Points clés à retenir
- Un enregistrement DMARC est un enregistrement DNS de type TXT publié à l'adresse _dmarc.votredomaine.com. Il indique aux serveurs de messagerie comment traiter les e-mails qui ne passent pas les vérifications SPF DKIM.
- Vous devez configurer SPF DKIM avant de mettre en œuvre DMARC. La surveillance avec p=none fonctionne correctement sans ces protocoles, mais les options « quarantine « rejet » ne fonctionneront pas tant qu’au moins l’un d’entre eux n’aura pas été validé.
- Pour publier un enregistrement DMARC, ajoutez un enregistrement TXT nommé _dmarc chez votre fournisseur DNS. La propagation peut prendre jusqu'à 48 heures ; vérifiez que l'enregistrement est bien actif à l'aide d'un outil de vérification DMARC ou des commandes dig/nslookup.
- La plupart des erreurs DMARC sont dues à quelques erreurs simples : des points-virgules manquants, un type d'enregistrement incorrect, une publication au niveau du domaine racine au lieu de _dmarc.votredomaine.com, ou la présence de deux enregistrements alors qu'il ne devrait y en avoir qu'un seul.
- Gmail, Yahoo et Microsoft exigent la mise en œuvre du protocole DMARC pour les expéditeurs de courriers en masse. Si vous traitez des paiements par carte bancaire, la norme PCI DSS v4.0 rend également obligatoires les mesures de lutte contre le phishing.
Un enregistrement DMARC est un enregistrement DNS de type TXT qui indique aux serveurs de messagerie destinataires comment traiter les e-mails qui échouent aux contrôles d'authentification. Ce guide vous explique comment créer votre enregistrement DMARC, le publier dans le DNS de votre domaine, vérifier son bon fonctionnement et comprendre la norme de 2026 (RFC 9989) qui régit désormais ce protocole.
Que vous configuriez l'authentification des e-mails pour la première fois ou que vous mettiez à jour votre enregistrement afin de respecter les exigences de conformité pour 2025/2026, vous pouvez générer et publier un enregistrement DMARC opérationnel en moins de 10 minutes. Ce guide s'adresse aux professionnels de l'informatique, aux administrateurs de domaine, aux prestataires de services gérés (MSP) et aux responsables de la conformité.
Remarque : la spécification DMARC a été mise à jour en mai 2026 (RFC 9989). Tous les exemples d'enregistrements présentés dans ce guide reflètent la norme mise à jour.
Qu'est-ce qu'un enregistrement DMARC ?
Un enregistrement DMARC est un enregistrement DNS de type TXT publié à l'adresse _dmarc.votredomaine.com qui indique aux serveurs de messagerie destinataires comment traiter les e-mails prétendant provenir de votre domaine mais qui échouent aux contrôles d'authentification.
DMARC s'appuie sur deux protocoles d'authentification des e-mails existants :
- SPF (Sender Policy Framework): autorise certaines adresses IP à envoyer des e-mails depuis votre domaine
- DKIM (DomainKeys Identified Mail): signe cryptographiquement les e-mails afin de prouver qu'ils proviennent bien de votre domaine
Sans DMARC, aucune règle n'indique aux destinataires comment réagir en cas d'échec SPF DKIM. Ils prennent alors leurs propres décisions, ce qui conduit souvent à laisser passer des e-mails usurpés.
Le rôle de DMARC dans l'authentification des e-mails
- SPF l'adresse IP de l'expéditeur en s'assurant que le serveur qui envoie cet e-mail est bien autorisé par SPF du domaine.
- Le protocole DKIM valide la signature en vérifiant si la signature numérique de l'e-mail correspond à la clé DKIM publiée par le domaine.
- DMARC détermine la mesure à prendre en cas d'échec de la vérification SPF DKIM. Votre politique DMARC (et vos règles d'alignement) indiquent au destinataire de rejeter, de quarantine ou d'autoriser l'e-mail.
