Un domaine peut-il avoir plusieurs SPF ?

Non. La RFC 7208 exige qu'il n'y ait qu'un seul SPF par domaine. Si deux enregistrements TXT commençant par « v=spf1 » existent, les deux renvoient une erreur « PermError » et SPF complètement. Regroupez toutes les sources autorisées en un seul enregistrement.

Qu'est-ce que cela signifie si mon domaine génère trop de requêtes DNS ?

Votre SPF dépasse la limite de 10 requêtes DNS fixée par la RFC 7208. Cela provoque SPF , qui empêche SPF pour tous les e-mails, et pas seulement pour ceux qui dépassent la limite. Réduisez le nombre d'inclusions, remplacez-les par « ip4:/ip6: », ou utilisez SPF ou des macros pour rester en dessous de la limite.

Quelle est la différence entre SPF » (~all) et « hardfail » (-all) SPF ?

Softfail (~all) indique aux destinataires d'accepter l'e-mail tout en le marquant comme suspect. Hardfail (-all) indique aux destinataires de rejeter purement et simplement l'e-mail. Utilisez softfail lors de la configuration initiale et des tests ; passez à hardfail une fois que tous les expéditeurs légitimes ont été validés et que DMARC est opérationnel.

SPF l'usurpation d'adresse e-mail ?

Pas en soi. SPF l'expéditeur de l'enveloppe (Return-Path), et non l'en-tête « From » que voient les destinataires. Un pirate peut passer SPF usurpant l'adresse « From » visible. Il faut recourir au DMARC — qui vérifie la cohérence entre les résultats SPF et l'en-tête « From » — pour empêcher l'usurpation du nom d'affichage.

Que se passe-t-il en cas de SPF ?

Cela dépend du SPF et de la configuration de DMARC. Avec l'option -all et une politique DMARC de rejet, l'e-mail est bloqué. Avec l'option ~all et en l'absence de DMARC, l'e-mail peut tout de même être remis, mais il sera signalé comme suspect. En l'absence SPF , les destinataires ne disposent d'aucun SPF à évaluer.

Comment puis-je vérifier mon SPF ?

Utilisez un outil gratuit SPF . Saisissez votre nom de domaine : l'outil récupère votre SPF depuis le DNS, valide la syntaxe, compte les requêtes DNS et signale toute erreur, y compris les violations de type « PermError » et les requêtes nuls.

Ai-je besoin SPF j'utilise déjà DKIM et DMARC ?

Oui. Pour que l'alignement DMARC soit validé, il faut qu'au moins l'un des protocoles SPF DKIM soit validé. Bien que DKIM puisse à lui seul satisfaire aux exigences DMARC, le fait de disposer à la fois de SPF de DKIM offre une redondance. Si l'un des deux échoue (par exemple, SPF lors d'un transfert), l'autre peut tout de même permettre de valider l'alignement DMARC.

Qu'est-ce que l'alignement SPF ?

SPF signifie que le domaine indiqué dans le champ Return-Path (expéditeur de l'enveloppe) correspond au domaine figurant dans l'en-tête From. DMARC vérifie cet alignement. En son absence, SPF être réussi, mais DMARC échouera tout de même — ce qui est le cas pour de nombreux expéditeurs tiers, à moins qu'ils ne soient configurés pour utiliser votre domaine dans le champ Return-Path.

À quelle fréquence dois-je mettre à jour mon SPF ?

Vérifiez votre SPF chaque fois que vous ajoutez ou supprimez un service d'envoi, et procédez à un audit au moins une fois par trimestre. SPF deviennent obsolètes à mesure que les fournisseurs modifient leurs plages d'adresses IP et que la pile d'envoi de votre organisation évolue. Un SPF qui était valide il y a six mois peut aujourd'hui être erroné ou incomplet.

SPF en adresses IP brutes résout tous les mécanismes d'inclusion, ce qui réduit le nombre de requêtes DNS. Cela vous permet de rester en dessous de la limite de 10 requêtes, mais crée un enregistrement statique qui doit être mis à jour chaque fois qu'un fournisseur modifie ses adresses IP. Des alternatives modernes telles que SPF permettent de conserver un enregistrement dynamique tout en restant en dessous de la limite.

