Comment créer et publier un enregistrement DMARC ?
par
Dernière mise à jour : 9 Temps de lecture : 9 min
Points clés à retenir
- Un enregistrement DMARC est une entrée DNS TXT qui permet d'authentifier les courriels sortants et de prévenir les attaques par usurpation d'identité et par hameçonnage.
- Le choix de la bonne politique DMARC est essentiel pour contrôler le traitement des courriels non autorisés.
- Pour mettre en œuvre DMARC, l'enregistrement doit être publié dans le système de noms de domaine (DNS) à l'aide d'outils tels que cPanel, GoDaddy ou Cloudflare.
- Même les domaines qui n'envoient pas activement de courriers électroniques doivent avoir un enregistrement DMARC restrictif, en particulier "p=reject", afin d'éviter les abus potentiels.
- Pour des résultats optimaux, il est recommandé de maintenir un seul enregistrement DMARC par domaine et de mettre en œuvre progressivement l'application afin d'éviter les problèmes de livraison du courrier électronique.
- Des solutions comme PowerDMARC automatisent la gestion des enregistrements DMARC et simplifient la surveillance grâce à l'utilisation d'une intelligence des menaces basée sur l'IA.
DMARC, ou Domain-based Message Authentication, Reporting and Conformance (authentification, rapport et conformité des messages basés sur le domaine), est un protocole technique permettant d'authentifier les messages sortants. DMARC sert de première ligne de défense contre diverses menaces liées aux e-mails, notamment hameçonnage et l'usurpation d'identité.
Pour configurer DMARC, vous devez créer un enregistrement DMARC. L'enregistrement DMARC créé est un enregistrement TXT qui est ensuite publié sur votre DNS. Cela lance votre processus d'authentification des e-mails.
En configurant un enregistrement DMARC, vous permettez aux propriétaires de domaines d'indiquer aux destinataires comment ils doivent répondre aux e-mails envoyés à partir de sources non autorisées ou illégitimes.
Conseil d'expert de Maitham Al Lawati : « Pour les organisations du secteur de la santé ou de la finance, le DMARC n'est pas seulement une question de sécurité, mais aussi de respect de normes de conformité strictes. Commencez par surveiller, puis appliquez. »
Ce guide vous explique comment créer et publier correctement un enregistrement DNS TXT DMARC, ainsi que comment le vérifier et résoudre les erreurs courantes.
Que sont les enregistrements DMARC ?
Un enregistrement DMARC est un enregistrement DNS TXT qui spécifie comment les serveurs de messagerie doivent traiter les messages qui échouent aux contrôles d'authentification (SPF DKIM).
Il aide les propriétaires de domaines à prévenir l'usurpation d'adresse e-mail et le phishing en indiquant aux serveurs destinataires s'ils doivent rejeter, quarantine ou autoriser les e-mails non autorisés.
Anatomie d'un enregistrement DMARC
Il est essentiel de comprendre chaque balise DMARC pour une configuration correcte. Voici une description complète de tous les composants d'un enregistrement DMARC :
| Étiquette | Description | Valeurs possibles | Exemple |
|---|---|---|---|
| v | Version (obligatoire) | DMARC1 | v=DMARC1 |
| p | Politique relative au domaine (obligatoire) | aucun, quarantine, rejet | quarantine |
| rua | Courriel du rapport global | Adresse électronique | rua=mailto:[email protected] |
| ruf | Rapport médico-légal par e-mail | Adresse électronique | ruf=mailto:[email protected] |
| sp | Politique relative aux sous-domaines | aucun, quarantine, rejet | sp=rejeter |
| adkim | Mode d'alignement DKIM | r (assoupli), s (strict) | adkim=r |
| aspf | Mode d'alignement SPF | r (assoupli), s (strict) | aspf=r |
| pct | Pourcentage d'e-mails auxquels la politique s'applique | 0-100 | pct=25 |
| pour | Options médico-légales | 0, 1, d, s | fo=1 |
| rf | Format du rapport | afrf | rf=afrf |
| ri | Intervalle de rapport (secondes) | Numéro | ri=86400 |
Exemples d'enregistrements DMARC
Voici des exemples concrets d'enregistrements DMARC pour différents cas d'utilisation. Copiez-les et personnalisez-les pour votre domaine :
Mode de surveillance de base (recommandé pour les débutants)
- v=DMARC1 ; p=none ; rua=mailto:[email protected]
- Cas d'utilisation : mise en œuvre initiale de DMARC pour surveiller le trafic de courrier électronique sans application.