Avant de publier un enregistrement DMARC
Les enregistrements DMARC nécessitent la publication d'au moins SPF DKIM, qui doit être aligné avec votre domaine d'envoi. Vous pouvez publier un enregistrement DMARC avec p=none (surveillance) sans ces protocoles, mais l'application de la politique (quarantine ou p=reject) nécessite qu'au moins un protocole soit validé.
Vérifications rapides :
Anatomie d'un enregistrement DMARC
Un enregistrement DMARC est une chaîne de paires « balise-valeur » séparées par des points-virgules. Seules deux balises sont obligatoires ; toutes les autres sont facultatives, mais leur utilisation est recommandée.
Balises actives
| Étiquette | Objectif | Valeurs autorisées | Exemple | Exigence |
|---|---|---|---|---|
| v | Version DMARC | DMARC1 | v=DMARC1 | Requis |
| p | Politique DMARC | aucun, quarantine, rejet | p=none | Requis |
| sp | Politique relative aux sous-domaines | aucun, quarantine, rejet | sp=rejeter | En option |
| np | Politique relative aux sous-domaines inexistants | aucun, quarantine, rejet | np = rejeté | En option |
| rua | E-mail de rapport récapitulatif | Adresse e-mail valide | rua=mailto:[email protected] | Recommandé |
| ruf | E-mail de rapport d'échec | Adresse e-mail valide | ruf=mailto:[email protected] | En option |
| psd | Indicateur de domaine à suffixe public | o (oui)/n (non)/i (je ne sais pas) | psd=y | En option |
| t | Mode test | y (oui) | t = y | En option |
| adkim | Mode d'alignement DKIM | r (souple) / s (strict) | adkim=r | En option |
| aspf | Mode d'alignement SPF | r (souple) / s (strict) | aspf=s | En option |
| pour | Options de rapport d'échec | 0, 1, d, s | fo=1 | En option |
Remarque concernant la balise « psd » : cette balise est principalement destinée aux opérateurs de suffixes publics (PSO), tels que les registres de codes de pays ou les opérateurs de gTLD. La plupart des titulaires de domaines ordinaires ne doivent pas l'utiliser. Elle n'est pertinente que si votre domaine est un suffixe public, comme .gov.uk ou .bank.
Remarque concernant ruf=: les principaux destinataires (Google, Microsoft, Yahoo) n'envoient plus de rapports d'échec.
Balises obsolètes
La RFC 9989 a déprécié ou supprimé trois balises qui entraînaient des incohérences dans les implémentations :
| Étiquette | De quoi s'agissait-il ? | Pourquoi est-ce obsolète ? | Action |
|---|---|---|---|
| pct | Pourcentage d'e-mails auxquels la politique s'applique | Mise en œuvre inégale selon les récepteurs, ce qui entraîne des résultats imprévisibles | Supprimer des nouveaux enregistrements. Utiliser plutôt t=y pour indiquer le mode test. |
| ri | Format du rapport | Une seule valeur (afrf) a jamais été utilisée ; redondant | Supprimer des enregistrements existants lors de la modification. |
| rf | Intervalle de rapport (en secondes) | Les receveurs n'en ont pas tenu compte à l'entraînement | Supprimer des enregistrements existants lors de la modification. |
Remarque : si vos enregistrements existants contiennent ces balises, celles-ci continuent de fonctionner, car les destinataires les ignorent tout simplement. Toutefois, lors de votre prochaine modification d'un enregistrement, vous pouvez les supprimer afin de vous conformer à la norme RFC 9989, et ne pas les inclure lors de la publication de nouveaux enregistrements.
Comparaison des politiques DMARC
| Politique | Fonctionnement du récepteur | Niveau de protection | Exigences relatives aux expéditeurs en vrac ESP | Quand l'utiliser |
|---|---|---|---|---|
| aucun | Surveillance uniquement ; pas de rejet | Aucun | Acceptable | Déploiement initial ; surveillance du trafic |
| quarantine | Envoyer dans le dossier « Spam » / « Courrier indésirable » | Modéré | Répond aux exigences | En vue d'une mise en œuvre progressive |
| rejeter | Bloquer et rejeter complètement | Haut | Répond aux exigences | Lorsque l'on est sûr de pouvoir mettre en œuvre pleinement les mesures. |
Exemples d'enregistrements DMARC
Tous les exemples ci-dessous sont conformes à la RFC 9989, dans la mesure où ils omettent les balises obsolètes et intègrent les nouvelles balises le cas échéant.