Rapport agrégé DMARC (RUA) : qu'est-ce que c'est et comment l'interpréter

Points clés à retenir

Les rapports RUA (Reporting URI for Aggregate) fournissent un résumé complet, sur une période de 24 heures, de l'ensemble du trafic de messagerie utilisant votre domaine, et indiquent qui envoie des messages en votre nom.
Contrairement aux rapports d'analyse judiciaire, les rapports RUA ne contiennent ni le corps des e-mails ni d'informations permettant d'identifier une personne (PII), ce qui garantit leur conformité aux normes internationales en matière de protection des données.
Ces rapports constituent le principal outil utilisé pour détecter les tentatives d'usurpation d'identité et les services légitimes mal configurés.
Les rapports XML bruts sont difficiles à lire manuellement ; l'utilisation d'un outil d'analyse automatisé est la norme dans le secteur en 2026.
Une analyse cohérente des données RUA est le seul moyen sûr de faire passer votre politique en mode « rejet » sans bloquer les « bons » e-mails.

Toutes les 24 heures, les serveurs de réception vous envoient un ensemble de données structurées – un rapport agrégé DMARC (RUA) – répertoriant toutes les adresses IP ayant envoyé des e-mails via votre domaine : celles qui ont été acceptées, celles qui ont échoué et celles qui ont été rejetées. Lorsque votre journée commence par des échecs de livraison et des plaintes pour spam, c'est là que vous en trouverez la source.

Ces rapports se présentent toutefois sous la forme de fichiers XML très denses, qui ne sont pas vraiment faciles à comprendre pour le commun des mortels. Ainsi, même si ces données sont très utiles, il faut les aborder sous le bon angle pour en tirer pleinement parti.

Dans ce guide, nous allons vous expliquer en détail ce que contiennent réellement les rapports agrégés DMARC, comment les interpréter sans perdre la tête, et comment transformer ces données brutes en informations bien plus utiles.

Qu'est-ce qu'un rapport agrégé DMARC ?

Un rapport agrégé DMARC est un résumé quotidien au format XML envoyé par les serveurs de messagerie destinataires aux propriétaires de domaine ; il couvre l'ensemble du trafic de messagerie prétendant utiliser votre domaine sur une période de 24 heures.

Contrairement aux rapports d'expertise judiciaire, les rapports RUA respectent la confidentialité. Ils ne contiennent ni le contenu des e-mails individuels, ni les objets des messages, ni aucune information permettant d'identifier une personne (PII) ; ils se concentrent plutôt sur les adresses IP, les volumes et les résultats d'authentification.

XML brut (simplifié)

<feedback>
  <report_metadata>
    <org_name>google.com</org_name>
    <date_range>24h</date_range>
  </report_metadata>

  <policy_published>
    <domain>example.com</domain>
    <p>reject</p>
  </policy_published>

  <record>
    <source_ip>209.85.1.1</source_ip>
    <count>1284</count>
    <dkim>pass</dkim>
    <spf>pass</spf>
  </record>
</feedback>

Analysé par

Organisme déclarant

Qui a envoyé le rapport (Google, Microsoft, Yahoo)

Référence du rapport • Période • Adresse e-mail de contact

Politique DMARC publiée

Votre contrat en vigueur au cours de la période considérée

Domaine • mode d'alignement •quarantine

Adresse IP d'origine

Tous les serveurs qui ont envoyé des e-mails en utilisant votre domaine

Détecter les expéditeurs non autorisés et les adresses IP usurpées

Résultats de l'authentification

Résultats SPF, DKIM et DMARC par source

réussir
échec
selon SPF selon DKIM

DMARC agrégé vs. DMARC d'analyse (RUA vs. RUF)

Les rapports RUA (agrégés) fournissent un résumé quotidien général de l'ensemble de l'activité de messagerie sur votre domaine, tandis que les rapports RUF (d'analyse approfondie) constituent des alertes en temps réel, par incident, qui détaillent les échecs d'authentification individuels. En résumé, RUA donne une vue d'ensemble, tandis que RUF se concentre sur des problèmes spécifiques, bien que cette dernière option soit moins largement prise en charge en raison de préoccupations liées à la confidentialité.