Quarantine avec déclaration
- v=DMARC1 ;quarantine; rua=mailto:[email protected] ; ruf=mailto:[email protected] ; pct=25
- Cas d'utilisation : application progressive touchant 25 % des e-mails, avec rapports agrégés et analytiques.
Politique d'application stricte
- v=DMARC1 ; p=rejeter ; sp=rejeter ; rua=mailto:[email protected] ; adkim=s ; aspf=s
- Cas d'utilisation : protection complète avec alignement strict pour le domaine et les sous-domaines.
Protection des domaines non expéditeurs
- v=DMARC1 ; p=rejeter ; sp=rejeter ; adkim=s ; aspf=s
- Cas d'utilisation : domaines qui n'envoient pas d'e-mails mais qui ont besoin d'une protection contre l'usurpation d'identité.
Explication des balises DMARC
1. Modes d'application de la politique DMARC
La politique DMARC définit la manière dont les destinataires doivent traiter les courriels qui échouent à l'authentification DMARC. Elle est désignée par "p". Elle peut avoir l'une des trois valeurs suivantes :
- p=none : Ne prendre aucune mesure contre les e-mails non autorisés.
- quarantine: Pour signaler les e-mails suspects.
- p=reject : Pour rejeter les e-mails non autorisés avant qu'ils n'atteignent vos destinataires.
2. Options de rapport DMARC
- Rapports agrégés (rua=) : Il s'agit de rapports récapitulatifs envoyés à l'adresse e-mail spécifiée, qui présentent les résultats d'authentification pour tous les e-mails provenant du domaine.
- Rapports d'analyse (ruf=) : Il s'agit de rapports détaillés envoyés lorsqu'un e-mail échoue à l'authentification DMARC.
3. Modes d'alignement DMARC
- SPF (aspf=): Détermine si le domaine de l'expéditeur dans l'en-tête « From: » correspond à SPF . Il existe une option permettant de choisir entre un alignement strict (s) pour une correspondance exacte ou un alignement souple (r) pour une correspondance organisationnelle.
- Alignement DKIM (adkim=) : Détermine si la signature DKIM correspond au domaine dans l'en-tête « De : ». Il existe une option permettant soit un alignement strict (s) pour une correspondance exacte, soit un alignement souple (r) pour une correspondance organisationnelle.
Comment fonctionne DMARC avec les sous-domaines
La balise « sp » (politique de sous-domaine) contrôle la manière dont les politiques DMARC s'appliquent aux sous-domaines. Si elle n'est pas spécifiée, les sous-domaines héritent de la politique du domaine principal.
- Héritage : Les sous-domaines héritent automatiquement de la politique DMARC du domaine parent.
- Remplacer : Utilisez la balise « sp= » pour définir différentes politiques pour les sous-domaines.
- Meilleure pratique : Définissez des politiques plus strictes pour les sous-domaines qui n'envoient pas d'e-mails.
Comment créer un enregistrement DMARC ?
Pour créer un enregistrement DNS DMARC pour votre domaine, assurez-vous que vous avez :
- a) un outil fiable pour générer l'enregistrement
- b) accès à votre console de gestion DNS pour publier l'enregistrement
Suivez les étapes ci-dessous pour créer votre enregistrement :
1. Générer votre enregistrement DMARC
Inscrivez-vous pour accéder à notre portail à l'aide d'une adresse e-mail ou inscrivez-vous à l'aide de Gmail/Office 365. Allez dans Outils d'analyse > PowerToolbox > Outil gratuit de génération d'enregistrements DMARC pour commencer à créer votre enregistrement DMARC.
2. Définissez une politique DMARC pour votre enregistrement DMARC.
Décider d'une politique DMARC en fonction du niveau d'application souhaité (aucun, quarantine ou rejet). Voici comment choisir votre politique d'enregistrement DMARC :
- Si vous souhaitez qu'aucune mesure ne soit prise contre les courriels non sollicités envoyés depuis votre domaine, choisissez "aucun".
- Si vous souhaitez quarantine courriels qui ne répondent pas aux critères DMARC, choisissez "quarantine".
- Si vous souhaitez rejeter ou écarter les courriels qui n'ont pas été authentifiés, ce qui peut minimiser les attaques par usurpation d'identité et par hameçonnage, choisissez "rejeter".