Exemple 1 : Mode de surveillance (Commencez par ici)
v=DMARC1 ; p=none ; rua=mailto:[email protected]
Cas d'utilisation : première configuration de DMARC. Pas d'application des règles. Envoi quotidien de rapports agrégés pour suivre les résultats d'authentification.
Fonction de chaque balise :
- v=DMARC1 Indique qu'il s'agit d'un enregistrement DMARC
- p=none Ne rien faire ; se contenter de surveiller
- rua= mailto:[email protected] Envoyer les rapports quotidiens à cette adresse e-mail
Exemple 2 : Application partielle (mesures transitoires)
v=DMARC1 ;quarantine;quarantine; np=rejet ; rua=mailto:[email protected]
Cas d'utilisation : évolution vers une application stricte des règles. Quarantine des e-mails Quarantine . Politique plus stricte concernant les sous-domaines inexistants.
Quoi de neuf :
- quarantine héritent de quarantine
- np=reject Les sous-domaines inexistants sont rejetés (protection RFC 9989)
Exemple 3 : Application intégrale
v=DMARC1 ; p=reject ; sp=reject ; np=reject ; rua=mailto:[email protected]
Cas d'utilisation : application stricte en production. Rejeter tous les e-mails non conformes. Le domaine n'héberge pas de listes de diffusion.
Exemple 4 : Domaine inactif / en attente
v=DMARC1 ; p=reject ; sp=reject ; np=reject ; adkim=s ; aspf=s
Cas d'utilisation : domaine qui n'envoie pas d'e-mails mais qui doit être protégé contre l'usurpation d'identité.
En quoi est-ce différent ? :
- adkim=s ; aspf=s Alignement strict (aucun mode assoupli requis)
- No rua = Pas de rapports de surveillance (le domaine n'en envoie pas)
- np=reject : même les sous-domaines inexistants rejettent les e-mails usurpés
Même les domaines inactifs doivent être protégés, car les pirates peuvent usurper l'identité de domaines inutilisés dans le cadre de campagnes d'hameçonnage.
Exemple 5 : sous-domaine soumis à une politique plus stricte
Domaine parent : v=DMARC1 ;quarantine; rua=mailto:[email protected]
Sous-domaine (marketing.votredomaine.com) : v=DMARC1 ; p=reject ; sp=reject ; np=reject ; rua=mailto:[email protected]
Cas d'utilisation : le domaine parent autorise quarantine les e-mails sont redirigés). Le sous-domaine marketing est un expéditeur dédié ; appliquer la règle « p=reject ».
Exemple 6 : Microsoft 365 / Google Workspace
v=DMARC1 ; p=reject ; rua=mailto:[email protected]
Remarque : Microsoft 365 et Google Workspace ne nécessitent pas de syntaxe DMARC spécifique. L'enregistrement est publié dans le DNS comme pour tout autre déploiement DMARC. Avant de mettre en œuvre cette mesure, vérifiez la configuration SPF DKIM pour toutes les sources d'envoi.
Pour un tutoriel détaillé, vous pouvez consulter nos guides de configuration DMARC pour Microsoft 365 et Google Workspace.
Comment créer un enregistrement DMARC
Méthode 1 : Utilisation du générateur gratuit de PowerDMARC
1. Accédez au générateur d'enregistrements DMARC
2. Sélectionnez le niveau d'application souhaité (Aucun / Surveillance, Quarantine, Rejet)
3. Saisissez votre nom de domaine et votre adresse e-mail de notification
4. Activez la politique relative aux sous-domaines et protégez les sous-domaines inexistants si vous le souhaitez (facultatif)
5. Cliquez sur « Générer »
6. Enregistrement DMARC créé
Méthode 2 : Créer manuellement
Ouvrez un éditeur de texte et saisissez manuellement l'enregistrement :
v=DMARC1 ; p=none ; rua=mailto:[email protected]
Commencez par définir p=none (surveillance). Vous pourrez ajuster la politique ultérieurement, une fois que vous aurez mieux cerné votre trafic de messagerie.
