Quelles sont les exigences DMARC ? Règles, politiques et conformité à l'échelle mondiale
par
Dernière mise à jour : 12 12 min de lecture
Points clés à retenir
- Les exigences DMARC s'appliquent désormais aux expéditeurs de masse (plus de 5 000 e-mails par jour) de Google et Yahoo, avec une application plus stricte désormais pleinement en vigueur, y compris des rejets permanents de la part de Gmail depuis novembre 2025.
- Partout dans le monde, les organismes publics et les secteurs réglementés imposent la mise en œuvre du protocole DMARC pour assurer la sécurité des e-mails.
- Les exigences techniques comprennent l'authentification SPF DKIM, ainsi qu'une correspondance correcte des domaines.
- Les entreprises doivent passer progressivement d'une politique « p=none » à une politique « p=reject » tout en surveillant la délivrabilité des e-mails.
- Microsoft a commencé à appliquer les exigences SPF, DKIM et DMARC aux expéditeurs de masse (plus de 5 000 e-mails par jour vers Outlook.com) à compter du 5 mai 2025, le rejet systématique des messages non conformes étant prévu d'ici novembre 2025.
- DMARCbis a été officiellement publié sous les numéros RFC 9989, 9990 et 9991 (mai 2026), faisant ainsi passer DMARC du statut de document d'information à celui de projet de norme.
- Les exigences anti-hameçonnage de la norme PCI DSS v4.0, y compris DMARC, sont devenues pleinement obligatoires à compter du 31 mars 2025. Toutes les évaluations de 2026 seront réalisées conformément à la norme PCI DSS v4.0.1.
Les exigences DMARC ne sont plus seulement des recommandations techniques. Elles s'inscrivent désormais dans un contexte de plus en plus marqué par un ensemble croissant de réglementations mondiales, de cadres de conformité sectoriels et de règles édictées par les fournisseurs de messagerie. Dans de nombreuses régions, les gouvernements et les organismes du secteur public ont fait de DMARC une exigence officielle pour la protection des domaines officiels, tandis que des normes telles que PCI DSS accordent une importance croissante à l'authentification des e-mails comme faisant partie intégrante d'une conformité de sécurité plus large. Parallèlement, des fournisseurs tels que Google, Yahoo et Microsoft exigent désormais une authentification plus rigoureuse de la part des expéditeurs, en particulier ceux qui envoient des messages à grande échelle.
Cette évolution signifie que DMARC ne vise plus uniquement à empêcher l'usurpation d'identité. Il joue désormais un rôle direct dans la délivrabilité des e-mails, la protection de la marque, la confiance des clients et la conformité réglementaire. Pour de nombreuses organisations, le non-respect des exigences DMARC peut entraîner le rejet d’e-mails, un risque accru de phishing et des lacunes de conformité difficiles à ignorer.
La publication en mai 2026 de DMARCbis en tant que normes officielles de l'IETF (RFC 9989, 9990 et 9991) souligne encore davantage cette évolution. DMARC est passé du statut de RFC informatif à celui de norme proposée, ce qui indique que le secteur de la messagerie électronique le considère désormais comme une infrastructure fondamentale plutôt que comme une couche facultative.
Ce guide présente les exigences DMARC dans cette perspective plus large. Il aborde les règles et les obligations internationales qui favorisent son adoption, les exigences auxquelles les expéditeurs doivent se conformer au niveau des fournisseurs, ainsi que les fondements techniques, notamment SPF, DKIMet l'alignement, nécessaires pour garantir la conformité.
Quelles sont les exigences DMARC ?
Les exigences DMARC désignent les normes techniques et les règles que les propriétaires de domaines doivent respecter pour mettre en œuvre correctement le protocole DMARC (Domain-based Message Authentication, Reporting, and Conformance).
Ils se répartissent sur trois niveaux : les obligations réglementaires, les exigences imposées aux fournisseurs et les normes techniques nécessaires à la mise en œuvre correcte du protocole DMARC.
À la base, DMARC est un protocole d'authentification des e-mails qui s'appuie sur le Sender Policy Framework (SPF) et le DomainKeys Identified Mail (DKIM) pour vérifier que les messages sortants proviennent bien du domaine qu'ils prétendent représenter.
Lorsqu'un message échoue à ces contrôles d'authentification, votre politique DMARC indique aux serveurs de messagerie destinataires comment le traiter.
