Le serveur recepteur envoie des rapports agreges (et eventuellement forensiques) au proprietaire du domaine.

Un enregistrement DMARC ressemble a ceci :

v=DMARC1; p=reject; rua=mailto:dmarc-reports@exemple.fr; ruf=mailto:dmarc-forensic@exemple.fr; adkim=s; aspf=s; pct=100

Chaque tag a une signification precise :

  • v=DMARC1— Identifie l'enregistrement comme DMARC version 1 (obligatoire).
  • p=— La politique a appliquer : none (surveillance), quarantine (spam) ou reject (rejet).
  • rua=— Adresse de reception des rapports agreges (obligatoire en pratique).
  • ruf=— Adresse de reception des rapports forensiques (optionnel, peu supporte).
  • adkim=— Mode d'alignement DKIM : s (strict) ou r (relaxed, par defaut).
  • aspf=— Mode d'alignement SPF : s (strict) ou r (relaxed, par defaut).
  • pct=— Pourcentage d'emails auxquels la politique s'applique (utile pour un deploiement progressif).

Comment configurer le DMARC etape par etape

Etape 1 : Verifier SPF et DKIM

Avant de configurer DMARC, assurez-vous que votre SPF et DKIM sont correctement configures. DMARC s'appuie sur ces deux protocoles — s'ils ne fonctionnent pas, DMARC ne pourra pas fonctionner efficacement.

Etape 2 : Commencer en mode surveillance (p=none)

Creez un enregistrement TXT dans votre DNS pour commencer a collecter des rapports sans impacter la delivrabilite :

  • Type : TXT
  • Nom : _dmarc
  • Valeur :
v=DMARC1; p=none; rua=mailto:dmarc-reports@votredomaine.com

Cette configuration ne bloque aucun email mais vous envoie des rapports quotidiens detaillant tous les emails envoyes avec votre domaine.

Etape 3 : Analyser les rapports (2 a 4 semaines)

Les rapports DMARC sont des fichiers XML. Vous pouvez les lire manuellement ou utiliser un service d'analyse (comme Postmark, dmarcian ou Valimail). Identifiez :

  • Les services legitimes qui echouent (SPF ou DKIM manquant)
  • Les sources suspectes qui usurpent votre domaine
  • Le volume d'emails concernes

Etape 4 : Passer en mode quarantaine

Une fois que tous vos services legitimes passent SPF et/ou DKIM avec alignement, passez a la politique quarantine :

v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@votredomaine.com; pct=50

Le tag pct=50 permet d'appliquer la politique a seulement 50% des emails dans un premier temps, pour limiter les risques.

Etape 5 : Activer le rejet total (p=reject)

La derniere etape est la politique la plus stricte :

v=DMARC1; p=reject; rua=mailto:dmarc-reports@votredomaine.com; adkim=s; aspf=s

Avec p=reject, tout email qui echoue aux verifications DMARC est rejete par le serveur recepteur. C'est la protection maximale contre le spoofing et le phishing. L'alignement strict (adkim=s; aspf=s) exige une correspondance exacte des domaines.

Erreurs courantes a eviter

1. Passer directement a p=reject

C'est l'erreur la plus dangereuse. Si vous passez directement a p=reject sans phase de surveillance, vous risquez de bloquer vos propres emails legitimes. Suivez toujours la progression : nonequarantinereject.

2. Rester indefiniment en p=none

La politique p=none n'offre aucune protection reelle : elle collecte des rapports mais ne bloque rien. Beaucoup de domaines restent en mode surveillance pendant des annees. Fixez-vous un objectif de 1 a 3 mois maximum avant de passer a quarantine.

3. Ne pas configurer d'adresse de rapports (rua)

Sans le tag rua, vous ne recevrez aucun rapport. Vous serez aveugle sur ce qui se passe avec votre domaine. Les rapports sont essentiels pour detecter les problemes de configuration et les tentatives d'usurpation.

4. Ignorer les sous-domaines

Par defaut, la politique DMARC du domaine principal ne s'applique pas aux sous-domaines. Utilisez le tag sp=reject pour definir explicitement une politique pour les sous-domaines, sinon un attaquant pourrait envoyer depuis fake.votredomaine.com.

5. Oublier de configurer SPF et DKIM au prealable

DMARC ne fonctionne pas de maniere isolee. Il s'appuie sur les resultats de SPF et DKIM. Sans ces protocoles correctement configures, DMARC n'a rien a verifier et tous vos emails echoueront.

Questions frequentes sur le DMARC

Quelle politique DMARC choisir ?

L'objectif final est toujours p=reject, qui offre la meilleure protection. Mais commencez par p=none pour collecter des rapports et identifier tous les services qui envoient des emails avec votre domaine. Passez ensuite a p=quarantine puis a p=reject progressivement.

Qu'est-ce que l'alignement DMARC ?

L'alignement verifie que le domaine utilise dans le header "From" (visible par le destinataire) correspond au domaine verifie par SPF (domaine de l'enveloppe) ou DKIM (domaine du tag d=). En mode "relaxed" (par defaut), les sous-domaines sont acceptes. En mode "strict", les domaines doivent correspondre exactement.

DMARC est-il obligatoire en 2025 ?

Techniquement non, mais en pratique oui. Depuis fevrier 2024, Google et Yahoo exigent un enregistrement DMARC pour les expediteurs envoyant plus de 5 000 emails par jour. Meme pour les petits volumes, l'absence de DMARC degrade serieusement la delivrabilite de vos emails. C'est devenu un standard incontournable de la securite email.

Verifiez votre domaine gratuitement

Testez votre configuration SPF, DKIM et DMARC en un clic. Notre outil analyse votre domaine et vous indique exactement ce qu'il faut corriger.

Tester mon domaine

Guides complementaires

Guide SPF

Apprenez a configurer un enregistrement SPF pour autoriser vos serveurs d'envoi.

Guide DKIM

Apprenez a configurer la signature DKIM pour authentifier vos emails.