Obligatoire :
- v=DMARC1 (toujours)
- p = (votre politique : aucune, quarantine ou rejet)
- rua= (votre adresse e-mail de signalement)
Comment publier un enregistrement DMARC – Guide étape par étape par fournisseur DNS
La configuration DNS de votre domaine est gérée par votre registraire de domaine (GoDaddy, Namecheap, etc.), votre hébergeur web (cPanel) ou votre CDN (Cloudflare). Connectez-vous à votre compte et suivez les étapes correspondant à votre fournisseur, indiquées ci-dessous.
Étapes générales (si votre prestataire ne figure pas dans la liste) :
1. Accédez à la console de gestion DNS
2. Cliquez sur le domaine pour lequel vous souhaitez configurer DMARC
3. Créer un nouvel enregistrement TXT
4. Nom de l'enregistrement : _dmarc (ou _dmarc.votredomaine.com si le formulaire exige le nom d'hôte complet)
5. Valeur de l'enregistrement : collez la chaîne de caractères de votre enregistrement DMARC
6. Enregistrez et attendez que les modifications soient répercutées (24 à 48 heures)
7. Utilisez l'outil de vérification DMARC pour vérifier
Publier un enregistrement DMARC sur GoDaddy
1. Connectez-vous à votre portefeuille de domaines GoDaddy
2. Cliquez sur « DNS » à côté de votre nom de domaine
3. Faites défiler jusqu'à la section « Enregistrements DNS »
4. Cliquez sur « Ajouter un nouvel enregistrement »
5. Type : TXT
6. Nom : _dmarc
7. Valeur : collez votre enregistrement DMARC
8. Cliquez sur « Enregistrer »
Publier un enregistrement DMARC sur Cloudflare
1. Connectez-vous à votre tableau de bord Cloudflare
2. Sélectionnez votre nom de domaine
3. Accédez à DNS > Enregistrements
4. Cliquez sur « Ajouter un enregistrement »
5. Type : TXT
6. Nom : _dmarc
7. Contenu : collez votre enregistrement DMARC
8. TTL : Auto (ou 3600)
9. Statut du proxy : DNS uniquement (pas de proxy)
10. Cliquez sur « Enregistrer »
Remarque : définissez le statut du proxy sur « DNS uniquement » (nuage gris), et non sur orange. La requête DMARC doit être effectuée directement au niveau du DNS, et non via un proxy Cloudflare.
Publier un enregistrement DMARC sur cPanel / WHM
1. Connectez-vous à votre compte cPanel
2. Accédez à l'éditeur de zones (dans la section « Domaines »)
3. Cliquez sur « Gérer » à côté de votre domaine
4. Cliquez sur « + Ajouter un nouvel enregistrement »
5. Type : TXT
6. Nom : _dmarc.votredomaine.com
7. Valeur (données TXT) : collez votre enregistrement DMARC
8. Cliquez sur « Ajouter un enregistrement »
Publier un enregistrement DMARC sur Namecheap
1. Connectez-vous à votre compte Namecheap
2. Accédez à Tableau de bord > Liste des domaines
3. Cliquez sur « Gérer » à côté de votre domaine
4. Accédez à la section « DNS avancé »
5. Cliquez sur « Ajouter un nouvel enregistrement »
6. Type : enregistrement TXT
7. Hôte : _dmarc
8. Valeur : collez votre enregistrement DMARC
9. TTL : Automatique (3600)
10. Cliquez sur la coche pour enregistrer
Publier un enregistrement DMARC sur Amazon Route 53
1. Connectez-vous à la console de gestion AWS > Route 53
2. Accédez à la section « Zones hébergées » et sélectionnez votre domaine
3. Cliquez sur « Créer un enregistrement »
4. Nom de l'enregistrement : _dmarc
5. Type d'enregistrement : TXT
6. Valeur : collez votre enregistrement DMARC entre guillemets doubles
- Exemple : « v=DMARC1 ; p=none ; rua=mailto:[email protected] »
- La route 53 nécessite des guillemets ; sans eux, l'enregistrement ne sera pas sauvegardé
7. TTL : 300 (ou 3 600)
8. Cliquez sur « Créer des enregistrements »
Remarque : Route 53 exige que les valeurs des enregistrements TXT soient placées entre guillemets doubles. Copiez-collez votre enregistrement tel quel, puis encadrez-le entre «… ».
