Guide de configuration DMARC : comment configurer DMARC en 2025 (sans interruption de messagerie)
par
Temps de lecture : 8 min
Seulement 53,8 % des entreprises dans le monde disposent d'une configuration DMARC sur leur domaine, ce qui laisse les autres vulnérables aux menaces par courrier électronique.
L'authentification des e-mails est votre première ligne de défense. DMARC, SPF et DKIM sont des protocoles d'authentification qui contribuent à prévenir l'usurpation d'adresse et les attaques de phishing. SPF garantit que seules les adresses IP autorisées peuvent envoyer des messages en votre nom, DKIM ajoute une signature numérique pour vérifier l'intégrité des messages, et DMARC s'appuie sur ces deux protocoles pour indiquer aux serveurs de réception comment gérer les e-mails qui échouent à ces vérifications. Sans DMARC, même les domaines dotés de SPF et DKIM peuvent être usurpés.
Évitez les tracas, configurez DMARC en quelques minutes à l'aide de PowerDMARC et protégez votre domaine dès aujourd'hui !
Points clés à retenir
- L'installation de DMARC, qui s'appuie sur SPF/DKIM, protège contre l'usurpation d'adresse électronique et le phishing, et préserve la réputation du domaine.
- Un enregistrement DMARC dans le DNS définit les politiques de traitement (`none`, quarantine, `reject`) pour les courriels non autorisés.
- Le format correct de l'enregistrement DMARC (par exemple, les balises obligatoires `v=DMARC1`, `p=policy`) est crucial pour un fonctionnement efficace et pour éviter les problèmes de livraison.
- L'activation du reporting DMARC (`rua`, `ruf`) fournit des informations précieuses sur les flux d'emails et les résultats d'authentification pour la surveillance.
- Une vérification régulière à l'aide d'outils garantit une configuration correcte, tandis que `p=reject` offre une protection maximale.
Conditions préalables à la configuration de DMARC
Avant de passer au processus d'installation de DMARC, assurez-vous d'avoir mis en place les éléments suivants :
- Accès à votre console de gestion DNS : Ceci est essentiel pour créer et publier des enregistrements DNS.
- Liste des expéditeurs d'e-mails autorisés : identifiez tous les services et serveurs qui envoient des e-mails en votre nom pour éviter tout blocage involontaire.
- Enregistrement SPF et/ou DKIM existant dans votre DNS : au moins un de ces enregistrements doit déjà être configuré dans votre DNS, car DMARC s'appuie sur eux pour l'authentification des e-mails. SPF (Sender Policy Framework) indique au serveur de réception de quel domaine l'e-mail doit provenir, tandis que DKIM (DomainKeys Identified Mail) est une méthode de signature numérique des e-mails pour vérifier l'authenticité de l'expéditeur.
Attention : si vous ignorez SPF/DKIM, DMARC ne fonctionnera pas. Assurez-vous d'avoir correctement configuré l'un ou l'autre, ou idéalement les deux, avant de passer aux étapes suivantes.
Configuration DMARC étape par étape
Pour démarrer votre installation DMARC DNS, suivez les étapes d'installation indiquées ci-dessous :
Étape 1 : Création de l'enregistrement DMARC
Vous commencez par créer un enregistrement DNS TXT qui définit votre politique et établit la mise en œuvre. Cet enregistrement est ajouté au fichier de zone DNS de votre domaine.
Pour créer un enregistrement gratuit, utilisez notre outil de génération DMARC comme illustré dans la capture d'écran ci-dessus. Une fois l'outil ouvert, vous devrez remplir certains critères obligatoires.
Simplifiez l'installation de DMARC avec PowerDMARC !
Étape 2 : Choisir une politique DMARC adaptée à vos courriels
La balise p= policy est une balise obligatoire qui doit être configurée dans votre configuration DMARC. Si vous la sautez, votre enregistrement ne sera pas valide.
Étape 3 : Activer les rapports et cliquer sur "Générer"
Pour surveiller votre flux de messagerie et vos résultats d'authentification, configurez les rapports agrégés DMARC (RUA) en définissant l'adresse e-mail à laquelle vous souhaitez recevoir vos rapports. Enfin, cliquez sur le bouton « Générer ».
