DMARCbis expliqué - Ce qui change et comment se préparer

DMARCbis est la mise à jour tant attendue de la spécification DMARC originale définie dans la RFC 7489. Elle apporte des changements structurels au fonctionnement de DMARC, supprime certains éléments obsolètes et clarifie des ambiguïtés de longue date concernant l'alignement des domaines et la gestion des politiques.

Bien que cette mise à jour n'entraîne pas de perturbations, elle modifie la manière dont les limites des domaines sont définies, dont les règles s'appliquent aux sous-domaines, et dont certaines balises sont interprétées ou supprimées.

Ce guide explique ce qui change, ce qui reste inchangé et ce que vous devez faire ensuite.

Qu'est-ce que DMARCbis ?

DMARCbis est la version révisée de la spécification « Domain-based Message Authentication, Reporting, and Conformance » (DMARC), élaborée par l'IETF.

La spécification DMARC originale (RFC 7489) a été publiée en tant que document d'information.

DMARCbis fait actuellement l'objet d'une proposition de norme, ce qui témoigne d'un consensus plus large et de directives de mise en œuvre plus claires.

Cette mise à jour porte sur trois domaines :

• Levée des ambiguïtés concernant l'évaluation des domaines
• Simplifier le protocole en supprimant les balises inutilisées
• Donner aux propriétaires de domaines davantage de contrôle sur l'héritage des politiques

Il est important de noter que DMARCbis conserve la valeur « v=DMARC1 » inchangée, de sorte que les enregistrements existants continuent de fonctionner.

Que remplace DMARCbis ?

DMARCbis regroupe et remplace :

RFC 7489 – la spécification DMARC originale

RFC 9091 – l'extension DMARC « Public Suffix Domain » (PSD)

Cela est important car la gestion des PSD est désormais intégrée au cœur de la spécification via la balise psd. Les dépendances externes telles que la liste des suffixes publics ne sont plus nécessaires. Les limites des domaines sont définies directement dans le DNS.

Quels sont les principaux changements apportés par DMARCbis ?

1. La traversée de l'arborescence DNS remplace la liste des suffixes publics

DMARCbis remplace la liste des suffixes publics (PSL) par une méthode native du DNS appelée « DNS Tree Walk ». Au lieu de s'appuyer sur une liste fournie par un tiers, il identifie le domaine de l'organisation en parcourant directement le DNS.

Comment ça marche :

Prenons ce domaine : mail.marketing.example.com

Le destinataire vérifie la présence d'un enregistrement DMARC dans l'ordre suivant :

1. mail.marketing.exemple.com
2. marketing.exemple.com
3. exemple.com
4. com

À chaque niveau, il recherche un enregistrement DMARC comportant une balise « psd » :

• psd=n → il s'agit du domaine organisationnel → arrêt
• psd=y → il s'agit d'un suffixe public → arrêter
• psd=u ou absent → continuer vers le haut

La recherche s'arrête après 8 niveaux au maximum.

Cette approche permet de ne plus dépendre de listes externes, donne aux propriétaires de domaines le contrôle sur les limites de ces derniers et rend le comportement plus prévisible d'un système à l'autre.

2. Balises obsolètes : « pct », « rf », « ri »

DMARCbis supprime les balises suivantes :

• « pct » (la balise « Percentage » pour l'application basée sur un pourcentage)
• « rf » (format de rapportmédico-légal )
• « ri » (intervalle de rapport)

Ces éléments étaient rarement utilisés de manière cohérente et ajoutaient de la complexité sans apporter d'avantage évident.

Remarque concernant la balise « pct » : certaines organisations utilisaient la balise « pct » pour mettre en œuvre progressivement les politiques DMARC. Sa suppression simplifie le protocole, mais supprime également un mécanisme de déploiement progressif.

Point de vue de PowerDMARC : la mise en œuvre progressive reste importante, mais elle devrait être gérée au niveau opérationnel plutôt que par le biais d'un soutien inégale de la part des destinataires.

3. Nouvelles balises introduites : « psd », « np », « t »

« psd » (domaine à suffixe public)

La balise « psd » définit explicitement le type de domaine et détermine à quel endroit le parcours de l'arborescence DNS s'arrête :

• psd=y → domaine à suffixe public (par exemple, opérateurs de TLD)
• psd=n → domaine organisationnel
• psd=u → inconnu (comportement par défaut si omis)

« np » (Politique relative aux domaines inexistants)

La balise « np » définit la politique applicable aux sous-domaines inexistants et empêche l'utilisation abusive de sous-domaines inutilisés ou non enregistrés.
Exemple : np=reject
« t » (mode test)

La balise `t` indique que le domaine est en mode test.

• Cela ne remplace pas la politique (« p », « sp », « np »)
• Ceci n'a qu'une valeur indicative
• Les destinataires peuvent décider de l'honorer ou non

Modifications apportées au rapport global (RUA)

DMARCbis traite les rapports agrégés dans une spécification distincte. Bien que cela n'affecte pas les rapports actuels, cela annonce des changements à venir.

Principales implications :

• Le format de rapport fait actuellement l'objet d'une mise au point dans un projet distinct de l'IETF
• La structure XML pourrait évoluer afin d'assurer une meilleure cohérence
• Les procédures de signalement seront progressivement harmonisées

Listes de diffusion et consignes relatives au rejet

DMARCbis fournit des indications plus claires concernant les listes de diffusion.

Il est déconseillé aux domaines dont les utilisateurs publient régulièrement sur des listes de diffusion d'utiliser l'option « p=reject », car cela entraîne le rejet de courriels légitimes pour les raisons suivantes :

• Les listes de diffusion modifient souvent les messages
• Cela invalide les signatures DKIM
• SPF échoue généralement

Si vos utilisateurs participent à des listes de diffusion publiques, évitez d'adopter des politiques de rejet strictes, à moins d'en mesurer pleinement les conséquences.