Publier un enregistrement DMARC sur Microsoft 365 / Azure DNS
Si votre DNS est géré via Azure DNS :
1. Connectez-vous au portail Azure > Zones DNS
2. Sélectionnez votre nom de domaine
3. Cliquez sur « + Enregistrer l'ensemble »
4. Nom : _dmarc
5. Type : TXT
6. TTL : 3600
7. Valeur : collez votre enregistrement DMARC
8. Cliquez sur OK
Si votre DNS est hébergé chez un registraire (GoDaddy, Namecheap, etc.) :
- Suivez les étapes indiquées ci-dessus par le registraire
Combien de temps faut-il pour qu'un enregistrement DMARC se propage ?
Les modifications du DNS sont gérées par un paramètre appelé TTL (Time To Live), qui indique aux serveurs pendant combien de temps ils doivent mettre en cache un enregistrement DNS avant de vérifier s'il y a des mises à jour. La plupart des fournisseurs de services DNS définissent le TTL par défaut à 3 600 secondes (1 heure).
Durée habituelle :
- Pour la plupart des sites, la propagation du DNS s'effectue en 1 à 2 heures.
- Dans de rares cas, la propagation mondiale complète peut prendre jusqu'à 48 heures
- Ne paniquez pas si votre outil de vérification DMARC affiche « aucun enregistrement » au cours de la première heure ; attendez au moins 30 à 60 minutes, puis réessayez.
Vérifier la propagation à l'échelle mondiale : utilisez notre outil de vérification de la propagation DNS pour vous assurer que votre enregistrement est bien actif sur plusieurs serveurs DNS à travers le monde.
Comment vérifier que votre enregistrement DMARC fonctionne correctement
Méthode 1 : l'outil de vérification DMARC de PowerDMARC
1. Accédez à l'outil de vérification des enregistrements DMARC
2. Saisissez votre nom de domaine
3. Cliquez sur « Vérifier »
4. Les résultats montrent que :
- Valide : l'enregistrement est correctement formaté et publié
- Non valide : erreur de syntaxe ; veuillez vérifier votre enregistrement
- Aucun enregistrement trouvé : vérifiez la propagation DNS ou assurez-vous que l'enregistrement a bien été enregistré dans le DNS
Méthode 2 : Ligne de commande (nslookup ou dig)
Sous Windows (invite de commande) :
nslookup -type=TXT _dmarc.votredomaine.com
Sur Mac/Linux (Terminal) :
dig TXT _dmarc.votredomaine.com
Résultat correct :
_dmarc.votredomaine.com. 3600 IN TXT « v=DMARC1; p=reject; sp=reject; np=reject; rua=mailto:[email protected] »
Si vous ne voyez aucun résultat, cela signifie que la propagation du DNS n'est pas encore terminée ou que l'enregistrement n'a pas été correctement sauvegardé.
Méthode 3 : Vérifier l'en-tête de l'e-mail (Authentication-Results)
Envoyez un e-mail de test et vérifiez les en-têtes.
Les étapes :
1. Envoyez-vous un e-mail de test depuis votre domaine (ou demandez à quelqu'un d'une autre entreprise de vous envoyer un e-mail)
2. Dans Gmail :
- Ouvrez l'e-mail
- Cliquez sur le menu à trois points (⋮) > Afficher l'original
- Rechercher les résultats d'authentification
3. Dans Outlook :
- Ouvrez l'e-mail
- Cliquez sur Fichier > Propriétés > En-têtes Internet
- Rechercher les résultats d'authentification
Ce qu'il faut rechercher :
✅ Conforme à la norme DMARC :
Résultats de l'authentification : mx.google.com ;
dmarc=pass (p=REJECT sp=REJECT np=REJECT dis=NONE) header.from=votredomaine.com
❌ Échec DMARC :
Résultats de l'authentification : mx.google.com ;
dmarc=échec (p=REJECT sp=REJECT) header.from=votredomaine.com raison = «SPF »
Signification de « pass » : votre signature SPF DKIM correspond au domaine indiqué dans l'en-tête « From », et votre politique DMARC a été appliquée.