Voici les principales différences entre les rapports RUA et RUF.

Fonctionnalité	RUA (URI de rapport pour les données agrégées)	RUF (rapport médico-légal)
Fréquence	Une fois toutes les 24 heures	En temps réel, par défaillance
Champ d'application	Résumé quotidien de l'ensemble du trafic	Événements liés à l'échec de l'authentification d'un utilisateur
Vie privée	Aucune donnée à caractère personnel n'est incluse	Peut contenir des données ou des en-têtes au niveau du message
Soutien	Universel (Google, Microsoft, etc.)	Limité (de nombreux fournisseurs ne le mentionnent pas pour des raisons de confidentialité)

RUA

RAPPORT SYNTHÉTIQUE

Fréquence

Une fois toutes les 24 heures

Ce qu'il couvre

Tout le trafic de messagerie — réussi et échoué

Vie privée

Aucune donnée à caractère personnel — sans risque pour toutes les régions

Idéal pour

Suivi et contrôle au quotidien

contre

RUF

RAPPORT D'EXPERTISE

Fréquence

En temps réel, par défaillance

Ce qu'il couvre

Uniquement les e-mails qui n'ont pas abouti

Vie privée

Peut contenir des objets

Idéal pour

Enquête sur des attaques par usurpation d'identité spécifiques

Quelles informations contient un rapport agrégé DMARC ?

Même si un fichier XML brut peut paraître intimidant, il organise les données en blocs d'enregistrements spécifiques qui fournissent des informations sur l'état de votre authentification.

1. Métadonnées du rapport

Cette section précise qui a rédigé le rapport et la période couverte :

ID du rapport : identifiant unique attribué à ce rapport.
Période : la plage horaire spécifique de 24 heures pendant laquelle les activités ont été surveillées.
Nom de l'organisation : l'entité qui a généré le rapport, généralement un fournisseur de messagerie.
Coordonnées : informations permettant de contacter l'organisme déclarant.

2. Politique DMARC publiée

Ceci détaille la politique spécifique (p = aucune, quarantine ou rejet) qui était active dans votre DNS au cours de la période couverte par le rapport.

3. Blocs d'enregistrement

Chaque bloc d'enregistrement fournit des informations détaillées sur un ensemble spécifique d'e-mails en fonction de leur source :

Adresse IP source : l'adresse IP d'origine des e-mails analysés.
Nombre de messages : le nombre total d'e-mails envoyés depuis cette adresse IP au cours de la période.
Politique évaluée : la mesure prise (décision) et sa conformité avec votre politique.
RésultatsSPF DKIM: les résultats détaillés (réussite/échec) pour chaque méthode d'authentification.

Comment activer les rapports agrégés DMARC ?

Pour recevoir ces rapports, vous devez ajouter la balise « rua= » à votre enregistrement TXT DNS DMARC.

Exemple d'enregistrement :

v=DMARC1 ; p=none ; rua=mailto:[email protected]

Si vous devez envoyer des rapports vers un domaine externe, le domaine destinataire doit publier un enregistrement DNS spécifique accordant l'autorisation.

Comment lire un rapport agrégé DMARC

Reading DMARC aggregate reports manually involves parsing XML tags like <record>, <row>, and <auth_results>.

Identifier les tendances

Les rapports individuels fournissent des informations ponctuelles, mais c'est en les combinant qu'ils permettent le mieux de suivre l'évolution de la situation. Par exemple, un nombre élevé d'échecs provenant d'une adresse IP spécifique sur une période donnée peut indiquer une tentative d'usurpation d'identité ou un serveur légitime mal configuré.

