Rapport d'analyse DMARC (RUF) : qu'est-ce que c'est, comment ça marche et comment l'activer
par
Dernière mise à jour : 9 Temps de lecture : 9 min
Points clés à retenir
- Un rapport d'analyse DMARC (RUF) est une notification immédiate et détaillée envoyée lorsqu'un e-mail ne passe pas les contrôles d'authentification SPF, DKIM ou DMARC.
- Contrairement aux rapports agrégés (RUA) qui sont générés une fois par jour, les rapports RUF sont disponibles en temps réel et fournissent des données détaillées telles que les objets des e-mails et les adresses IP des expéditeurs.
- Vous devez inclure la balise « ruf= » dans votre enregistrement DNS DMARC (par exemple, ruf=mailto:[email protected]).
- Comme ces rapports peuvent contenir des informations sensibles (données à caractère personnel), de nombreux fournisseurs (comme Gmail) ne les transmettent pas. L'utilisation de PowerDMARC avec le chiffrement PGP constitue le meilleur moyen de traiter ces données en toute sécurité.
- Utilisez RUF pour enquêter sur des tentatives d'usurpation d'identité spécifiques ou pour résoudre des problèmes de configuration complexes liés à des outils de messagerie tiers.
La mise en place d'un enregistrement DMARC constitue un atout majeur pour la sécurité de vos e-mails, mais c'est lorsque vous bouclez véritablement la boucle de rétroaction que les choses deviennent vraiment intéressantes. Voyez les choses ainsi : lorsque vous publiez cet enregistrement, vous ne vous contentez pas de donner des instructions au reste d'Internet sur la manière de traiter vos e-mails ; vous demandez à chaque serveur dans le monde de vous faire part de ses résultats.
La plupart des gens se contentent des résumés quotidiens agrégés, qui sont parfaits pour avoir une vue d’ensemble, mais il existe des informations bien plus détaillées si l’on sait où chercher. C’est là que les rapports d’analyse DMARC (RUF) entrent en jeu. Dans ce guide, nous allons vous expliquer en détail ce que sont les rapports RUF, en quoi ils diffèrent de vos données standard et comment vous pouvez les utiliser pour trouver la « preuve irréfutable » lorsque vos e-mails disparaissent.
Qu'est-ce qu'un rapport d'analyse DMARC ?
Un rapport d'analyse DMARC (également appelé « rapport d'échec ») est une alerte détaillée en temps réel envoyée par les serveurs de messagerie destinataires lorsqu'un message échoue à l'authentification DMARC. Il fournit des diagnostics détaillés sur chaque message ayant échoué, tels que les résultats de l'authentification, la source d'envoi et les en-têtes du message, afin que le propriétaire du domaine puisse enquêter sur d'éventuelles tentatives d'usurpation d'identité et résoudre les problèmes liés à l'authentification des e-mails.
Si un rapport global est un résumé de toutes les personnes qui ont tenté d'entrer dans un bâtiment, le rapport d'analyse approfondie correspond à l'enregistrement de vidéosurveillance en haute résolution de la seule personne qui a tenté de forcer la serrure. Il vous fournit les détails les plus précis sur les raisons pour lesquelles ce message précis a été signalé.
- Qui l'envoie ? En général, c'est le serveur de messagerie destinataire (comme une passerelle d'entreprise) qui intercepte l'e-mail suspect.
- Où est-il acheminé ? Il est directement envoyé à l'adresse e-mail que vous avez indiquée dans la balise « ruf= » de votre enregistrement DMARC.
- Quelle est la différence ? Contrairement à ces fichiers d'agrégation XML peu pratiques, ceux-ci utilisent le format AFRF (Authentication Failure Reporting Format). Ce format est bien plus « lisible » et contient suffisamment de détails pour vous aider à résoudre le problème.
Que contient un rapport d'analyse DMARC ?
Les rapports DMARC de RUF étant conçus pour un dépannage approfondi, ils contiennent des métadonnées spécifiques sur le message rejeté que vous ne trouverez pas dans les rapports agrégés.
Un rapport RUF type comprend :
- Adresse IP de l'expéditeur : l'adresse IP exacte à partir de laquelle l'envoi du message a été tenté.
- Adresses « From » et « Return-Path » : l'en-tête « From » et l'expéditeur de l'enveloppe.
- Objet : L'objet réel de l'e-mail qui n'a pas été envoyé.
- Résultats de l'authentification : détails spécifiques expliquant pourquoi SPF ou DKIM a échoué et si l'alignement DMARC a été atteint.