Un domaine répond aux exigences DMARC lorsque :
- Les paramètres SPF DKIM sont correctement configurés pour le domaine d'envoi
- Un enregistrement TXT DNS DMARC valide a été publié
- Au moins l'un des SPF DKIM est validé et correspond au domaine indiqué dans l'en-tête « From »
- Les rapports DMARC font l'objet d'un suivi régulier
Ce qui a changé, ce sont les enjeux. Les exigences DMARC sont désormais imposées ou appliquées dans de nombreux pays et cadres réglementaires à travers le monde. Elles sont également appliquées par Google, Yahoo, Microsoftet PCI DSS, et le non-respect de ces normes a des conséquences directes sur la délivrabilité des e-mails, la confiance envers la marque et la conformité réglementaire.
Types d'exigences DMARC
Les exigences DMARC peuvent être classées en trois catégories :
- Exigences réglementaires : Mandats émis par les gouvernements et les organismes de conformité tels que la CISA (États-Unis), le NCSC (Royaume-Uni) et la directive NIS2 (UE), qui exigent des organisations qu'elles mettent en œuvre et appliquent le protocole DMARC dans le cadre de normes de cybersécurité plus larges.
- Exigences des fournisseurs : Règles d'application imposées par les fournisseurs de messagerie tels que Google, Yahoo et Microsoft, en particulier pour les expéditeurs en masse, où l'authentification et le respect des politiques ont un impact direct sur la délivrabilité des e-mails.
- Exigences techniques : La configuration de base nécessaire à la mise en œuvre correcte de DMARC, notamment les politiques SPF, DKIM et DMARC, ainsi qu'un alignement correct des domaines.
Il est essentiel de comprendre comment ces couches fonctionnent ensemble pour parvenir à une conformité totale avec le protocole DMARC et la maintenir.
Voici pourquoi plus de 10 000 clients font confiance à la plateforme PowerDMARC
- Réduction considérable des tentatives d'usurpation d'identité et des e-mails non autorisés grâce à des informations sur les menaces basées sur l'IA
- Une intégration plus rapide et une gestion automatisée de l'authentification qui permettent aux équipes informatiques de gagner un temps précieux
- Informations sur les menaces en temps réel et rapports chiffrés au format PGP pour tous les domaines
- De meilleurs taux de délivrabilité des e-mails grâce à une mise en œuvre rigoureuse du protocole DMARC, accompagnée de conseils d'experts
Les 15 premiers jours sont offerts
Commencer l'essai gratuitExigences DMARC à l'échelle mondiale par région
Le protocole DMARC est désormais obligatoire ou appliqué dans de nombreux pays et cadres réglementaires, ce qui en fait une exigence fondamentale pour toute infrastructure de messagerie sécurisée. Voici où en sont aujourd'hui les principales obligations en la matière.
| Région | Statut du mandat | Autorité chargée de l'application | Politique minimale |
|---|---|---|---|
| États-Unis | Obligatoire (au niveau fédéral) | CISA/DHS | p=rejeter |
| Royaume-Uni | Obligatoire (secteur public) | NCSC | p=rejeter |
| Union européenne | Obligatoire (secteurs critiques) | NIS2/autorités nationales | p =quarantine |
| Australie | Obligatoire (gouvernemental) | ACSC | p=rejeter |
| Canada | Obligatoire (au niveau fédéral) | Conseil du Trésor | p=rejeter |
| Arabie Saoudite | Obligatoire (administration publique + télécommunications) | CITC/NCA | quarantine |
| EAU | Obligatoire (gouvernemental) | TDRA | p = aucun minimum |
| Inde | Obligatoire (commercial) | TRAI | p=rejeter |
| Nouvelle-Zélande | Fortement recommandé | NCSC NZ | p = rejet (recommandé) |
États-Unis
Le gouvernement fédéral américain a été l'un des premiers à rendre obligatoire l'utilisation du protocole DMARC à l'échelle nationale. En 2017, le Département de la sécurité intérieure a publié la directive opérationnelle contraignante 18-01 (BOD 18-01), exigeant que toutes les agences du pouvoir exécutif fédéral mettent en œuvre le protocole DMARC avec une politique minimale de p=reject dans un délai d'un an.
La CISA (Agence pour la cybersécurité et la sécurité des infrastructures) continue de superviser et de faire respecter ces normes, et la directive reste en vigueur pour tous les domaines .gov. La directive BOD 18-01 a établi un précédent mondial que d'autres gouvernements ont depuis suivi.
