Exigences DMARC en 2026
par
Dernière mise à jour : Temps de lecture : 3 min
Au cours des dernières années, Google, Yahoo et d'autres grands fournisseurs de services de messagerie électronique ont apporté des modifications importantes à leurs exigences en matière de sécurité du courrier électronique. Aujourd'hui, l'authentification des domaines par DMARC, DKIM, SPF et MTA-STS est soit une recommandation, soit une exigence dans divers secteurs et pays.
Un changement aussi radical dans l'approche des principaux fournisseurs de services de messagerie électronique, des agences gouvernementales et des organismes de réglementation est le reflet frappant d'un effort mondial visant à renforcer la sécurité de la messagerie électronique. L'objectif est d'améliorer la délivrabilité du courrier électronique, de réduire les taux de spam et de limiter les cyberattaques par courrier électronique qui peuvent entraîner des violations de données importantes et des atteintes à la réputation.
Compte tenu de l'évolution rapide de ces exigences, DMARC devrait bientôt faire partie intégrante des stratégies obligatoires en matière de cybersécurité dans le monde entier.
Principales exigences DMARC en 2026
Exigences mondiales DMARC
- Exigences de Google et Yahoo Bulk Sender
Les expéditeurs en masse (plus de 5 000 courriels par jour) doivent authentifier les domaines avec TLS, DKIM et SPF, et avoir une politique DMARC d'au moins p=none. Ces exigences devaient initialement entrer en vigueur en février 2024. En novembre 2025, Google a annoncé un renforcement de l'application de ces exigences, les courriels non conformes faisant l'objet de rejets temporaires et permanents.
- Exigences générales de Google et Yahoo en matière d'expéditeur
Les expéditeurs généraux de courrier électronique sont également censés mettre en œuvre SPF ou DKIM pour authentifier les courriers électroniques légitimes et empêcher les taux élevés de spam et d'usurpation d'identité.
- Recommandations de la version 4 de la norme PCI-DSS
La norme PCI DSS v4.0 recommande des mécanismes de prévention du phishing ; les bonnes pratiques suggèrent d'utiliser DMARC, SPF et DKIM.
Exigences régionales DMARC
| Région | Nom de l'exigence | Description de l'exigence | Lien source |
|---|---|---|---|
| Pays de l'UE | GDPR (General Data Protection Regulation) | En vertu du GDPR, vous êtes tenu de conclure des accords sur le traitement des données (DPA) avec chaque fournisseur de services en nuage qui, au nom de votre entité, traite les données des consommateurs européens. | En savoir plus |
| Pays de l'UE | DORA (Digital Operational Resilience Act) | En s'appliquant à 20 types différents d'entités financières et de fournisseurs de services TIC tiers, la loi sur la résilience opérationnelle numérique (DORA) vise à harmoniser les règles relatives à la résilience opérationnelle du secteur financier (c'est-à-dire les banques, les compagnies d'assurance, les sociétés d'investissement, etc.) DMARC peut être d'une grande importance pour les institutions financières, car il offre une protection contre les cyberattaques par courrier électronique, contribuant indirectement à assurer la conformité avec la loi DORA. | En savoir plus |
| Canada | Configuration requise pour les services de gestion des courriels | Les courriels gouvernementaux doivent être vérifiés à l'aide de SPF, DKIM et DMARC. | En savoir plus |
| Danemark | Exigences techniques minimales pour les autorités gouvernementales | Les agences gouvernementales doivent mettre en œuvre une politique DMARC de p=reject sur tous les domaines. | En savoir plus |
| Nouvelle-Zélande | Manuel de sécurité de l'information de la Nouvelle-Zélande, version 3.6 | Changement de la conformité des contrôles DMARC et DKIM de SHOULD à MUST et de la politique DMARC de p="none" à p="reject". | En savoir plus |
| Irlande | Normes de référence en matière de cybersécurité dans le secteur public | Les lignes directrices du secteur public en matière de cybersécurité suggèrent d'utiliser SPF, DKIM, DMARC et TLS pour renforcer la sécurité du courrier électronique. Toutefois, il ne s'agit que d'une suggestion et non d'une obligation. | En savoir plus |