Étape 4 : Publier et valider la configuration de l'enregistrement
Une fois que vous avez terminé de créer l’enregistrement TXT, utilisez le bouton « copier » pour copier directement la syntaxe, puis accédez à votre console de gestion DNS.
- Créez un nouvel enregistrement TXT.
- Dans le champ Hôte/Nom, saisissez « _dmarc » (ou « _dmarc.yourdomain.com », selon votre fournisseur DNS).
- Dans le champ Valeur/Données, collez la syntaxe d’enregistrement DMARC que vous avez générée.
- Enregistrez l'enregistrement pour le publier sur votre DNS et terminer votre configuration DMARC.
Pour en savoir plus, consultez notre guide détaillé sur la publication d'un enregistrement DMARC sur votre DNS. La propagation des modifications DNS peut prendre jusqu'à 48 heures, selon votre fournisseur.
Vérification de votre configuration DMARC
Après avoir configuré DMARC, vous devez vérifier vos configurations pour vous assurer de ne pas rencontrer l'erreur très courante « Aucun enregistrement DMARC trouvé » .
Pour vérifier votre configuration, vous pouvez utiliser gratuitement l'outil de vérification DMARC de PowerDMARC. Pour l'utiliser :
- Entrez votre nom de domaine dans la case de destination (c'est-à-dire que si l'URL de votre site Web est https://company.com, votre nom de domaine sera company.com )
- Cliquez sur le bouton "Recherche".
- Voir vos résultats affichés à l'écran
Nous recommandons cette méthode de vérification comme alternative à la vérification manuelle pour une expérience plus rapide, plus précise et sans tracas.
Conseils de configuration DAMRC avancés
Une fois votre configuration de base terminée, voici quelques conseils avancés pour améliorer votre implémentation :
Politiques DMARC expliquées (lesquelles choisir ?)
Pour éviter que vos e-mails ne soient usurpés, vous devez configurer une politique DMARC . Vous avez le choix entre trois politiques principales :
- Aucun (p=none) : aucune action n'est entreprise sur les e-mails dont l'authentification DMARC échoue. Cette option est idéale pour surveiller le trafic e-mail lors de la configuration initiale.
- Quarantine (p= quarantine ) : les e-mails échoués sont marqués comme suspects et envoyés dans les dossiers spam/courrier indésirable.
- Rejeter (p=reject) : les e-mails échoués sont bloqués et ne sont pas du tout livrés.
Remarque : choisissez une politique « aucune » pour surveiller vos e-mails avant de vous engager dans une application complète (p = quarantine ou p = rejet).
Modes d'alignement (strict ou détendu)
- Alignement détendu
Alignement SPF détendu : réussi si le domaine dans le chemin de retour (domaine authentifié SPF) partage le même domaine organisationnel que le domaine dans l'adresse de l'expéditeur.
Exemple :
aspf=r;
De : [email protected]
Chemin de retour : [email protected]
Passe l'alignement SPF assoupli car les deux partagent le domaine organisationnel example.com.
Alignement DKIM détendu : réussi si le domaine d= dans la signature DKIM partage le même domaine organisationnel que le domaine dans l'adresse de l'expéditeur.
Exemple :
adkim=r;
De : [email protected]
Signature DKIM : d=alerts.example.com
Passe l'alignement DKIM assoupli (même domaine organisationnel : example.com ).
- Alignement strict
Alignement SPF détendu : réussi si le domaine dans le chemin de retour (domaine authentifié SPF) correspond exactement au domaine dans l'adresse de l'expéditeur (et pas seulement une correspondance organisationnelle).
Exemple :
aspf=s;
De : [email protected]
Chemin de retour : [email protected]
L'alignement SPF est strict, car les deux adresses partagent le domaine example.com. Si le chemin de retour était bounce.mail.example.com, l'alignement strict échouerait.
Alignement DKIM détendu : réussi si le domaine d= dans la signature DKIM correspond exactement au domaine dans l'adresse de l'expéditeur.