3. Configurer les champs optionnels de l'enregistrement DMARC recommandé
Bien que tous les champs ne soient pas obligatoires, nous vous recommandons de configurer quelques champs facultatifs utiles dans votre enregistrement DMARC. Voyons de quoi il s'agit :
- Champ de rapport agrégé (rua) : Si vous configurez le champ rua, vous recevrez les données d'authentification DMARC directement à votre adresse électronique.
- Champ de rapport forensique (ruf) : Obtenez des informations sur les incidents médico-légaux tels que les cyberattaques en configurant le champ ruf dans votre enregistrement DMARC.
- Modes d'alignement SPF " Choisissez si vous souhaitez opter pour un alignement détendu ou strict pour SPF et/ou DKIM.
Comment publier un enregistrement DMARC ?
Pour publier un enregistrement DMARC, il y a quelques conditions préalables :
- Vous devez avoir accès à votre console de gestion DNS
- Vous devez avoir l'autorisation de modifier et d'ajouter de nouveaux enregistrements DNS pour votre domaine.
Publier votre enregistrement DMARC avec cPanel
1. Accédez à votre console de gestion DNS cPanel
2. Dans la section Domaines, cliquez sur Éditeur de zone DNS ou Éditeur de zone avancé.
3. Ajoutez un enregistrement DMARC de type TXT (tex), en remplissant les informations comme indiqué ci-dessous. Dans le champ « Données TXT » ou « Valeur », vous devez coller votre enregistrement DMARC créé précédemment.
Publication d'un enregistrement DMARC avec Godaddy
- Connectez-vous à votre portefeuille de domaines GoDaddy pour accéder à la zone DNS.
- Sous Nom de domaine, recherchez et sélectionnez votre domaine d'envoi d'e-mails.
- Sous votre nom de domaine, cliquez sur DNS
- Sélectionnez maintenant Ajouter un nouvel enregistrement et commencez à publier votre enregistrement avec les détails suivants :
- Type : TXT
- Nom : _dmarc
- Valeur : collez la valeur de votre enregistrement DMARC
Publication d'un enregistrement DMARC avec Cloudflare
- Connectez-vous à votre compte Cloudflare.
- Sélectionnez le compte et le domaine souhaités.
- Naviguer vers DNS et cliquer sur Ajouter un enregistrement
- Collez l'enregistrement DMARC généré dans la section Ajouter un enregistrement, comme dans l'exemple ci-dessous :
Voici pourquoi plus de 10 000 clients font confiance à PowerDMARC
- Réduction considérable des tentatives d'usurpation d'identité et des e-mails non autorisés
- Intégration plus rapide + gestion automatisée de l'authentification
- Renseignements et rapports en temps réel sur les menaces dans tous les domaines
- Meilleurs taux de livraison des e-mails grâce à une application stricte du protocole DMARC
Vérification de votre enregistrement DMARC
Pour vérifier votre enregistrement DMARC et éviter l'erreur courante erreur courante « Aucun enregistrement DMARC trouvé » , vous pouvez utiliser notre outil de vérification gratuit.
1. Inscrivez-vous gratuitement et accédez à Outils d'analyse > PowerToolbox > Outil de vérification des enregistrements DMARC.
2. Examinez l'état, la syntaxe et les balises de votre enregistrement DMARC afin de détecter toute erreur éventuelle.
Prêt à vérifier votre enregistrement DMARC ? Utilisez l'outil gratuit DMARC Checker de PowerDMARC.