- En-têtes du message : les en-têtes complets du message.
La mise en place d'un enregistrement DMARC constitue un atout majeur pour la sécurité de vos e-mails, mais c'est lorsque vous bouclez véritablement la boucle de rétroaction que les choses deviennent vraiment intéressantes. Voyez les choses ainsi : lorsque vous publiez cet enregistrement, vous ne vous contentez pas de donner des instructions au reste d'Internet sur la manière de traiter vos e-mails ; vous demandez à chaque serveur dans le monde de vous faire part de ses résultats.
La plupart des gens se contentent des résumés quotidiens agrégés, qui sont parfaits pour avoir une vue d'ensemble, mais il existe des informations bien plus détaillées si l'on sait où chercher. C'est là qu'interviennent les rapports d'analyse DMARC (RUF) entrent en jeu. Dans ce guide, nous allons vous expliquer en détail ce que sont les rapports RUF, en quoi ils diffèrent de vos données standard et comment vous pouvez les utiliser pour trouver la « preuve irréfutable » lorsque vos e-mails disparaissent.
Qu'est-ce qu'un rapport d'analyse DMARC ?
A Rapport d'analyse DMARC (également appelé « rapport d'échec ») est une alerte détaillée en temps réel envoyée par les serveurs de messagerie destinataires lorsqu'un message échoue à l'authentification DMARC. Il fournit des diagnostics détaillés sur chaque message ayant échoué, tels que les résultats d'authentification, la source d'envoi et les en-têtes du message, afin que le propriétaire du domaine puisse enquêter sur d'éventuelles tentatives d'usurpation d'identité et résoudre les problèmes d'authentification des e-mails.
Si un rapport global est un résumé de toutes les personnes qui ont tenté d'entrer dans un bâtiment, le rapport d'analyse approfondie correspond à l'enregistrement de vidéosurveillance en haute résolution de la seule personne qui a tenté de forcer la serrure. Il vous fournit les détails les plus précis sur les raisons pour lesquelles ce message précis a été signalé.
- Qui l'envoie ? En général, c'est le serveur de messagerie destinataire (comme une passerelle d'entreprise) qui intercepte l'e-mail suspect.
- Où est-il envoyé ? Il est envoyé directement à l'adresse e-mail que vous avez indiquée dans le champ balise ruf= de votre enregistrement DMARC.
- C'est quoi l'ambiance ? Contrairement à ces fichiers d'agrégation XML peu pratiques, ceux-ci utilisent l' AFRF (Authentication Failure Reporting Format). Ce format est bien plus « lisible par l'homme » et contient suffisamment de détails pour vous aider à résoudre le problème.
Que contient un rapport d'analyse DMARC ?
Les rapports DMARC de RUF étant conçus pour un dépannage approfondi, ils contiennent des métadonnées spécifiques sur le message rejeté que vous ne trouverez pas dans les rapports agrégés.
Un rapport RUF type comprend :
- Adresse IP de l'expéditeur : L'adresse IP exacte qui a tenté d'envoyer le message.
- Adresses « De » et « Return-Path » : L'en-tête « From » et l'expéditeur de l'enveloppe.
- Objet : L'objet réel de l'e-mail qui n'a pas été envoyé.
- Résultats de l'authentification : Détails spécifiques expliquant pourquoi SPF ou DKIM ont échoué et si l'alignement DMARC a été atteint.
- En-têtes du message : Les en-têtes de réponse complets du message.
- Données à caractère personnel (DCP) : Étant donné que ces rapports peuvent inclure des objets et des adresses de destinataires, ils contiennent souvent des informations personnelles identifiables.
Remarque concernant la confidentialité : En raison de la présence d'informations personnelles identifiables (PII), de nombreux grands fournisseurs de messagerie ont choisi de ne plus envoyer de rapports RUF afin de protéger la vie privée des utilisateurs. Chez PowerDMARC, nous répondons à ce problème en prenant en charge le chiffrement PGP pour les rapports RUF, garantissant ainsi que les données sensibles restent cryptées et accessibles uniquement à vous.
Certains récepteurs qui envoient envoient des rapports RUF masquer (masquer) les parties sensibles du corps du message ou de l'objet avant de vous l'envoyer, afin de se conformer aux lois sur la protection de la vie privée. C'est pourquoi certains rapports d'analyse forense semblent « vides » ou comportent [CENSURÉ] .