Royaume-Uni
Le Le Centre national de cybersécurité (NCSC) du Royaume-Uni impose la mise en œuvre du protocole DMARC à l'ensemble des ministères et des organismes du secteur public. Le NCSC recommande une politique minimale de type « p=reject » et publie des directives concrètes exigeant des organisations qu'elles en assurent l'application.
Le gouvernement britannique propose également un service appelé « Mail Check » destiné à aider les organismes du secteur public à surveiller et à améliorer leur niveau de sécurité en matière d'authentification des e-mails.
Union européenne
La directive NIS2, entrée en vigueur dans tous les États membres de l'UE en octobre 2024, établit des exigences contraignantes en matière de cybersécurité pour les secteurs des infrastructures critiques, notamment l'énergie, la finance, la santé et les infrastructures numériques.
Les contrôles de sécurité des e-mails, notamment le protocole DMARC, sont considérés comme des mesures techniques de base que les organisations doivent mettre en œuvre pour démontrer leur conformité.
Bien que la directive NIS2 ne mentionne pas explicitement DMARC dans chacune de ses dispositions, les autorités de contrôle de plusieurs États membres ont commencé à y faire référence comme mesure de contrôle obligatoire lors des audits.
Australie
Le Centre australien de cybersécurité (ACSC), qui relève de l'Australian Signals Directorate, impose l'utilisation du protocole DMARC pour les domaines du gouvernement australien et le recommande vivement à toutes les organisations du secteur privé.
L' Stratégies de l'ACSC Stratégies de l'ACSC pour atténuer les incidents de cybersécurité cadre mentionne l’authentification des e-mails comme une mesure de contrôle prioritaire, et les organismes gouvernementaux sont tenus de la mettre en œuvre.
Canada
Le Secrétariat du Conseil du Trésor du Canada exige la mise en œuvre du protocole DMARC dans toutes les institutions du gouvernement fédéral dans le cadre de ses directives en matière de sécurité des courriels. Les domaines fédéraux canadiens sont tenus de publier et d'appliquer des politiques DMARC conformes aux normes internationales.
Autres mandats en cours
| Région | Organe directeur | Exigence |
|---|---|---|
| Arabie Saoudite | CITC/NCA | Le protocole DMARC est obligatoire pour les administrations publiques et les opérateurs de télécommunications agréés |
| EAU | Autorité de régulation des télécommunications et de l'administration numérique | Le protocole DMARC est obligatoire pour les organismes publics |
| Inde | TRAI | DMARC est obligatoire pour les expéditeurs d'e-mails commerciaux et les entreprises |
| Nouvelle-Zélande | GCSB/NCSC (Nouvelle-Zélande) | DMARC est recommandé et rendu obligatoire pour les organismes publics |
| Pays-Bas | NCSC-NL | Le protocole DMARC est obligatoire pour l'administration centrale et mis en œuvre via internet.nl |
Exigences DMARC de Google, Yahoo et Microsoft
Outre les obligations réglementaires, les fournisseurs de messagerie imposent désormais le protocole DMARC comme condition préalable à la livraison dans la boîte de réception, en particulier pour les expéditeurs en masse. Si votre organisation est considérée comme un expéditeur en masse, ces exigences s'appliquent désormais à vous.
Qu'est-ce qu'un expéditeur en masse ?
On considère comme expéditeurs de courriers électroniques en masse ceux qui envoient plus de 5 000 e-mails par jour vers des comptes Gmail. Yahoo applique des seuils similaires. Microsoft utilise ses propres critères pour classer les courriers électroniques en masse, mais applique des normes d'authentification équivalentes.
Aperçu des exigences
| Fournisseur | Politique DMARC minimale | Autres exigences |
|---|---|---|
| p=none | SPF, DKIM, lien de désabonnement visible, taux de spam inférieur à 0,3 % | |
| Yahoo | p=none | SPF, DKIM, désabonnement en un clic pour les messages reçus |
| Microsoft | p=none | Enregistrements SPF, DKIM et PTR |
Vous trouverez tous les détails dans la exigences d'authentification des e-mails de Google et Yahoo , et vous pouvez consulter directement les consignes de Google à l'intention des expéditeurs directement pour connaître les spécifications actuelles.
Calendrier de mise en œuvre
Depuis mai 2026, la mise en application est pleinement effective chez les trois principaux fournisseurs :
- Google/Gmail : a commencé à appliquer des reports temporaires (erreurs 421) en février 2024. Ces mesures ont évolué vers des rejets définitifs (erreurs 550) en novembre 2025. Les expéditeurs en masse non conformes reçoivent désormais des échecs définitifs.
