DMARC

Qu'est-ce que DMARC ?

DMARC (Domain-based Message Authentication, Reporting and Conformance) est le troisième pilier de l'authentification email, en complément de SPF et DKIM. Défini dans la RFC 7489, il remplit deux fonctions essentielles :

1. Politique — Définit ce que les serveurs de réception doivent faire avec les emails qui échouent aux vérifications SPF/DKIM : les laisser passer, les mettre en quarantaine (spam) ou les rejeter.

2. Reporting — Génère des rapports XML envoyés à l'adresse email que vous spécifiez, listant tous les emails envoyés en votre nom (légitimes ou frauduleux).

Prérequis : SPF et DKIM doivent être configurés

DMARC ne fonctionne pas seul. Il s'appuie sur les résultats de SPF et DKIM pour prendre ses décisions. Avant de configurer DMARC, assurez-vous que SPF et DKIM sont correctement configurés pour votre domaine.

La syntaxe d'un enregistrement DMARC

DMARC est publié comme un enregistrement DNS TXT sous _dmarc.[votre-domaine] :

_dmarc.gaprod.fr IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc@gaprod.fr; pct=100"

Les paramètres principaux

Paramètre	Description	Valeurs
v=	Version du protocole	DMARC1 (obligatoire)
p=	Politique pour le domaine principal	none, quarantine, reject
sp=	Politique pour les sous-domaines	Même que p=
rua=	Adresse pour rapports agrégés	mailto:email@domaine.com
ruf=	Adresse pour rapports forensiques	mailto:email@domaine.com
pct=	Pourcentage d'emails concernés	0 à 100
fo=	Conditions de génération des rapports	0, 1, d, s
adkim=	Alignement DKIM	r (relaxed) ou s (strict)
aspf=	Alignement SPF	r (relaxed) ou s (strict)

Les trois politiques DMARC

p=none — Mode observation Les emails qui échouent aux vérifications sont quand même livrés, mais des rapports sont générés. Mode recommandé pour commencer.

p=quarantine — Mode quarantaine Les emails qui échouent aux vérifications sont marqués comme spam ou déplacés dans le dossier indésirables.

p=reject — Mode rejet Les emails qui échouent aux vérifications sont rejetés par le serveur de réception, qui ne les délivre pas du tout. C'est la politique la plus stricte et la plus protectrice.

Déployer DMARC progressivement

Il serait risqué de configurer directement p=reject sans s'assurer que tous vos emails légitimes passent SPF et DKIM. La démarche recommandée :

Étape 1 : Mode observation (semaines 1-4)

v=DMARC1; p=none; rua=mailto:dmarc@votredomaine.fr

Analysez les rapports pour identifier toutes les sources d'emails légitimes de votre domaine.

Étape 2 : Quarantaine progressive (semaines 4-8)

v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@votredomaine.fr

Commencez par 25 % des emails, surveillez les faux positifs, augmentez progressivement.

Étape 3 : Rejet total

v=DMARC1; p=reject; rua=mailto:dmarc@votredomaine.fr

Une fois que vous avez la certitude que tous vos emails légitimes passent, activez le rejet complet.

Lire les rapports DMARC

Les rapports agrégés DMARC (envoyés quotidiennement en format XML compressé) contiennent :

• L'IP source de chaque email
• Les résultats des vérifications SPF et DKIM
• La disposition (pass/fail/quarantine/reject)
• Le volume d'emails par source

Pour analyser facilement ces rapports XML, utilisez des outils dédiés :

• DMARC Analyzer (dmarcanalyzer.com)
• Postmark DMARC analyzer (dmarc.postmarkapp.com) — Gratuit
• Google Postmaster Tools — Pour les emails vers Gmail

DMARC en 2026 : une obligation de fait

En 2024, Google et Yahoo ont imposé que les expéditeurs envoyant plus de 5 000 emails/jour vers leurs plateformes aient des configurations SPF, DKIM et DMARC valides. En 2026, ces exigences se sont étendues et renforcées.

Sans DMARC :

• Vos emails vers Gmail et Outlook risquent de finir dans les spams
• Votre domaine est facilement usurpé pour des attaques de phishing
• Vous n'avez aucune visibilité sur les abus de votre domaine