| Pays-Bas | Normes "Comply or Explain" (se conformer ou expliquer) | Les agences gouvernementales sont tenues de mettre en œuvre DMARC, ainsi que DKIM, SPF, STARTTLS et DANE. Cela fait partie des normes "Comply or Explain" pour la protection et l'authentification du courrier électronique. | En savoir plus |
| Arabie Saoudite | Guide de mise en œuvre des contrôles essentiels de cybersécurité (ECC) | Il est recommandé aux organisations saoudiennes d'utiliser DKIM, SPF et DMARC comme techniques avancées de protection contre le phishing afin de filtrer les messages frauduleux. | En savoir plus |
| ROYAUME-UNI | Manuel de la politique gouvernementale en matière de cybersécurité Principe | En mars 2024, la politique gouvernementale en matière de cybersécurité a remplacé la politique minimale en matière de cybersécurité. Cette mise à jour a fait passer MTA-STS et TLS-RPT de "recommandés" à "obligatoires" et a ajouté une référence aux enregistrements PTR. | En savoir plus |
| États-Unis | Directive opérationnelle contraignante 18-01 | La directive opérationnelle contraignante 18-01 exige que toutes les agences fédérales utilisent STARTTLS, SPF, DKIM et une politique DMARC de p=reject. | En savoir plus |
| États-Unis | HIPAA (Health Insurance Portability and Accountability Act) (loi sur la portabilité et la responsabilité en matière d'assurance maladie) | En vertu de la loi de 1996 sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA), la règle de confidentialité HIPAA (HIPAA Privacy Rule) définit des normes nationales pour la protection de certaines informations sensibles liées à la santé. DMARC peut être un outil essentiel pour assurer la conformité avec les réglementations HIPAA. | En savoir plus |
| Australie | Manuel de sécurité de l'information de l'ASD (Australian Signals Directorate) | recommande l'utilisation de SPF, DKIM et DMARC pour tenir à distance les menaces liées au courrier électronique. | En savoir plus |
| Australie | Manuel de sécurité de l'information de l'ASD (Australian Signals Directorate) | recommande l'utilisation de SPF, DKIM et DMARC pour tenir à distance les menaces liées au courrier électronique. | En savoir plus |
| Australie | Comment lutter contre les faux courriels | Il présente des recommandations à l'intention des professionnels de la sécurité et des opérateurs de serveurs de messagerie sur la mise en œuvre de protocoles d'authentification du courrier électronique tels que SPF, DKIM et DMARC afin de réduire au minimum l'usurpation d'identité. | En savoir plus |
| Australie | Stratégies d'atténuation des incidents de cybersécurité | Détails des stratégies d'atténuation des cyber-risques de l'Australian Signals Directorate (ASD). | En savoir plus |
| Belgique | Protection et prévention des ransomwares avec DMARC, SPF et DKIM | Conseils fournis par le Centre pour la cybersécurité Belgique. | En savoir plus |
| République tchèque | La loi sur la cybersécurité - Guide de mise en œuvre | Les domaines qui envoient du courrier électronique doivent disposer d'un enregistrement DMARC qui respecte les paramètres spécifiques mentionnés dans la RFC 7489. | En savoir plus |
| Finlande | Comment protéger vos services Microsoft 365 | Le centre national de cybersécurité de l'agence finlandaise des transports et des communications Traficom présente des stratégies de protection pour les serveurs Exchange Online. | En savoir plus |
| France | Lignes directrices pour un système d'information sain | Suggestions pour la mise en œuvre de mécanismes d'authentification et la configuration correcte des enregistrements DNS publics liés à l'infrastructure de courrier électronique (MX, SPF, DKIM, DMARC). | En savoir plus |
| France | Aperçu des cybermenaces 2021 | Un aperçu des cybermenaces et des techniques d'atténuation possibles, publié par l'Agence nationale de la sécurité des systèmes d'information. | En savoir plus |
| Allemagne | Recommandations d'action pour les fournisseurs d'accès à Internet | Publications de la BSI sur la cybersécurité, notamment sur la sécurité du courrier électronique et l'authentification. | En savoir plus |
| Inde | Cadre de cybersécurité dans les banques | La conformité de niveau I de la Reserve Bank of India exige des institutions financières qu'elles mettent en œuvre des mesures de sécurité appropriées pour prévenir les menaces par courrier électronique. | En savoir plus |