Signification du message « fail » : l'authentification SPF DKIM a échoué ou n'a pas abouti. Vérifiez votre SPF et votre configuration DKIM.
Quand recevoir votre premier rapport DMARC ?
Les rapports globaux sont envoyés dans un délai de 24 à 72 heures après la publication de votre fiche.
Contenu du rapport :
- Résumé quotidien de tous les e-mails envoyés depuis votre domaine
- Résultats de l'authentification (SPF , DKIM : réussi/échoué, DMARC : réussi/échoué)
- Envoi des adresses IP et de leur volume
- Pays d'origine
- Mesures d'application de la politique prises par les administrateurs judiciaires
Quels sont les changements apportés par la RFC 9989 concernant les enregistrements DMARC ?
En mai 2026, la RFC 9989 a remplacé la RFC 7489 en tant que norme officielle DMARC. Votre enregistrement existant fonctionne toujours. Voici les principales modifications concernant les nouveaux enregistrements :
Ajout de trois nouvelles balises :
- np= (politique relative aux sous-domaines inexistants) : ajoutez « np=reject » ouquarantine protéger les sous-domaines inexistants. Avant la publication de la RFC 9989, les pirates pouvaient usurper des sous-domaines aléatoires dépourvus d'enregistrements DMARC. Vous pouvez désormais définir une politique les concernant au niveau du domaine parent. La plupart des propriétaires de domaines devraient ajouter cette configuration.
- t= (indicateur de mode test) : utilisez t=y pour indiquer que votre politique est en mode test. Les destinataires traitent p=reject; t=y commequarantine un niveau de sévérité en dessous), ce qui permet des déploiements progressifs en toute sécurité. Remplace l'ancienne balise pct=.
- psd= (indicateur de domaine à suffixe public) : Indique si un domaine est un suffixe public (comme .gov.uk ou .bank). Ne concerne que les opérateurs de suffixes publics et les hiérarchies de domaines complexes. La plupart des propriétaires de domaines peuvent ignorer ce paramètre.
Balises obsolètes/supprimées :
- pct= est obsolète. Les destinataires ne l'ont pas implémenté de manière cohérente. Utilisez plutôt t=y pour les déploiements progressifs.
- Les éléments « rf= » et « ri= » ont été supprimés. Supprimez-les s'ils apparaissent dans vos enregistrements existants. Les récepteurs les ignorent de toute façon.
Pour en savoir plus sur les modifications apportées à la RFC 9989, consultez notre guide DMARC RFC 9989.
Exigences de conformité actuellement en vigueur
| Exigence | Statut | Date limite | Action |
|---|---|---|---|
| Refus définitif de Gmail | Actif | Fév 2024 | La publication de DMARC est obligatoire ; la valeur « p=none » est acceptable dans un premier temps, l'objectif étant d'évoluer vers «quarantine « p=reject » pour les expéditeurs en masse (5 000 messages et plus par jour). |
| Refus définitif de Yahoo | Actif | Fév 2024 | La publication de DMARC est obligatoire ; la valeur « p=none » est acceptable dans un premier temps, l'objectif étant d'évoluer vers «quarantine « p=reject » pour les expéditeurs en masse (5 000 messages et plus par jour). |
| Application des règles dans Microsoft Outlook | Actif | Mai 2025 | L'application de la norme DMARC, associée aux protocoles SPF DKIM, est obligatoire pour les expéditeurs de courriers en masse vers Outlook.com, Hotmail.com et Live.com |
| PCI-DSS v4.0 | Actif | Mars 2025 | Mesures de lutte contre le phishing obligatoires pour toutes les entités traitant les données des titulaires de cartes. |
Découvrez les exigences locales et internationales dans notre guide complet sur les exigences DMARC.