Dépannage des erreurs courantes liées aux enregistrements DMARC
Utilisez cette liste de contrôle étape par étape pour résoudre les problèmes courants liés aux enregistrements DMARC :
| Problème | Symptômes | Solution |
|---|---|---|
| Enregistrement introuvable | La recherche DNS ne renvoie aucun résultat. | Vérifiez que l'enregistrement est publié au format TXT sous le nom « _dmarc ». |
| Erreurs de syntaxe | Échec de la validation de l'enregistrement | Vérifiez s'il manque des points-virgules, s'il y a des espaces supplémentaires ou des fautes de frappe. |
| Enregistrements multiples | Application incohérente des politiques | Supprimer les enregistrements en double, ne conserver qu'un seul par domaine |
| Retards de propagation | Modifications non visibles globalement | Attendez 24 à 48 heures pour que la propagation DNS soit complète. |
| Adresses e-mail non valides | Rapports non reçus | Vérifiez que les adresses e-mail rua/ruf sont valides et accessibles. |
Liste de contrôle rapide pour le dépannage
|
Erreurs courantes dans les enregistrements DMARC
| Statut | Ce que cela signifie | Que pouvez-vous faire ? |
|---|---|---|
| Valide | Votre enregistrement DMARC est correct et ne contient pas d'erreurs. | Ne rien faire |
| Invalide | Votre enregistrement DMARC contient des erreurs. Cela peut être dû à une syntaxe incomplète ou erronée. | Révisez votre syntaxe, consultez notre guide complet sur les balises DMARC ou contactez-nous pour obtenir l'aide d'un expert. |
| Aucun enregistrement trouvé | Aucun enregistrement DMARC n'était présent dans votre DNS. | Créez un enregistrement DMARC pour votre domaine et publiez-le sur votre DNS. |
Une fois que vous avez détecté des erreurs dans votre enregistrement, vous devez apporter les modifications nécessaires à votre DNS et enregistrer les changements. Vous pouvez revérifier votre enregistrement une fois que les modifications ont été effectuées.
Enregistrement DMARC pour les domaines non expéditeurs
La plupart des gens se contentent de sécuriser leurs domaines actifs, mais les pirates peuvent même usurper vos domaines non expéditeurs pour envoyer de faux e-mails en votre nom ! Pour éviter cela, voici les étapes à suivre pour mettre en œuvre DMARC pour vos domaines non expéditeurs:
- Publiez un enregistrement DMARC non permissif : commencez par publier un enregistrement DMARC pour le domaine inactif avec une politique appliquée telle que p=reject.
- Activer les rapports (recommandé) : Même si votre domaine n'envoie pas d'e-mails, les pirates peuvent toujours l'usurper pour envoyer des messages de phishing. Les rapports DMARC vous alertent lorsque cela se produit.
- Publiez un SPF restrictif : Définissez v=spf1 -all pour empêcher l'envoi d'e-mails.
- Désactiver les services de messagerie intégrés : Si le domaine est toujours lié à des serveurs de messagerie externes, il peut être judicieux de les restreindre si le domaine n'est plus utilisé.
Conséquences de la non-sécurisation de vos domaines inactifs
Le fait de ne pas mettre en œuvre DMARC pour vos domaines non expéditeurs peut avoir diverses conséquences, telles que
- Risque accru d'attaques par spoofing et phishing
- Atteinte à la réputation de la marque et du domaine
- Abus de domaine passant inaperçu pendant de longues périodes
Un seul enregistrement DMARC par domaine
Lors de la configuration de votre enregistrement DMARC, il est important de publier une seule entrée d'enregistrement par domaine. Plusieurs enregistrements DMARC pour un même domaine peuvent entraîner des conflits et des échecs d'authentification injustifiés !
Pourquoi les enregistrements DMARC multiples posent-ils problème ?
- Échecs d'authentification des e-mails : Les destinataires des e-mails peuvent ne pas savoir quel enregistrement DMARC suivre.
- Mauvaises configurations et incohérences: des politiques contradictoires (par exemple, un enregistrement utilisant p=none et un autre utilisant p=reject) conduisent à une application imprévisible.
- Rapports inexacts : Les rapports DMARC peuvent être incomplets ou peu fiables.
Bonnes pratiques pour une mise en œuvre correcte de DMARC
Pour garantir une configuration correcte des enregistrements DMARC, voici les meilleures pratiques à suivre pour la mise en œuvre :
- Publier un seul enregistrement DMARC par domaine.
- Évitez de configurer l'option DMARC sp à moins que vous ne souhaitiez que vos sous-domaines aient une politique différente.
- Utiliser un outil de vérification outil de vérification DMARC pour valider votre enregistrement après l'avoir publié.
- Surveillez régulièrement vos rapports DMARC pour vous assurer que les activités suspectes ne passent pas inaperçues.
Etapes suivantes après la publication d'un enregistrement DMARC
Une fois que vous avez publié votre enregistrement DMARC, la prochaine étape consiste à protéger votre domaine contre les escrocs et les usurpateurs d'identité. C'est votre principal objectif lorsque vous mettez en œuvre des protocoles de sécurité et des services d'authentification des courriels.
La simple publication d'un enregistrement DMARC avec une politique p=none n'offre aucune protection contre les attaques par usurpation de domaine et la fraude par e-mail. Pour cela, vous devez passer à l'application application DMARC.
