Comment configurer DMARC : guide étape par étape
Comment configurer DMARC : guide étape par étape
Si vous voulez un placement régulier en boîte de réception et une protection contre l’usurpation, apprendre à configurer DMARC est essentiel. DMARC (Domain-based Message Authentication, Reporting and Conformance) relie vos enregistrements SPF et DKIM et indique aux fournisseurs de messagerie quoi faire lorsqu’un message échoue à l’authentification. Gmail et Yahoo l’attendent désormais des expéditeurs en masse. Ce guide parcourt l’ensemble du processus, des prérequis à l’application, sans le jargon.
Ce que fait DMARC (en termes simples)
SPF et DKIM prouvent chacun une partie de votre identité. DMARC ajoute deux choses par-dessus :
- L’alignement — il vérifie que le domaine que le destinataire voit (l’adresse « De ») correspond au domaine qui a réussi SPF ou DKIM. C’est ce qui empêche les attaquants d’usurper votre marque.
- Une politique — il indique aux fournisseurs quoi faire du courrier qui échoue : ne rien faire, l’envoyer en spam, ou le rejeter purement et simplement.
- Le reporting — il vous envoie des rapports agrégés sur qui envoie du courrier en utilisant votre domaine.
DMARC ne fonctionne que si SPF et DKIM sont déjà configurés. Si vous ne l’avez pas encore fait, lisez d’abord notre guide de l’authentification e-mail.
Avant de commencer : prérequis
- SPF est publié pour votre domaine d’envoi et passe.
- DKIM est publié et votre plateforme e-mail signe les messages avec.
- Vous avez accès au DNS de votre domaine (votre bureau d’enregistrement ou votre hébergeur DNS).
- Vous connaissez tous les services qui envoient du courrier au nom de votre domaine (votre ESP, CRM, helpdesk, outil de facturation, etc.).
Ce dernier point est important. L’application de DMARC bloquera tout service qui n’est pas correctement authentifié, vous avez donc besoin d’un inventaire complet avant de durcir la politique.
Étape 1 : décidez où vont les rapports
Les rapports DMARC arrivent sous forme de fichiers XML. Ils sont difficiles à lire à la main mais inestimables pour comprendre qui envoie en votre nom. Vous avez deux options :
- Les envoyer vers une boîte dédiée que vous consulterez réellement (par ex.
dmarc@votredomaine.com). - Utiliser un service de reporting DMARC qui transforme le XML en un tableau de bord lisible. Beaucoup proposent une offre gratuite.
Choisissez une destination avant de construire l’enregistrement.
Étape 2 : construisez votre enregistrement DMARC
Un enregistrement DMARC est une seule entrée TXT dans le DNS. Voici un enregistrement de départ sûr :
v=DMARC1; p=none; rua=mailto:dmarc@votredomaine.com; pct=100; aspf=r; adkim=r
Ce que signifie chaque balise :
- v=DMARC1 — la version. Toujours en premier, toujours cette valeur.
- p=none — la politique.
nonesignifie « surveiller uniquement, ne pas agir ». C’est par là qu’on commence. - rua=mailto:… — l’adresse où sont envoyés les rapports agrégés.
- pct=100 — appliquer la politique à 100 % du courrier (pertinent une fois qu’on dépasse
none). - aspf=r / adkim=r — alignement relâché pour SPF et DKIM. Le relâché est le bon réglage par défaut pour la plupart des expéditeurs.
Commencez par p=none. Cela ne change rien à la façon dont votre courrier est délivré — cela active simplement le reporting pour que vous puissiez voir ce qui se passe.
Étape 3 : publiez l’enregistrement dans le DNS
Chez votre hébergeur DNS, créez un nouvel enregistrement TXT :
- Hôte / Nom :
_dmarc(pour que l’enregistrement complet soit_dmarc.votredomaine.com) - Type :
TXT - Valeur : l’enregistrement de l’étape 2
Enregistrez-le. Les changements DNS peuvent prendre de quelques minutes à environ une journée pour se propager.