- Yahoo : applique les mêmes exigences d'authentification que Gmail, avec un niveau de contrôle équivalent.
- Microsoft/Outlook : les exigences ont été annoncées en mai 2025. Les avertissements ont commencé en août 2025. L'application stricte du rejet (code d'erreur 550 5.7.515) est en vigueur depuis novembre 2025.
Pour obtenir des conseils détaillés sur la conformité avec les exigences de Microsoft, consultez : Exigences DMARC de Microsoft pour Outlook
Le non-respect de ces consignes peut avoir un impact significatif sur la délivrabilité des e-mails destinés aux utilisateurs de Gmail, Yahoo et Outlook . Les entreprises qui ne respectent pas ces exigences s'exposent à des rejets d'e-mails tant temporaires que permanents, d'où l'importance de prendre les devants face à ces obligations.
DMARCbis : la nouvelle norme DMARC (RFC 9989, 9990, 9991)
Le 21 mai 2026, l'IETF a officiellement publié les spécifications DMARCbis sous la forme de trois nouvelles RFC, remplaçant ainsi la spécification DMARC d'origine (RFC 7489) :
- RFC 9989 : Spécification de base de DMARCbis, mettant à jour les règles d'alignement DMARC, de gestion des politiques et de vérification des domaines.
- RFC 9990 : Normes de reporting agrégé mises à jour pour une meilleure interopérabilité et une plus grande clarté.
- RFC 9991 : mise à jour des normes relatives au signalement des défaillances, accompagnée de recommandations renforcées en matière de sécurité.
Le changement le plus important réside dans le fait que le DMARC est passé du statut de RFC informatif à celui de norme proposée. Cela signifie que le protocole est désormais officiellement reconnu comme une norme Internet, avec des exigences de mise en œuvre plus strictes pour l'ensemble de l'écosystème de la messagerie électronique.
Ce que DMARCbis implique pour votre conformité
- Compte tenu du renforcement des exigences en matière d'alignement, il est d'autant plus important de s'assurer que SPF DKIM correspondent bien au domaine indiqué dans l'en-tête « From ».
- L'amélioration des normes de reporting offre une meilleure visibilité sur les échecs d'authentification, ce qui facilite le diagnostic et la résolution des problèmes.
- La norme mise à jour utilise un algorithme de parcours de l'arborescence DNS à la place de la liste des suffixes publics, ce qui améliore la précision des recherches de domaines.
- Les organisations qui respectent déjà les exigences DMARC en vigueur sont bien placées ; DMARCbis vient affiner le protocole de base plutôt que de le remplacer.
En savoir plus : DMARCbis expliqué – Quels changements et comment s'y préparer
Exigences DMARC pour la conformité à la norme PCI DSS
Pour les organisations qui traitent des données relatives aux cartes de paiement, le protocole DMARC est une obligation réglementaire.
Le Conseil des normes de sécurité du secteur des cartes de paiement (PCI SSC) a rendu obligatoire l'utilisation du protocole DMARC dans le cadre de la norme PCI DSS. Cette obligation s'explique par le fait que la fraude par e-mail, l'usurpation de domaine et la compromission des e-mails professionnels comptent parmi les principaux vecteurs utilisés pour cibler les organisations de l'écosystème des paiements.
Au 31 mars 2025, les 51 exigences « à date future » de la norme PCI DSS v4.0 sont devenues pleinement obligatoires, y compris la section 5.4.1 qui impose la mise en place de mécanismes automatisés de lutte contre le phishing, tels que DMARC, SPF et DKIM. Toutes les évaluations PCI DSS réalisées en 2026 seront effectuées au regard de la norme PCI DSS v4.0.1, sans aucune période de grâce pour ces contrôles.
Ce que signifie le non-respect des obligations pour les organismes de paiement :
- Perte du droit d'effectuer des opérations par carte de paiement
- Exposition à des attaques par usurpation d'identité de marque visant les clients et les partenaires
- Une vulnérabilité accrue face aux attaques par usurpation de messagerie d'entreprise et aux messages de hameçonnage
- Des amendes pouvant aller de 5 000 à 100 000 dollars par mois de non-conformité
Au-delà de la norme PCI DSS, le protocole DMARC est de plus en plus souvent mentionné dans d'autres cadres réglementaires comme mesure de sécurité de base pour les e-mails. Les organisations soumises à des exigences de conformité fédérales devraient également examiner comment le protocole DMARC s'inscrit dans leurs obligations générales.