Extrait de code XML

<source_ip>192.168.1.1</source_ip> <count>1023</count> <disposition>none</disposition> <dkim>pass</dkim> <spf>fail</spf>

Dans cet extrait, les e-mails provenant de l'adresse IP 192.168.1.1 ont passé le test DKIM mais ont échoué SPF. La valeur « disposition » étant définie sur « none », aucune mesure n'a été prise malgré cet échec.

Pourquoi les rapports agrégés DMARC sont-ils importants pour la sécurité des e-mails ?

On ne peut pas protéger ce qu'on ne voit pas. Les rapports RUA regorgent d'informations exploitables pour aider votre entreprise :

Améliorer la délivrabilité : identifiez les cas où des e-mails légitimes sont signalés comme spam et modifiez les paramètres pour y remédier.
Renforcez la sécurité et la conformité : identifiez les expéditeurs non autorisés qui tentent de se faire passer pour votre marque ou d'utiliser votre domaine à des fins malveillantes.
Assurer l'application des règles en toute sécurité : offrir la visibilité nécessaire pour passer de p=none (surveillance uniquement) à quarantine ou p=reject sans bloquer les e-mails légitimes.
Maîtrisez le « Shadow IT » (services cloud non autorisés utilisés par les employés sans l'accord du service informatique) : identifiez les services cloud tiers susceptibles d'envoyer des e-mails en votre nom à votre insu.

Comment utiliser efficacement les rapports agrégés DMARC ?

Pour tirer le meilleur parti de vos rapports agrégés DMARC, vous devez passer d'une collecte passive de données à une gestion active de vos domaines. Le format XML brut étant notoirement difficile à analyser manuellement, le respect de ces six bonnes pratiques stratégiques vous aidera à mettre en place une politique DMARC stricte (p=reject) en toute confiance.

1. Tirer parti d'une solution spécialisée d'analyse DMARC

Bien qu'il soit techniquement possible d'ouvrir des fichiers XML dans un éditeur de texte, cette méthode n'est pas viable à grande échelle lorsqu'il s'agit de traiter des centaines de rapports. Un outil spécialisé tel que l'analyseur de rapports DMARC se charge du gros du travail en :

Transformer le XML en visuels : convertir des milliers de lignes de code en cartes géographiques intuitives, en graphiques circulaires et en tableaux de bord sur les menaces.
Identification automatisée de la source : au lieu de se contenter d'afficher une adresse IP telle que 209.85.220.41, un outil d'analyse professionnel identifie le service par son nom (par exemple, « Google Workspace » ou « Salesforce »).
Mise en évidence des erreurs : signalement automatique des erreurs de syntaxe dans vos enregistrements SPF susceptibles d'empêcher la bonne transmission de courriers légitimes.

2. Mettre en place un rythme régulier de révision

Les écosystèmes de messagerie électronique sont en constante évolution : de nouveaux outils marketing font leur apparition et les plages d'adresses IP des fournisseurs tiers changent fréquemment.

Surveillance quotidienne : pendant la phase de configuration initiale (lorsque p = none), vérifiez quotidiennement les rapports pour vous assurer qu'aucun trafic légitime n'est bloqué.
Audits hebdomadaires : dès que votre politique est définie sur «quarantine « p=reject », un examen hebdomadaire suffit généralement pour détecter les nouvelles tentatives d'usurpation d'identité ou les cas de « Shadow IT » (services cloud non autorisés utilisés par différents services).
Approche proactive ou réactive : n'attendez pas qu'une crise de délivrabilité ou une attaque de phishing se produise pour examiner vos données RUA.

3. Examiner en détail les pannes les plus fréquentes

Toutes les pannes ne constituent pas une menace pour la sécurité, mais celles qui touchent un grand nombre d'utilisateurs sont presque toujours graves.