Étape 4 : vérifiez qu’il est actif
Utilisez n’importe quel vérificateur d’enregistrement DMARC (plusieurs sont gratuits) ou interrogez le DNS directement :
dig TXT _dmarc.votredomaine.com +short
Vous devriez voir votre enregistrement renvoyé. Si vous n’obtenez rien, vérifiez que l’hôte est exactement _dmarc et que vous ne l’avez pas accidentellement créé sous un sous-domaine.
Étape 5 : lisez vos rapports (phase de surveillance)
C’est l’étape la plus importante — et la plus négligée. Restez en p=none pendant au moins quelques semaines. Vos rapports montreront chaque source envoyant du courrier en utilisant votre domaine. Pour chaque source, vérifiez :
- Est-ce un service légitime que vous reconnaissez ?
- Passe-t-elle SPF et/ou DKIM avec alignement ?
Vous trouverez généralement quelques services légitimes pas encore authentifiés (un outil de facturation oublié, une plateforme marketing). Corrigez chacun d’eux — ajoutez-le à votre enregistrement SPF ou activez la signature DKIM — jusqu’à ce que tous vos vrais expéditeurs passent.
Vous pourriez aussi voir des sources illégitimes usurpant votre domaine. C’est exactement ce que l’application de DMARC arrêtera.
Étape 6 : passez à quarantine
Une fois que tout votre courrier légitime s’authentifie proprement, durcissez la politique. Mettez à jour l’enregistrement :
v=DMARC1; p=quarantine; rua=mailto:dmarc@votredomaine.com; pct=100; aspf=r; adkim=r
p=quarantine indique aux fournisseurs d’envoyer le courrier défaillant dans le dossier spam. Vous pouvez monter en charge progressivement avec pct — par exemple pct=25 applique la politique à un quart du courrier défaillant, ce qui vous permet de surveiller les problèmes avant de passer à 100 %.
Étape 7 : passez à reject (application complète)
Après que quarantine a tourné proprement pendant un certain temps sans surprises dans vos rapports, passez à l’application complète :
v=DMARC1; p=reject; rua=mailto:dmarc@votredomaine.com; pct=100; aspf=r; adkim=r
p=reject indique aux fournisseurs de refuser purement et simplement le courrier défaillant. C’est la protection la plus forte contre l’usurpation et la politique qui démontre le plus grand engagement envers l’authentification. La plupart des expéditeurs matures visent à atteindre p=reject à terme.
Checklist rapide
- SPF et DKIM publiés et passants.
- Destination des rapports choisie.
- Enregistrement TXT
_dmarcpublié avecp=none. - Enregistrement vérifié comme actif dans le DNS.
- Rapports examinés ; tous les expéditeurs légitimes authentifiés.
- Passage à
p=quarantine, montée en charge avecpct. - Passage à
p=rejectune fois propre.
FAQ
Ai-je besoin de DMARC si j’ai déjà SPF et DKIM ? Oui. SPF et DKIM vérifient l’identité, mais seul DMARC impose l’alignement avec le domaine « De » visible et indique aux fournisseurs quoi faire des échecs. Il vous donne aussi le reporting, ce que les deux autres ne font pas.
Configurer DMARC va-t-il casser ma messagerie ?
Pas si vous le faites correctement. Démarrer en p=none ne change rien à la délivrabilité — cela n’active que le reporting. Vous ne risquez de bloquer du courrier qu’à quarantine ou reject, raison pour laquelle vous examinez d’abord les rapports.
Quelle est la différence entre alignement strict et relâché ?
Le relâché (r) permet aux sous-domaines de s’aligner avec le domaine organisationnel ; le strict (s) exige une correspondance exacte. Le relâché est le réglage par défaut pratique pour la plupart des expéditeurs.
Combien de temps dois-je rester en mode surveillance ? Assez longtemps pour voir une image complète de vos sources d’envoi et confirmer qu’elles s’authentifient toutes — généralement quelques semaines ou plus, selon le nombre de services que vous utilisez.
Étapes suivantes
DMARC est l’un des piliers d’une configuration d’envoi saine. Associez-le à des listes propres et à un volume régulier — et si vous mettez en place un nouveau domaine, lisez comment chauffer une nouvelle IP ou un nouveau domaine pour que votre réputation grandisse en parallèle de votre authentification. Pour la vue complète de la délivrabilité, consultez notre guide de la délivrabilité e-mail.