Exemple de rapport d'analyse DMARC
Pour vraiment comprendre ce qui se passe en coulisses, il faut examiner les données brutes. Lorsqu’un e-mail n’est pas remis, le destinataire génère un rapport au format AFRF. Cela peut paraître un peu technique, mais c’est en fait assez facile à lire une fois qu’on sait ce qu’il faut rechercher.
Type de message d'erreur : échec de l'authentification
User-Agent : PowerDMARC-Reporter/1.0
Version : 1.0
Expéditeur d'origine : [email protected]
Date d'arrivée : mardi 31 mars 2026, 10 h 00 min 00 s (UTC)
Message-ID: <[email protected]>
Résultats de l'authentification : dkim=échec ; spf
Adresse IP source : 192.0.2.1
Domaine signalé : votredomaine.com
Ce que cela signifie :
- Type de réponse : cela confirme qu'il s'agit d'un échec d'authentification.
- Original-Mail-From : l'adresse précise à partir de laquelle l'envoi du message a été tenté.
- Résultats de l'authentification : la « preuve irréfutable ». Dans ce cas précis, les vérifications SPF DKIM ont toutes deux échoué, ce qui a déclenché le rapport.
- Adresse IP d'origine : il s'agit de l'adresse exacte du serveur qui a envoyé le message. Si vous ne reconnaissez pas cette adresse IP, il se peut que quelqu'un usurpe votre identité.
À quoi ressemble l'enregistrement dans votre DNS
Pour recevoir ces rapports, votre enregistrement DMARC doit ressembler à ceci :
v=DMARC1 ; p=none ; rua=mailto:[email protected] ; ruf=mailto:[email protected] ; fo=1 ;
Remarque : si vous envoyez des rapports vers un domaine autre que le vôtre, le domaine de destination doit disposer d'un enregistrement DNS lui permettant de recevoir vos rapports.
Analyse des balises :
- v=DMARC1 : Il s'agit simplement de la balise de version standard qui permet à Internet de savoir quel protocole vous utilisez.
- p=none : Il s'agit du « mode surveillance ». Vous indiquez aux serveurs : « Laissez passer les e-mails pour l'instant, mais prévenez-moi si un problème survient. »
- rua=: Voici votre boîte de réception pour les résumés quotidiens qui vous donnent une vue d'ensemble.
- ruf= : Il s'agit de la balise « forensique » spécifique qui indique aux serveurs où envoyer les alertes détaillées de défaillance en temps réel.
- fo=1 : C'est un paramètre important. Il indique au serveur d'envoyer un rapport si la validation SPF DKIM échoue. (Si vous ne l'incluez pas, certains serveurs pourraient ne signaler l'échec que si les deux validations échouent).
Rapport d'analyse DMARC vs rapport agrégé (RUF vs RUA)
Bien qu'elles soient toutes deux activées au sein d'un même enregistrement, elles ont des fonctions distinctes. La RUA offre une vue d'ensemble ; la RUF permet d'examiner les détails.
| Fonctionnalité | Rapport d'expertise (RUF) | Rapport global (RUA) |
|---|---|---|
| Déclenché par | Chaque échec d'envoi d'e-mail | Résumé quotidien de tous les e-mails |
| Fréquence | En temps réel / Immédiat | Une fois par jour |
| Format | ARF (Abuse Reporting Format) Veuillez noter que l'AFRF (défini dans la RFC 6591) est l'extension spécifique de l'ARF (RFC 5965) utilisée pour DMARC. | XML |
| Niveau de détail | Très détaillé (par e-mail) | Résumé à l'échelle du domaine |
| Contient-il des données à caractère personnel ? | C'est possible | Non |
| Soutien | Limité (pour des raisons de confidentialité) | Largement soutenu |
| Idéal pour | Enquête sur les incidents, détection de l'usurpation d'identité | Suivi continu, analyse des tendances |
Comment activer les rapports d'analyse DMARC
L'activation de RUF est une procédure simple qui nécessite une mise à jour rapide de vos paramètres DNS.
1. Accéder au DNS : Connectez-vous à votre console de gestion DNS.
2. Trouver votre enregistrement DMARC : Localisez l'enregistrement TXT à l'adresse _dmarc.votredomaine.com.
3. Ajouter la balise RUF : Insérez la balise ruf=mailto:[email protected].
4. Configurez la balise FO : définissez vos déclencheurs de rapport (voir la section suivante).
5. Enregistrez et propagez : enregistrez les modifications. La propagation des modifications DNS à l'échelle mondiale peut prendre jusqu'à 48 heures.