Erreurs courantes dans les enregistrements DMARC
1. Aucun enregistrement DMARC n'a été trouvé
Cause : vous n'avez pas publié d'enregistrement DMARC sur votre domaine, celui-ci est mal configuré ou la propagation DNS n'est pas encore terminée.
Solution : Une fois que vous avez vérifié qu'aucun enregistrement n'existe dans votre DNS, connectez-vous à votre console de gestion DNS pour publier un nouvel enregistrement. Si un enregistrement existe déjà, modifiez-le afin de corriger les erreurs ou les erreurs de configuration. Si le délai de propagation de 48 heures n'est pas encore écoulé, patientez un peu avant de vérifier à nouveau.
2. Erreurs de syntaxe
Erreurs courantes :
- Absence de points-virgules : chaque balise doit être suivie d'un point-virgule.
- Espaces superflus : évitez les espaces après les points-virgules ou autour de
- Version incorrecte : doit être v=DMARC1, et non v=DMARC2 ou version=1
- Noms de balises non valides : fautes de frappe telles que « po=reject » au lieu de « p=reject »
Enregistrements DMARC en double
Cause : vous ne devez avoir qu'un seul enregistrement TXT DMARC par domaine. Si vous disposez de plusieurs enregistrements, les destinataires ne prendront en compte que le premier qu'ils trouveront. Cela peut entraîner un comportement inattendu de la politique.
Solution : veillez à supprimer les enregistrements en double sous le même domaine ou à les fusionner si nécessaire.
Utilisez la commande suivante : nslookup -type=TXT _dmarc.votredomaine.com ou utilisez un outil de vérification DMARC. Si vous constatez la présence de deux enregistrements DMARC ou plus, supprimez immédiatement les doublons.
Nom ou type d'enregistrement DNS incorrect
Cause : le nom ou le type de votre enregistrement DNS n'est pas valide ; par exemple, un enregistrement MX a été configuré à la place d'un enregistrement TXT pour DMARC.
Correction :
- Type d'enregistrement : TXT (et non A, CNAME, MX, etc.)
- Nom de l'enregistrement : _dmarc (certains fournisseurs DNS ajoutent automatiquement votre domaine ; d'autres exigent la forme _dmarc.votredomaine.com)
Erreurs courantes :
- Ajouter un enregistrement DMARC sous la forme d'un enregistrement A ou CNAME
- Publication sur le domaine racine (votredomaine.com) plutôt que sur _dmarc.votredomaine.com
- Des fautes de frappe telles que _dmrc ou dmarc (trait de soulignement manquant)
Consultez votre gestionnaire DNS pour vérifier le nom et le type exacts.
Besoin d'aide supplémentaire ? Guide complet de dépannage
Pour les problèmes liés à des erreurs d'alignement SPF, à des défaillances d'expéditeurs tiers ou à des e-mails légitimes classés dans le dossier « spam », consultez le guide complet de dépannage DMARC.
Enregistrements DMARC pour les domaines non émetteurs et les domaines parqués
Même si votre nom de domaine n'envoie pas d'e-mails, des pirates peuvent l'usurper pour envoyer des messages de hameçonnage à vos clients. Protégez vos noms de domaine inactifs et parqués à l'aide d'un enregistrement DMARC restrictif.
Enregistrement recommandé pour un domaine qui n'envoie pas d'e-mails
v=DMARC1 ; p=reject ; sp=reject ; np=reject ; adkim=s ; aspf=s
Ce que cela fait :
- p = rejeter ; sp = rejeter ; np = rejeter : rejeter tous les e-mails non autorisés
- adkim=s ; aspf=s : exige un alignement strict (pas de correspondance approximative)
- No rua= : Pas de rapports de surveillance (le domaine n'en envoie pas)
Pourquoi les domaines non émetteurs sont-ils ciblés ?