Pour passer à l'application de DMARC, une approche progressive est la meilleure façon d'obtenir des résultats idéaux sans impact négatif sur votre délivrabilité. Voici un processus étape par étape que vous pouvez suivre :
- Commencez par une politique p=none, qui est votre mode de surveillance.
- Activez les rapports DMARC pour votre domaine afin d' analyser le trafic et la délivrabilité de vos e-mails et sa délivrabilité.
- Passez en quarantine, en maintenant le pct (pourcentage) à 10, et augmentez-le progressivement jusqu'à 100 % sur une période de deux semaines.
- Une fois que vous êtes sûr de votre configuration, passez à p=reject, en maintenant pct sur le pourcentage le plus bas, puis en augmentant progressivement jusqu'à l'application complète pour 100 % de votre volume de courrier.
Comment PowerDMARC simplifie la gestion des enregistrements DMARC
Pour les organisations qui exploitent plusieurs domaines, ou simplement celles qui ne souhaitent pas se lancer dans la configuration et la maintenance manuelles des enregistrements DMARC, il existe PowerDMARC. Une solution simple et conviviale qui automatise la gestion des enregistrements DMARC sous un même toit. Grâce à sa technologie de veille sur les menaces basée sur l'IA et à ses rapports détaillés, PowerDMARC aide plus de 2 000 clients à travers le monde à simplifier leur transition vers DMARC.
Il offre :
- Gestion multi-domaines et multi-clients à partir d'un seul tableau de bord
- Accueil et assistance haut de gamme
- Certifié conforme aux normes SOC2, ISO27001 et RGPD
Pour commencer, profitez d'un essai gratuit Essayez gratuitement la protection DMARC pendant 15 jours de la plateforme dès aujourd'hui !
FAQ
1. Comment ajouter un enregistrement DMARC ?
Pour ajouter un enregistrement DMARC : 1) Générez votre enregistrement DMARC à l'aide d'un outil tel que le générateur PowerDMARC, 2) Accédez à votre console de gestion DNS, 3) Créez un nouvel enregistrement TXT avec le nom « _dmarc » et collez votre enregistrement DMARC comme valeur, 4) Enregistrez les modifications et attendez la propagation DNS (jusqu'à 48 heures).
2. Que se passe-t-il si je n'ai pas d'enregistrement DMARC ?
Sans enregistrement DMARC, votre domaine est vulnérable aux attaques par usurpation d'identité et hameçonnage. Les fournisseurs de messagerie électronique tels que Gmail et Yahoo peuvent rejeter les e-mails provenant d'expéditeurs en masse sans DMARC. La réputation de votre domaine peut être compromise par une utilisation non autorisée, et vous n'aurez aucune visibilité sur les échecs d'authentification des e-mails.
3. À quoi ressemble un enregistrement DMARC type ?
Un enregistrement DMARC de base est publié sous forme d'enregistrement DNS TXT à l'adresse _dmarc.votredomaine.com et démarre généralement en mode surveillance. Voici un exemple courant :
v=DMARC1 ; p=none ; rua=mailto:[email protected]
Ce que cela fait :
- v=DMARC1 identifie l'enregistrement comme une politique DMARC.
- p=none permet la surveillance sans bloquer les e-mails.
- rua spécifie où les rapports DMARC agrégés sont envoyés.
Cette configuration vous permet d'observer les résultats de l'authentification et de détecter les tentatives d'usurpation d'identité sans affecter la livraison des e-mails. Une fois que vous avez examiné les rapports et confirmé que tous les expéditeurs légitimes sont alignés, vous pouvez passer progressivement à la quarantine ou p=reject pour application.
Expert en cybersécurité, PDG de PowerDMARC
Maitham est un entrepreneur technologique, expert en cybersécurité, PDG et fondateur de PowerDMARC avec plus de 15 ans d'expérience dans l'industrie. Maitham est titulaire d'un Global MBA de l'Université de Manchester et de diverses certifications professionnelles, notamment CISSP, CISM, CRISC et ISC2 CCSP.
Derniers messages de Maitham Al Lawati (voir tous)
- Statistiques sur le phishing et le DMARC : tendances 2026 en matière de sécurité des e-mails - 6 janvier 2026
- Comment corriger « Aucun SPF trouvé » en 2026 - 3 janvier 2026
- SPF : comment corriger un nombre trop élevé de requêtes DNS - 24 décembre 2025