À lire également : Conformité PCI DSS pour les e-mails : votre stratégie DMARC pour la version 4.0
Que se passe-t-il si vous ne respectez pas les exigences DMARC ?
Les risques liés au non-respect des exigences DMARC sont concrets, immédiats et, dans certains cas, très difficiles à surmonter.
Conséquences sur la délivrabilité
| Scénario | Impact |
|---|---|
| Pas de dossier DMARC | Domaine pouvant être facilement usurpé, aucune application de politique |
| Non-respect des exigences de Google/Yahoo | E-mails filtrés, mis en attente ou rejetés à grande échelle |
| Taux de spam élevés | Atteinte durable à la réputation d'expéditeur du domaine |
| Pas d'alignement SPF DKIM | Des e-mails légitimes échouent à l'authentification et sont bloqués |
Conséquences sur la réputation
Sans politique DMARC, votre domaine peut être utilisé librement pour envoyer des messages de phishing et des messages malveillants qui semblent provenir directement de votre organisation.
Les entreprises qui ne respectent pas les exigences DMARC sont souvent confrontées à des cas d'usurpation d'identité et d'escroqueries dont il est difficile de se remettre, en particulier lorsque les clients ont déjà reçu des messages frauduleux semblant provenir d'un domaine de confiance.
Selon des données récentes du secteur, l'adoption effective du protocole DMARC concernait plus de 937 000 domaines début 2026, mais les politiques de mise en œuvre (quarantine rejet) ne s'appliquent encore qu'à environ 412 000 d'entre eux. Cet écart fait que des centaines de milliers de domaines disposent d'enregistrements DMARC qui ne les protègent pas réellement contre l'usurpation d'identité.
Conséquences réglementaires
Pour les organisations soumises à la norme PCI DSS, le fait de ne pas mettre en œuvre DMARC peut entraîner la perte du droit de traiter les paiements. Il s'agit d'une conséquence prévue en cas de non-conformité à la norme actuelle.
Les prérequis essentiels : SPF DKIM
DMARC ne peut pas fonctionner sans SPF et DKIM. Ces deux méthodes d'authentification des e-mails constituent la base sur laquelle repose DMARC, et elles doivent toutes deux être correctement configurées avant que vous ne publiiez un enregistrement DMARC.
Il est recommandé d'activer SPF DKIM au moins 48 heures avant de mettre en œuvre DMARC, afin de disposer du temps nécessaire pour vérifier que ces deux mécanismes fonctionnent correctement avant d'appliquer une politique en cas d'échec.
Cadre de politique d'expéditeurSPF
SPF un enregistrement TXT DNS qui répertorie toutes les adresses IP autorisées à envoyer des e-mails au nom de votre domaine. Lorsqu'un serveur destinataire reçoit un e-mail, il vérifie si l'adresse IP de l'expéditeur figure dans votre SPF .
Deux SPF courants liés SPF à surveiller :
- RecherchesSPF : Les enregistrements comportant un nombre excessif de requêtes DNS interrompent l'authentification de manière silencieuse et constituent l'une des causes les plus courantes d'échecs inattendus. En savoir plus sur les recherchesSPF et comment y remédier.
- Infrastructures d'envoi complexes : Les organisations gérant de nombreux expéditeurs autorisés peuvent utiliser desSPF pour adapter leurs SPF sans atteindre les limites de recherche.
Si votre SPF dépasse la limite de 10 requêtes DNS spécifiée dans la RFC 7208, il renverra une PermError, que DMARC considère comme un échec. Les organisations disposant de configurations d'envoi complexes devraient envisager le le «SPF » ou PowerSPF pour rester en dessous de la limite.
Courrier identifié DomainKeys (DKIM)
DKIM ajoute une signature numérique cryptographique aux messages sortants, permettant aux serveurs destinataires de vérifier que le corps et les en-têtes du message n'ont pas été modifiés pendant le transit.
La conformité DKIM dans le cadre du protocole DMARC exige que le domaine figurant dans l'en-tête « From » corresponde au domaine spécifié dans la balise « d= » de la signature DKIM. Une signature DKIM techniquement valide qui ne correspond pas au domaine « From » échouera tout de même au test DMARC.
| Méthode d'authentification | Ce qu'il vérifie | Est-ce que ça passe par le transfert ? |
|---|---|---|
| SPF | Adresse IP autorisée pour le domaine d'origine | Non |
| DKIM | Signature cryptographique sur le corps du message | Oui |
Guide étape par étape pour la configuration de DMARC
Une fois que SPF DKIM sont configurés et validés, vous pouvez publier votre enregistrement DMARC. Il est essentiel de bien configurer ce paramètre, car toute erreur dans votre enregistrement peut soit laisser votre domaine sans protection, soit empêcher l'authentification d'e-mails légitimes.