Conseil de pro : l'envoi des rapports RUF vers une boîte de réception standard peut s'avérer fastidieux et présenter un risque pour la sécurité. L'utilisation d'une plateforme telle que PowerDMARC vous permet de visualiser ces données dans un tableau de bord clair, sans encombrer votre messagerie.
Comprendre la balise DMARC « fo » (options d'analyse forensic)
La balise « fo » est un sous-élément de l'enregistrement DMARC qui indique au destinataire à quel moment vous souhaitez qu'un rapport d'analyse soit généré.
| Valeur fo | Signification |
|---|---|
| fo=0 (par défaut) | Générer un rapport uniquement si les vérifications SPF DKIM échouent toutes les deux. |
| fo=1 | Générer un rapport en cas d'échec de la vérification SPF DKIM. (Recommandé) |
| fo=d | Générer un rapport uniquement en cas d'échec de la validation DKIM. |
| fo=s | Générer un rapport uniquement en cas SPF . |
La plupart des professionnels de la sécurité utilisent fo=1, car cette option offre une visibilité optimale sur tout problème d'authentification. Notez toutefois que, même si fo=1 est la meilleure option en termes de visibilité, il est presque toujours préférable de l'acheminer vers un outil de traitement dédié (comme PowerDMARC) plutôt que vers une boîte de réception humaine, sans quoi le « bruit » deviendra ingérable.
Pourquoi vous ne recevez peut-être pas les rapports d'analyse DMARC
Si vous avez activé RUF mais que votre boîte de réception est vide, pas de panique. Cela ne signifie pas forcément que votre enregistrement est corrompu.
1. Restrictions liées à la confidentialité : les principaux fournisseurs, tels que Gmail et Microsoft 365, n'envoient généralement pas de rapports RUF afin de protéger la vie privée de leurs utilisateurs.
2. Le succès passe inaperçu : si tous vos e-mails passent l'authentification DMARC, il n'y a aucun échec à signaler !
3. Prise en charge par les destinataires : tous les serveurs de messagerie destinataires ne sont pas configurés pour générer des rapports d'analyse.
C'est pourquoi les rapports RUA agrégés sont considérés comme la « source de référence » pour évaluer l'état général du domaine, tandis que le RUF constitue un outil complémentaire destiné à des analyses spécifiques.
Questions relatives à la confidentialité et à la sécurité
Les rapports RUF pouvant contenir l'objet et le corps d'un e-mail, ils sont soumis à des réglementations strictes en matière de protection des données, telles que le RGPD et le CCPA. Si un pirate usurpe votre domaine pour envoyer un e-mail de hameçonnage à un particulier, le rapport d'analyse que vous recevrez pourrait contenir les données personnelles de cette personne.
Bonnes pratiques :
- Utilisez une plateforme de signalement dédiée et sécurisée.
- Activer le chiffrement PGP : PowerDMARC propose le chiffrement PGP afin que seul vous, en tant que détenteur de la clé privée, puissiez consulter le contenu des rapports RUF.
- Limitez l'accès aux données à votre équipe de sécurité principale.
Comment utiliser les rapports RUF pour détecter l'usurpation d'identité et résoudre les défaillances
Une fois que vous commencez à recevoir des données d'investigation, voici comment les exploiter :
1. Détection de l'usurpation de nom de domaine
Si vous constatez qu'un rapport d'analyse provient d'une adresse IP que vous ne reconnaissez pas, alors que l'adresse « De » correspond à votre domaine, vous avez probablement détecté une tentative d'usurpation d'identité en cours. Vous pouvez utiliser cette adresse IP pour mettre à jour vos listes de blocage ou en informer votre centre des opérations de sécurité.
2. Remédier aux échecs légitimes
Il arrive parfois que vos propres e-mails légitimes ne parviennent pas à leur destinataire. Si un rapport indique un échec provenant d'un outil que vous utilisez (comme Salesforce ou Mailchimp), vérifiez ce rapport pour voir si la validation DKIM a échoué ou si l'adresse IP n'a tout simplement pas été ajoutée à votre SPF .
3. Déroulement de l'enquête
1. Identifiez l'adresse IP source dans le rapport RUF.
2. Vérifiez: s'agit-il d'un outil utilisé par votre entreprise ?
3. Corrigez le problème : si l'outil est autorisé mais ne fonctionne pas correctement, corrigez l'alignement SPF. S'il n'est pas autorisé, laissez votre politique DMARC, qu'elle soit quarantine ou p=reject, faire son travail.