Identifiez les responsables : recherchez les adresses IP qui envoient des milliers d'e-mails mais ne respectent pas les règles DMARC.
Problème de configuration ou tentative malveillante : si l'adresse IP appartient à un fournisseur connu (comme HubSpot ou Mailchimp), l'échec indique une erreur de configuration dans vos paramètres SPF DKIM. Si l'adresse IP n'est pas reconnue et provient d'une région à haut risque, il s'agit probablement d'une tentative d'usurpation d'identité.
Vérifiez les codes de résultat : examinez attentivement la cause de l'échec ; s'agissait-il d'un problème d'alignement (le domaine dans l'en-tête « From » ne correspondait pas au domaine authentifié) ou d'un échec total de l'authentification ?

4. Analyser les tendances à long terme et la saisonnalité

Les rapports agrégés DMARC offrent un « aperçu » sur 24 heures, mais ce sont les tendances qui fournissent les informations les plus utiles.

Trafic de référence : identifiez votre volume « normal » afin de pouvoir repérer immédiatement toute anomalie, telle qu'un pic soudain de trafic pouvant indiquer une attaque par botnet.
Impact de la politique : suivez l'évolution de votre taux de réussite à l'authentification à mesure que vous affinez vos règles. Une tendance à la hausse constante du pourcentage de « DMARC Pass » est le feu vert dont vous avez besoin pour passer à une politique plus stricte.
Comparaison historique : conservez au moins 6 à 12 mois de données historiques afin de vous conformer aux audits de sécurité et d'identifier les fluctuations saisonnières du volume d'e-mails.

5. Mettre en place un cycle de retour d'information concret

Les données ne sont utiles que si elles permettent d'optimiser les processus. Tirez parti des informations issues de vos rapports pour :

Optimiser SPF : supprimez les anciennes adresses IP ou les fournisseurs inactifs afin de rester en dessous de la limite de 10 requêtes DNS.
Mettre à jour les clés DKIM : si les rapports indiquent des échecs DKIM pour un site spécifique, il est peut-être temps de renouveler vos clés ou de corriger un sélecteur défectueux.
Résoudre les problèmes d'alignement d'adresse : de nombreux fournisseurs passent les tests SPF mais échouent au test DMARC car le champ « Return-Path » ne correspond pas au domaine de votre marque. Les rapports vous indiquent précisément où vous devez configurer les paramètres « Custom Return-Path » ou « Custom DKIM ».

6. Consigner les conclusions et les mesures correctives

L'historique des rapports DMARC sert de preuve d'audit pour les cadres de conformité, notamment SOC 2, HIPAA et PCI-DSS.

Consignez les événements significatifs : notez la date à laquelle vous avez ajouté un nouveau fournisseur, celle à laquelle vous avez modifié votre politique (passant de « aucune mesure » à « quarantine »), ainsi que les raisons qui ont motivé ce changement.
Preuves réglementaires : si un auditeur vous demande comment vous protégez les données de vos clients contre l'usurpation d'adresse e-mail, vos rapports DMARC et votre journal des mesures correctives constituent une preuve irréfutable de votre niveau de sécurité.
Transfert des connaissances : la documentation permet de garantir que, si votre administrateur principal de la messagerie électronique quitte l'entreprise, le nouveau membre de l'équipe comprenne l'architecture de messagerie existante et les expéditeurs autorisés.

Comment PowerDMARC simplifie-t-il la création de rapports DMARC ?

Traiter manuellement des centaines de fichiers XML n'est pas viable à grande échelle. PowerDMARC automatise l'ensemble du cycle de vie de vos rapports, allant au-delà de la simple analyse syntaxique pour offrir une expérience complète en matière d'opérations de sécurité (SecOps).