Configuration étape par étape
- Vérifiez que les protocoles SPF DKIM sont activés et qu'ils fonctionnent depuis au moins 48 heures
- Créez votre enregistrement DNS TXT à l'adresse _dmarc.votredomaine.com
- Commencez par une politique « p=none » pour collecter des données sans affecter la livraison
- Ajouter des adresses de rapport afin que les rapports DMARC commencent à être générés immédiatement
- Vérifiez l'enregistrement à l'aide d'un outil de recherche DMARC après la publication
Structure de l'enregistrement DMARC
Chaque chaîne DMARC commence par v=DMARC1. Un enregistrement de base ressemble à ceci :
v=DMARC1 ; p=none ; rua=mailto:[email protected] ; ruf=mailto:[email protected] ;
| Étiquette | Objectif | C'est obligatoire ? |
|---|---|---|
| v=DMARC1 | Balise de version, doit apparaître en premier | Oui |
| p= | Règle : aucune, quarantine ou rejet | Oui |
| rua= | Adresse e-mail pour les rapports globaux | Recommandé |
| ruf= | Adresse e-mail pour les rapports d'expertise | Recommandé |
| sp= | Politique relative aux sous-domaines | En option |
| pct= | La politique relative au pourcentage de messages s'applique à | En option |
Exigences supplémentaires en matière de DNS
Au-delà de l'enregistrement DMARC lui-même, les expéditeurs d'e-mails doivent s'assurer de la validité des enregistrements PTR en DNS PTR.
Les serveurs destinataires utilisent les enregistrements PTR pour vérifier que l'adresse IP d'où provient un message correspond bien au domaine d'origine. L'absence ou l'incohérence des enregistrements PTR constitue une cause fréquente, mais souvent négligée, d'échecs d'authentification.
La mise en œuvre de DMARC nécessite également la configuration d'enregistrements SPF DKIM pour chaque domaine émetteur pris individuellement. Les organisations qui gèrent plusieurs domaines pour différentes régions, différents produits ou différentes divisions doivent veiller à ce que les enregistrements d'authentification soient correctement configurés sur chacun d'entre eux.
Explication des niveaux de politique DMARC
Votre politique DMARC détermine ce qui se passe lorsqu'un e-mail échoue aux contrôles d'authentification. C'est le choix de la bonne politique à chaque étape de votre déploiement qui fait la différence entre une mise en œuvre sans heurts et une mise en œuvre qui bloque par inadvertance des e-mails légitimes.
| Politique | Ce qu'il fait | Quand l'utiliser |
|---|---|---|
| p=none | Se contente de distribuer le courrier et de générer des rapports | Pour commencer, vérifier les expéditeurs |
| quarantine | Envoie les e-mails non remis dans le dossier des spams | Après avoir authentifié tous les expéditeurs légitimes |
| p=rejeter | Bloque complètement les e-mails | Phase d'application intégrale du protocole DMARC |
L'approche recommandée pour le déploiement
- Commencez par définir p=none pour effectuer un audit sans nuire à la délivrabilité des e-mails. Cela vous permettra de disposer des données nécessaires pour identifier tous les expéditeurs légitimes avant la mise en application des mesures.
- Passer àquarantine tous les expéditeurs légitimes ont été authentifiés et ont passé les contrôles de manière constante.
- Passez au niveau « p=reject » pour bénéficier d'une protection totale contre l'usurpation de domaine et les messages frauduleux.
Se précipiter pour rejeter un message sans avoir terminé la phase de surveillance est l'une des causes les plus courantes pour lesquelles les entreprises bloquent accidentellement leurs propres e-mails légitimes.
Pour une analyse détaillée des raisons pour lesquelles le passage à la mise en application est crucial en 2026, consultez : Pourquoi le DMARC est-il important en 2026 ?
Comment surveiller et gérer DMARC à grande échelle
Le respect des exigences DMARC est un travail de longue haleine. Une surveillance constante, des rapports clairs et une infrastructure adaptée : voilà ce qui distingue les organisations qui restent conformes de celles qui retombent dans la vulnérabilité.