Qu'est-ce qui reste inchangé dans DMARCbis ?

DMARCbis est rétrocompatible, ce qui signifie concrètement que même après son déploiement officiel, votre enregistrement DMARC existant, même s'il ne bénéficie pas des mises à jour récentes, continuera de fonctionner correctement. Voici quelques éléments qui resteront inchangés :

• Les enregistrements existants utilisant v=DMARC1 continuent de fonctionner
• Les mécanismes d'alignement SPF DKIM restent inchangés
• Les balises principales telles que « p », « sp », « rua » et « ruf » restent essentielles

Avant et après : exemples d'enregistrements DMARC

Avant (ancienne fiche) :

Après (conforme à DMARCbis) :

Découvrez comment publier un enregistrement DMARC.

Qui doit faire quoi ?

Comment dois-je me préparer à DMARCbis ?

Il est important de noter que, même si aucun changement n'est nécessaire dans l'immédiat, une mise en conformité précoce permet de réduire les risques futurs. Pour vous préparer à DMARCbis, vous pouvez utiliser notre liste de contrôle rapide ci-dessous :

Découvrez DMARCbis avec PowerDMARC

PowerDMARC est parfaitement préparé pour accompagner la transition vers DMARCbis. À mesure que la spécification évolue, nous veillons à ce que votre configuration reste conforme sans interruption. Voici comment nous pouvons vous aider :

• Générateur d'enregistrements compatible DMARCbis : notre générateur prend déjà en charge les nouvelles balises np, psd et t, et signale les balises obsolètes telles que pct, rf et ri en vue de leur suppression, sans que vous ayez à vous demander quelles balises conserver ou supprimer.
• DMARC hébergé avec mises à jour automatiques : si vous utilisez notre service DMARC hébergé, nous mettons à jour votre enregistrement dès que la spécification est finalisée. Lorsque DMARCbis passe de la phase « Last Call » à celle de « Proposed Standard », votre configuration s'adapte automatiquement.
• Une vue d'ensemble centralisée de tous les domaines : identifiez en temps réel ce qui fonctionne et ce qui ne fonctionne pas, grâce à des alertes concernant les balises obsolètes, des recommandations d'experts et des info-bulles.
• Révision de la politique relative aux sous-domaines et aux domaines inexistants : DMARCbis introduit le paramètre « np » pour les sous-domaines inexistants. Notre plateforme vous aide à auditer et à gérer efficacement vos sous-domaines afin de combler les failles que des pirates pourraient exploiter.
• Une assistance spécialisée pour vous aider à comprendre et à mettre en œuvre les nouvelles modifications : notre équipe d'assistance est disponible 24 heures sur 24, 7 jours sur 7, pour vous aider à comprendre les modifications et à planifier votre migration. Pour obtenir rapidement des conseils sur les problèmes courants, vous pouvez également utiliser notre assistant IA DMARC intégré.

Réflexions finales

DMARCbis améliore la clarté, simplifie la mise en œuvre et offre aux propriétaires de domaines un meilleur contrôle sur l'application des politiques. Bien que ces changements ne soient pas urgents, ils sont importants, et les organisations devraient tenir compte des mises à jour à venir lorsqu'elles évaluent leur dispositif d'authentification. En vous y préparant dès maintenant, vous vous assurez que votre configuration d'authentification des e-mails reste stable, prévisible et conforme à la prochaine version de la norme.

La bonne nouvelle : vous n'avez pas à passer au DMARCbis tout seul ! Notre équipe d'experts est là pour vous aider à vous adapter facilement aux évolutions du secteur et aux exigences en matière d'envoi d'e-mails, sans que vous ayez besoin de connaissances techniques. Contactez-nous dès aujourd'hui pour vous lancer !

Foire aux questions

DMARCbis a-t-il déjà été publié ?

Non. Il est actuellement en phase de « Last Call » au sein de l'IETF et devrait devenir une norme proposée.

DMARCbis est-il rétrocompatible ?

Oui, DMARCbis est rétrocompatible, ce qui signifie que les enregistrements DMARC existants continuent de fonctionner ; il n'y a donc pas lieu de se précipiter pour les mettre à jour ni de paniquer.

Dois-je mettre à jour mon enregistrement DMARC dès maintenant ?

Il n'est pour l'instant pas nécessaire de se précipiter pour mettre à jour votre enregistrement DMARC. Il est toutefois recommandé de supprimer les balises obsolètes afin d'assurer la conformité future.

Le protocole DMARCbis a-t-il une incidence sur SPF DKIM ?

DMARCbis n'a aucune incidence sur l'authentification SPF DKIM, car il modifie uniquement la manière dont DMARC évalue la conformité et les politiques.

• À propos de
• Derniers messages

Yunes Tarada

Expert en sécurité des domaines et des courriels chez PowerDMARC

Yunes est chef d'équipe des opérations chez PowerDMARC et possède des connaissances approfondies en matière d'authentification et de sécurité des courriels. Yunes est certifié Microsoft Azure Administrator Associate et possède des certifications CompTIA A+ et bien d'autres encore.

Derniers messages de Yunes Tarada (voir tous)

• DMARCbis expliqué : ce qui change et comment s'y préparer - 16 avril 2026
• Le format du numéro de série SOA n'est pas valide : causes et solutions - 13 avril 2026
• Comment envoyer des e-mails sécurisés dans Gmail : guide étape par étape - 7 avril 2026