Automatisation avancée et visualisation

Analyse automatique du XML : PowerDMARC transforme des données XML complexes en tableaux de bord, cartes géographiques et graphiques faciles à comprendre, sans qu'aucune lecture manuelle ne soit nécessaire.
Identification de l'expéditeur : notre solution identifie vos services par leur nom (par exemple, Salesforce, Zoom) plutôt que par de simples adresses IP ambiguës, ce qui permet de distinguer rapidement les fournisseurs légitimes des acteurs malveillants.
Traitement des données non standard : PowerDMARC est conçu pour traiter les rapports non conformes aux normes RFC provenant de fournisseurs tels que Microsoft, ce qui garantit que vos données ne sont jamais incomplètes.
SPF DKIM hébergés : Vous en avez assez de la limite de 10 requêtes DNS ? Nos outils hébergés vous permettent de gérer vos enregistrements directement depuis le tableau de bord sans toucher à votre DNS, ce qui résout instantanément l'erreur « Trop de requêtes ».
Prise en charge de BIMI (Brand Indicator for Message Identification) avec VMC (Verified Mark Certificates) : allez au-delà de la sécurité en affichant le logo vérifié de votre marque dans les boîtes de réception des destinataires, ce qui contribue à augmenter les taux d'ouverture et à renforcer la confiance.
DMARC pour les fournisseurs de services gérés (MSP) et la multi-location : grâce à une visibilité globale améliorée, notre plateforme permet aux fournisseurs de services gérés de gérer des centaines de domaines à partir d'un seul et même tableau de bord.
Informations sur les menaces basées sur l'IA : utilisez nos mises à jour pour identifier les schémas d'usurpation d'identité et recevez des alertes automatiques lorsqu'un nouvel expéditeur non autorisé est détecté utilisant votre domaine.
Rapports PDF personnalisés : générez en un clic des rapports prêts à être présentés à la direction, qui vous aideront à documenter votre parcours, de « p=none » à « p=reject », dans le cadre d'audits de conformité.

Résumé

Dans le contexte des menaces en constante évolution de 2026, il n'est plus envisageable de se contenter d'envoyer des e-mails « à l'aveugle ». Les rapports agrégés DMARC constituent l'outil le plus puissant dont dispose un administrateur pour gagner en visibilité et en contrôle sur l'utilisation de son domaine. En transformant les données XML brutes en informations exploitables grâce à PowerDMARC, les entreprises peuvent lutter de manière proactive contre le phishing, améliorer la délivrabilité des e-mails et garantir la conformité aux réglementations mondiales applicables aux expéditeurs en masse.

Foire aux questions

Qu'est-ce qu'un rapport agrégé DMARC ?

Un résumé quotidien au format XML de l'activité d'authentification des e-mails, ainsi que des résultats SPF, DKIM et DMARC, envoyé par les serveurs de messagerie destinataires aux propriétaires de domaines.

À quelle fréquence ces rapports sont-ils envoyés ?

En règle générale, une fois toutes les 24 heures par organisme déclarant (par exemple, Google et Microsoft envoient des rapports distincts).

Ces rapports contiennent-ils des données à caractère personnel ?

Non. Elles contiennent des adresses IP et des volumes de données, mais pas le contenu des e-mails ni de données à caractère personnel, ce qui les rend sûres pour toutes les régions.

Puis-je envoyer des rapports vers un domaine externe ?

Oui, mais le domaine externe doit publier un enregistrement DNS autorisant la réception de ces rapports.

Comment activer les rapports agrégés DMARC ?

Pour activer les rapports agrégés DMARC, ajoutez un enregistrement TXT à vos paramètres DNS :

Animateur : _dmarc
Valeur : v=DMARC1 ; p=none ;rua=mailto:[email protected] ;

Passez àquarantine p=reject lorsque vous êtes prêt. Cela vous offre la visibilité nécessaire pour sécuriser votre domaine, d'où proviennent 91 % des cyberattaques.

À propos de
Derniers messages

Milena Baghdasaryan

Spécialiste du contenu à PowerDMARC

Milena est une rédactrice et créatrice de contenu qualifiée qui possède plus de 7 ans d'expérience dans la création de contenu attrayant sur les technologies de l'information, la cybersécurité, les événements virtuels, etc. Elle est diplômée d'institutions prestigieuses telles que la New York University Abu Dhabi, l'UWC China et le Collège d'Europe.

Derniers messages de Milena Baghdasaryan (voir tous)

Tout savoir sur les rapports agrégés DMARC : ce qu'ils sont, ce qu'ils contiennent et comment les utiliser