Comprendre vos rapports DMARC
DMARC permet de savoir quels serveurs envoient des e-mails en votre nom et quel pourcentage de ces messages réussit ou échoue à l'authentification. Ces données sont fournies sous la forme de deux types de rapports :
| Type de rapport | Fréquence | Ce que cela montre |
|---|---|---|
| Total (RUA) | Quotidien | Résumé de toutes les sources d'envoi, taux de réussite/échec, adresses IP |
| Criminalistique (RUF) | En temps quasi réel | Détails sur les échecs d'authentification individuels |
L'outil de rapport DMARC de PowerDMARC convertit les données brutes des rapports XML en tableaux de bord clairs et exploitables. Il permet de surveiller les résultats sur l'ensemble de vos domaines d'envoi sans avoir à convertit les données brutes des rapports XML en tableaux de bord clairs et exploitables. Il permet de surveiller les résultats sur l'ensemble de vos domaines d'envoi sans avoir à analyser manuellement des fichiers complexes.
Gestion des expéditeurs tiers
L'un des principaux défis liés à la mise en œuvre consiste à identifier et à authentifier tous les expéditeurs tiers qui envoient des e-mails en votre nom.
Les plateformes marketing, les CRM, les outils d'assistance et autres services envoient tous des messages sortants via votre domaine, et chacun d'entre eux doit être correctement authentifié avant que vous puissiez les mettre en quarantine les rejeter en toute sécurité.
Services gérés DMARC aident les organisations à identifier ces expéditeurs, à garantir une authentification adéquate sur tous les canaux de messagerie électronique et à réduire le temps et les ressources nécessaires pour atteindre la conformité totale.
Mise à l'échelle sur plusieurs domaines
Les entreprises gèrent de plus en plus souvent plusieurs domaines, ce qui rend indispensable une gestion centralisée. La mise à jour manuelle des enregistrements DMARC sur de nombreux domaines est source d'erreurs et mobilise d'importantes ressources.
Solutions DMARC hébergées permettent aux organisations de gérer les enregistrements de manière centralisée, d'appliquer simultanément les modifications de politique à tous les domaines et de garder une vue d'ensemble de l'ensemble de leur infrastructure de messagerie à partir d'une interface unique.
Pour les MSP et les MSSP qui gèrent les domaines de leurs clients à grande échelle, la plateforme multi-locataires de PowerDMARC propose des tableaux de bord en marque blanche, une intégration PSA et une prise en charge de 11 langues.
Développer une expertise interne
Pour les équipes qui souhaitent développer un savoir-faire interne tout en s'appuyant sur des outils gérés, les formations PowerDMARC permettent de développer l'expertise nécessaire pour gérer efficacement l'authentification des e-mails au fil du temps.
De plus, ils aident les équipes à éviter les erreurs de configuration, qui constituent la cause la plus fréquente des échecs d'authentification.
Ce qu'une application rigoureuse permet de réaliser
Une fois que vous atteignez le niveau « p=reject », DMARC ouvre la voie à BIMI (Brand Indicators for Message Identification), qui affiche le logo de votre marque directement dans la boîte de réception du destinataire.
Le BIMI est l'une des récompenses les plus visibles d'une mise en œuvre réussie du protocole DMARC et constitue un signal de confiance fort pour les expéditeurs à fort volume.
Pour les organisations qui souhaitent renforcer davantage la sécurité de leur infrastructure de messagerie, MTA-STS impose le chiffrement TLS pour les e-mails entrants, ajoutant ainsi une couche de protection supplémentaire à celle fournie par DMARC.
Respectez les exigences DMARC grâce à PowerDMARC
Les exigences DMARC ne cessent de se durcir. Google, Yahoo, Microsoft et PCI DSS ont tous fixé des limites claires, et les organisations qui ne s'y conforment pas en subissent déjà les conséquences : e-mails rejetés, réputation des expéditeurs ternie et domaines exposés.
Pour atteindre une conformité totale avec DMARC, il faut authentifier chaque source d'envoi, interpréter les rapports avec précision, gérer plusieurs domaines et passer par les différentes étapes de la politique sans perturber le courrier légitime. Cela représente une charge de travail considérable à gérer manuellement.
PowerDMARC simplifie l'ensemble du processus, depuis la création de votre premier enregistrement DNS TXT jusqu'à la mise en œuvre de la règle « p=reject » et bien au-delà.
Grâce à son service DMARC hébergé, à ses rapports automatisés, à ses services gérés et à une plateforme conçue pour offrir une visibilité à grande échelle, PowerDMARC vous apporte tout ce dont vous avez besoin pour répondre aux exigences actuelles et anticiper les évolutions à venir.
Commencez dès aujourd'hui avec PowerDMARC dès aujourd'hui.