Les pirates peuvent enregistrer des domaines similaires ou compromettre des domaines inactifs de votre portefeuille. Un domaine « parqué » ne disposant pas d’enregistrement DMARC apparaît comme une cible facile pour l’usurpation d’identité. La configuration systématique de p=reject permet d’empêcher :
- E-mails de hameçonnage envoyés depuis vos domaines « entreprise.old » ou « entreprise.test »
- Atteinte à la réputation
- Abus non détectés (sans signalement, on ne saurait jamais qu’ils ont eu lieu)
Étapes suivantes après la publication de DMARC
La publication p=none (mode surveillance) n'offre aucune protection et se contente de collecter des données. Pour protéger votre domaine contre l'usurpation d'identité et le hameçonnage, vous devez passer progressivement à un mode d'application.
Approche en trois étapes :
- Suivi (p = aucun) : examinez les rapports DMARC pendant 1 à 2 semaines. Identifiez tous les expéditeurs légitimes ainsi que les tiers qui envoient des e-mails en votre nom (outils SaaS, plateformes marketing, systèmes de gestion des tickets).
- Transition (quarantine) : transférez le trafic suspect vers le dossier « spam ». Maintenez cette phase pendant 1 à 4 semaines tout en surveillant le volume des rapports. Si des e-mails légitimes sont placés en quarantaine, cela signifie que vous avez identifié un expéditeur qui doit configurer SPF DKIM.
- Appliquer (p = rejeter) : rejeter systématiquement les e-mails non autorisés. Ne passer à cette option qu’après avoir vérifié que tous les expéditeurs légitimes sont bien pris en compte.
Gestion de DMARC à grande échelle pour plusieurs domaines
Si vous gérez plusieurs domaines, la modification des enregistrements DNS un par un est un processus lent et source d'erreurs. La solution DMARC hébergée de PowerDMARC automatise la gestion des enregistrements pour l'ensemble de votre portefeuille.
Avantages :
- Gérez un nombre illimité de domaines depuis un seul tableau de bord
- Mises à jour groupées des politiques (application simultanée de « p=reject » sur 50 domaines)
- Les informations sur les menaces générées par l'IA permettent d'identifier les tentatives d'usurpation d'identité
- Une prise en main sur mesure et une assistance par des experts
En savoir plus sur le DMARC hébergé.
Foire aux questions
1. Ai-je besoin de DMARC si j'utilise déjà SPF DKIM ?
Oui. Les protocoles SPF DKIM assurent chacun une authentification distincte, mais sans DMARC, aucune politique n'indique aux destinataires comment réagir lorsque ces vérifications échouent. DMARC permet également la génération de rapports agrégés, sans lesquels vous n'avez aucune visibilité sur les expéditeurs d'e-mails provenant de votre domaine.
2. Que se passe-t-il si je n'ai pas d'enregistrement DMARC ?
Sans DMARC, les serveurs de réception prennent leurs propres décisions concernant les e-mails non authentifiés, ce qui rend votre domaine plus vulnérable à l'usurpation d'identité et au hameçonnage. Plusieurs prestataires de services de messagerie (ESP) exigent la mise en place de DMARC pour les expéditeurs en masse, et l'absence de cette mesure peut nuire considérablement à la délivrabilité.
3. Le protocole DMARC s'applique-t-il automatiquement aux sous-domaines ?
Les sous-domaines héritent de la politique DMARC du domaine parent, sauf si celle-ci est remplacée. Utilisez la balise `sp=` pour définir une politique différente pour les sous-domaines existants, et la balise `np=` (nouvelle dans la RFC 9989) pour définir une politique pour les sous-domaines inexistants. Définir `sp=reject` tout en conservantquarantine une pratique courante pour renforcer la protection des sous-domaines.
4. Le protocole DMARC est-il obligatoire pour la conformité à la norme PCI DSS v4.0 ?
La norme PCI DSS v4.0, entrée pleinement en vigueur en 2025, impose des mesures de protection contre le phishing aux organisations qui traitent des données de cartes de paiement. Bien que le protocole DMARC ne soit pas explicitement requis pour la conformité, sa mise en œuvre peut vous aider à respecter ces exigences.