| Norvège | Mesures de base pour la sécurité du courrier électronique | Inclut des recommandations sur la mise en œuvre de DMARC pour renforcer la sécurité du courrier électronique. | En savoir plus |
| Philippines | DICT : mesures de cybersécurité contre le ransomware WannaCry | conseille d'activer des filtres anti-spam puissants et d'authentifier le courrier électronique entrant à l'aide de technologies telles que SPF, DMARC et DKIM afin d'empêcher l'usurpation d'adresse électronique. | En savoir plus |
| Pologne | Loi relative à la lutte contre les abus dans les communications électroniques - Nouvelles obligations pour les fournisseurs de courrier électronique et les institutions publiques | Depuis le 25 septembre 2023, les entités publiques polonaises sont tenues de mettre en œuvre SPF, DKIM et DMARC pour authentifier les expéditeurs de courrier électronique et lutter contre l'usurpation d'identité et le smishing. | En savoir plus |
| Portugal | Recommandation technique 01/2019 et 01/2020 | Pour renforcer la sécurité du courrier électronique au sein des organisations, il est recommandé de mettre en œuvre les normes SPF, DKIM et DMARC. Les quatre mesures suivantes : configuration des enregistrements SPF, DKIM, DMARC et MX dans le DNS du domaine, permettent d'informer les destinataires que les courriels ne doivent pas provenir d'un domaine "parqué" et qu'ils doivent être rejetés si c'est le cas. Pour une efficacité optimale, ces mesures doivent être appliquées dans l'ordre indiqué. | En savoir plus (2019) En savoir plus (2020) |
| Écosse | Cadre de cyber-résilience du secteur public écossais V1.2 | Recommandation sur la mise en œuvre de DMARC avec les enregistrements DKIM et SPF , ainsi que sur l'activation du filtrage du spam et des logiciels malveillants. L'application des politiques DMARC aux courriels entrants est également une bonne pratique étendue. | En savoir plus |
| Singapour | Guide de la compromission des courriels d'entreprise (BEC) | La publication souligne que les organisations peuvent utiliser DMARC pour bloquer les courriels malveillants et minimiser les tentatives d'usurpation de domaine et d'hameçonnage pour qu'elles n'atteignent pas les boîtes de réception des destinataires. | En savoir plus |
Pourquoi la conformité DMARC est importante en 2026
Les avantages de l'utilisation des enregistrements DMARC :
- DMARC vous protège, vous et votre entreprise, contre l'hameçonnage par courrier électronique, usurpation de domainel'usurpation d'identité et les menaces de compromission de la messagerie d'entreprise (BEC).
- La réputation de l'expéditeur d'un courrier électronique est améliorée par l'application du DMARC.
- DMARC augmente progressivement de 10 % le taux de délivrabilité de votre courrier électronique.
- En mettant en œuvre DMARC sur votre serveur de domaine, vous pouvez vous assurer que vos courriels ne seront jamais marqués comme spam, ce qui augmentera les taux d'ouverture.
En outre, les entreprises peuvent facilement savoir qui est autorisé à envoyer des courriels professionnels à partir de leur domaine. Cela permet d'éviter les pratiques malhonnêtes. Comment ? Une fois que vous avez publié l'enregistrement DMARC de votre domaine dans l'entrée DNS, tous les serveurs de messagerie qui reçoivent des courriels en vérifient la légitimité avant de les envoyer dans les boîtes de réception des destinataires.
Les défis liés au respect des exigences DMARC 2026
Les entreprises de toutes tailles peuvent être confrontées à plusieurs défis lorsqu'elles devront se conformer aux exigences DMARC en 2026 :
1. Complexité de la configuration manuelle
La mise en œuvre de protocoles tels que DMARC, SPF et DKIM peut s'avérer techniquement difficile, ce qui entraîne des réticences et souvent des erreurs de configuration. Toutefois, grâce aux solutions modernes et automatisées des fournisseurs de services DMARC, ce problème a été considérablement amélioré. Désormais, les entreprises de toutes tailles peuvent choisir parmi une gamme de fournisseurs qui répondent à leurs besoins, en évitant les tracas et la complexité liés aux efforts manuels.