FAQ
1. Quelles sont les conditions requises pour le DMARC ?
DMARC nécessite que SPF DKIM (de préférence les deux) soit configuré et aligné avec votre domaine. Vous devez publier une politique DMARC dans le DNS commençant par p=none, et configurer des adresses de notification pour recevoir les rapports d'authentification.
2. Le protocole DMARC est-il désormais obligatoire ?
À compter de février 2024, le protocole DMARC sera obligatoire pour les expéditeurs en masse (plus de 5 000 e-mails par jour) vers Gmail et Yahoo, ainsi que vers Microsoft Outlook.com à compter de mai 2025. Les agences gouvernementales de nombreux pays imposent également l'utilisation de DMARC. Bien qu'il ne soit pas universellement obligatoire, il est fortement recommandé à toutes les organisations qui envoient des e-mails.
3. Le protocole DMARC nécessite-t-il l'utilisation de DKIM ?
DMARC exige que SPF DKIM soit valide pour la vérification de l'alignement, mais les deux sont recommandés. Bien qu'il soit techniquement possible de mettre en œuvre DMARC avec SPF uniquement, les principaux fournisseurs de messagerie comme Google, Yahoo et Microsoft exigent l'utilisation de DKIM pour les expéditeurs en masse, ce qui rend les deux protocoles pratiquement indispensables.
4. À partir de quand le protocole DMARC est-il devenu obligatoire ?
Les exigences relatives au protocole DMARC ont été introduites par les agences fédérales américaines en 2017 (BOD 18-01). Google et Yahoo ont mis en œuvre des exigences pour les expéditeurs en masse en février 2024. Microsoft a emboîté le pas avec une mise en application à partir de mai 2025. La norme PCI DSS v4.0 a rendu obligatoires les contrôles anti-hameçonnage liés au DMARC à compter du 31 mars 2025. Plusieurs pays ont mis en œuvre les exigences DMARC entre 2020 et 2025, et leur application continue de s'étendre à l'échelle mondiale.
5. Combien de temps faut-il pour mettre en place le protocole DMARC ?
La mise en œuvre de DMARC prend généralement entre 4 et 12 semaines, selon la complexité du projet. La configuration initiale peut être effectuée en quelques jours, mais la surveillance, l'analyse et l'application progressive des règles nécessitent plusieurs semaines afin de garantir que la délivrabilité des e-mails ne soit pas affectée.
6. Que se passe-t-il si je ne mets pas en place le protocole DMARC ?
Sans DMARC, les envois massifs vers Gmail, Yahoo et Microsoft peuvent être rejetés ou marqués comme spam. Votre domaine reste vulnérable aux attaques par usurpation d'identité, et vous risquez de rencontrer des problèmes de conformité dans les secteurs réglementés. La délivrabilité des e-mails et la réputation de l'expéditeur en pâtiront probablement.
7. Qu'est-ce que DMARCbis et modifie-t-il les exigences DMARC ?
DMARCbis est la spécification DMARC mise à jour, publiée en mai 2026 sous les numéros RFC 9989, 9990 et 9991, en remplacement de la RFC 7489 d'origine. Elle élève DMARC au rang de norme proposée, renforce les règles d'alignement et améliore les rapports. Bien qu'elle ne modifie pas les exigences fondamentales relatives à la mise en œuvre de DMARC, elle indique que le secteur de la messagerie électronique considère désormais DMARC comme une infrastructure officielle. Les organisations déjà conformes aux exigences existantes sont bien placées pour adopter DMARCbis.
8. Microsoft impose-t-il désormais l'utilisation de DMARC aux expéditeurs de messages en masse ?
Oui. À compter du 5 mai 2025, Microsoft exigera la mise en place SPF, DKIM et DMARC (avec au minimum p=none) pour tous les domaines envoyant plus de 5 000 e-mails par jour vers Outlook.com, Hotmail.com et Live.com. La politique de rejet systématique est en vigueur depuis novembre 2025. Les e-mails non conformes reçoivent le code d'erreur 550 5.7.515.
Expert en sécurité des domaines et des courriels chez PowerDMARC
Ahona est la responsable du marketing chez PowerDMARC, avec plus de 5 ans d'expérience dans l'écriture sur des sujets de cybersécurité, spécialisée dans la sécurité des domaines et des courriels. Ahona est titulaire d'un diplôme de troisième cycle en journalisme et communication, solidifiant sa carrière dans le secteur de la sécurité depuis 2019.
Derniers messages de Ahona Rudra (voir tous)