Le bilan
Voyez les choses ainsi : si les rapports RUA agrégés DMARC sont votre relevé bancaire mensuel, les rapports RUF d'analyse approfondie correspondent aux reçus individuels de chaque transaction suspecte. Ils ne sont pas parfaits, principalement parce que les grands acteurs comme Gmail privilégient la confidentialité des utilisateurs plutôt que l'envoi de ces rapports, mais lorsque vous les recevez, ils constituent une mine d'or pour le dépannage.
Si vous cherchez à comprendre pourquoi un outil marketing particulier présente des dysfonctionnements, ou si vous êtes la cible d'une attaque par usurpation d'identité, ces rapports vous fournissent en temps réel les informations essentielles : « qui, quoi et où ». Veillez simplement à traiter ces données de manière responsable, de préférence à l'aide d'une plateforme qui les crypte afin de ne pas vous retrouver avec une montagne de données personnelles sensibles.
Vous souhaitez consulter vos données d'analyse sans vous prendre la tête ? PowerDMARC vous facilite la tâche en transformant les données brutes RUF en un tableau de bord clair et lisible, le tout avec un cryptage PGP pour garantir la sécurité et la conformité de vos données. Commencez dès aujourd'hui votre essai gratuit de 15 jours et bénéficiez d'une visibilité totale sur votre écosystème de messagerie.
Foire aux questions
Qu'est-ce qu'un rapport d'analyse DMARC exactement ?
Il s'agit en fait d'une alerte en temps réel. Au lieu d'attendre un résumé quotidien, un rapport d'analyse est généré dès qu'un e-mail individuel échoue au contrôle DMARC. Ce rapport est extrêmement détaillé et conçu pour permettre une analyse approfondie.
En quoi le RUF diffère-t-il du RUA ?
RUA est votre résumé quotidien qui vous donne une vue d'ensemble ; il vous informe des tendances et des volumes au format XML. RUF offre une vue détaillée ; il est envoyé immédiatement, utilise le format ARF et contient des informations spécifiques concernant un seul message ayant échoué.
Comment puis-je activer ces rapports ?
Vous devrez modifier votre enregistrement DMARC dans vos paramètres DNS. Il vous suffit d'ajouter la balise ruf=mailto:[email protected]. Si vous souhaitez être particulièrement rigoureux, ajoutez la balise fo=1 afin de recevoir un rapport dès que SPF le DKIM échoue, plutôt que d'attendre que les deux échouent.
J'ai installé RUF, mais je n'obtiens aucun résultat. Est-ce qu'il ne fonctionne pas ?
Probablement pas. Il est fort probable que vos e-mails passent l'authentification sans problème (ce qui est une bonne chose !). N'oubliez pas non plus que de nombreux grands fournisseurs n'envoient pas du tout de rapports RUF afin de protéger la vie privée de leurs utilisateurs. Si vous recevez vos rapports RUA, cela signifie probablement que votre enregistrement fonctionne correctement.
Ces rapports contiennent-ils des données à caractère personnel ?
Oui, et c'est là que réside toute la difficulté. Les rapports d'expertise peuvent contenir l'objet de l'e-mail, l'adresse du destinataire et parfois même un extrait du corps du message. C'est pourquoi il est recommandé d'utiliser une plateforme sécurisée pour les gérer, afin de rester en conformité avec les lois sur la protection de la vie privée telles que le RGPD.
À quoi sert le tag « fo » ?
Cet acronyme signifie « Forensic Options ». Il s'agit en substance d'un ensemble d'instructions indiquant au récepteur à quel moment précis il doit générer un rapport : soit vous ne souhaitez en recevoir un que lorsque tout échoue (fo=0), soit vous souhaitez recevoir un rapport dès qu'une étape du processus d'authentification présente une défaillance (fo=1).
Spécialiste du contenu à PowerDMARC
Milena est une rédactrice et créatrice de contenu qualifiée qui possède plus de 7 ans d'expérience dans la création de contenu attrayant sur les technologies de l'information, la cybersécurité, les événements virtuels, etc. Elle est diplômée d'institutions prestigieuses telles que la New York University Abu Dhabi, l'UWC China et le Collège d'Europe.
Derniers messages de Milena Baghdasaryan (voir tous)
- Fin du support du protocole NTLM : ce que la suppression progressive par Microsoft implique pour les MSP et les équipes informatiques - 8 mai 2026
- Tout savoir sur les rapports agrégés DMARC : ce qu'ils sont, ce qu'ils contiennent et comment les utiliser - 6 mai 2026
- Avis sur Sendmarc : fonctionnalités, avis d'utilisateurs, avantages et inconvénients (2026) - 22 avril 2026