2. Obstacles à la surveillance
La configuration de DMARC pour répondre aux exigences ne s'arrête pas à la mise en place du protocole. Votre voyage ne fait que commencer ! Pour obtenir les meilleurs résultats possibles de votre mise en œuvre de DMARC, vous devez contrôler vos résultats à l'aide de rapports. Alors que les rapports DMARC bruts peuvent être difficiles à déchiffrer, un analyseur de rapports DMARC les rend lisibles par l'homme et faciles à contrôler, tout en fournissant des informations exploitables !
3. Gestion des expéditeurs tiers
Il est important d'identifier tous les services tiers qui envoient des courriels au nom du domaine. Vous devez vous assurer que ces services authentifient correctement les courriels à l'aide de signatures DKIM alignées. Cette tâche peut s'avérer difficile à réaliser manuellement, services DMARC gérés peuvent faire une énorme différence.
4. Problèmes de délivrabilité des courriels
Passer d'une politique DMARC de p=none à p=reject nécessite un suivi attentif. Les organisations craignent souvent de bloquer des courriels légitimes. Pour garantir une distribution cohérente, il est recommandé d'appliquer progressivement DMARC tout en surveillant vos canaux de messagerie à l'aide de rapports.
5. Manque d'expertise
De nombreuses équipes informatiques manquent de connaissances approfondies sur DMARC, SPF et DKIM. Les organisations peuvent encourager leurs employés à opter pour une formation DMARC afin d'approfondir leurs connaissances. Par ailleurs, l'externalisation auprès d'un fournisseur de services de gestion DMARC disposant d'un groupe d'experts permet de réduire le temps et les efforts consacrés à la formation et à la mise à niveau des employés existants.
Comment PowerDMARC aide à se conformer à la réglementation de 2026
PowerDMARC est une plateforme unique d'authentification des courriels qui permet de répondre aux exigences DMARC. PowerDMARC fournit :
- Contrôle automatisé de la conformité pour l'évolution de la réglementation DMARC.
- Guides Application de la politique pour passer en toute sécurité de p=none à p=reject.
- Renseignements sur les menaces en temps réel pour détecter les tentatives d'hameçonnage avant qu'elles ne se produisent.
- Les organisations Fortune 100 et les MSP dans plus de 90 pays lui font confiance.
- Alignement complet de SPF et DKIM pour garantir que les expéditeurs tiers sont correctement authentifiés.
- Rapports et analyses avancés Les rapports DMARC détaillés permettent d'obtenir une visibilité totale sur les échecs d'authentification des courriels.
- Prise en charge deBIMI et MTA-STS pour renforcer la confiance dans la marque et la sécurité du courrier électronique grâce à des couches d'authentification supplémentaires.
- Optimisation automatisée du SPF pour aider à prévenir les échecs de la rechercheSPF avec les MacrosSPF .
En conclusion
L'année 2026 marque un tournant dans l'application du protocole DMARC, et les organisations doivent agir dès maintenant pour éviter les perturbations du courrier électronique et les risques de sécurité. Avec le durcissement des politiques des principaux fournisseurs de messagerie électronique, la conformité n'est plus une option. Votre domaine est-il conforme au protocole DMARC ? Vérifiez votre conformité dès aujourd'hui et prenez les mesures nécessaires pour protéger vos canaux de messagerie électronique.
N'attendez pas qu'il soit trop tard ! Pour commencer, contactez PowerDMARC dès aujourd'hui pour bénéficier d'un essai gratuit essai gratuit de DMARC et assurez-vous d'être en totale conformité avec les exigences DMARC 2026 !
Expert en sécurité des domaines et des courriels chez PowerDMARC
Ahona est la responsable du marketing chez PowerDMARC, avec plus de 5 ans d'expérience dans l'écriture sur des sujets de cybersécurité, spécialisée dans la sécurité des domaines et des courriels. Ahona est titulaire d'un diplôme de troisième cycle en journalisme et communication, solidifiant sa carrière dans le secteur de la sécurité depuis 2019.
Derniers messages de Ahona Rudra (voir tous)