Exemple :
adkim=s;
De : [email protected]
Signature DKIM : d=alerts.example.com
Passe un alignement DKIM strict (même domaine : example.com ). Si d=domain était bounce.mail.example.com, l'alignement strict échouerait.
Exemple de configuration DMARC
Voici un exemple de configuration DMARC simple :
v=DMARC1; p=rejeter ; rua=mailto:[email protected];
Remarque : lorsque vous commencez votre parcours d'authentification par e-mail, vous pouvez conserver votre politique DMARC (p) sur aucune au lieu de rejeter, pour surveiller votre flux de courrier électronique et résoudre les problèmes avant de passer à une politique stricte.
Syntaxe d'enregistrement DMARC et balises facultatives
La syntaxe de votre configuration DMARC détermine le mode d'authentification de vos e-mails et les actions à entreprendre après la vérification. Explorons quelques mécanismes principaux :
- v (obligatoire) : spécifie la version DMARC. Doit être DMARC1 et apparaître en premier dans l'enregistrement.
- p (obligatoire) : définit la politique en cas d'échec DMARC (aucun, quarantine , ou rejeter).
- rua (facultatif) : spécifie les adresses e-mail pour recevoir des rapports agrégés au format mailto :
- ruf (facultatif) : spécifie les adresses e-mail pour recevoir les rapports d'échec médico-légaux à l'aide du format mailto :
- adkim (facultatif) : définit le mode d'alignement DKIM sur r (relaxé) ou s (strict). Le mode par défaut est relaxé, s'il n'est pas défini.
- aspf (facultatif) : définit le mode d'alignement SPF sur r (relaxé) ou s (strict). Le mode par défaut est relaxé, s'il n'est pas défini.
- pct (facultatif) : définit le pourcentage d'e-mails échoués soumis à la politique DMARC (la valeur par défaut est 100).
- fo (facultatif) : contrôle l'envoi des rapports d'analyse. Les options incluent 0, 1, d et s.
Pour en savoir plus, consultez notre blog détaillé sur les balises DMARC . Assurez-vous que les balises sont séparées par des points-virgules et qu'il n'y a pas d'espaces superflus pour garantir un formatage correct.
Après la configuration de DMARC : que faire ensuite ?
Après une configuration DMARC réussie, il est important de surveiller en permanence vos rapports, de passer progressivement à l'application et de résoudre les erreurs en cours de route.
Comment lire les rapports DMARC ?
Voici un extrait d'un rapport DMARC RUA. Pour l'analyser manuellement :
- Examine the <domain> and <source_ip> fields to verify your sending sources
- Check the <adkim> and <aspf> fields to confirm the alignment mode configured for your domain.
- Check your DMARC policy in the <p> field
- Check your email authentication results (pass/fail) by checking the <policy_evaluated> sections of the report.
Utiliser un analyseur de rapports DMARC
Pour consulter et analyser facilement vos rapports DMARC sans avoir à lire des fichiers XML complexes, inscrivez-vous à PowerDMARC. Notre analyseur de rapports DMARC vous permet de visualiser les rapports dans un format lisible par l'utilisateur pour une visibilité précise.
Transition vers p=reject en toute sécurité
Lors de la configuration de DMARC , il est important d'adopter en toute sécurité la politique ap=reject afin d'éviter les problèmes de délivrabilité. Pour ce faire :
- Commencez avec p=none et activez les rapports DMARC pour surveiller le trafic de messagerie.
- Après quelques semaines, passez à p= quarantine , en l'appliquant à 50 % de votre volume de courrier électronique (en utilisant la balise pct=50).
- Appliquez-le progressivement à 100 % de votre volume de courrier en configurant pct=100 (ou laissez la valeur par défaut).
- Une fois que vous êtes sûr de votre configuration, passez à p=reject pour 50 % de votre volume de courrier (pct=50).
- Une fois satisfait de votre configuration, appliquez p=reject pour 100 % de votre volume de courrier (pct=100).
Conseil de pro : utilisez notre solution DMARC hébergée pour passer en toute sécurité à des politiques appliquées avec l'assistance d'experts.
Dépannage des problèmes courants dans les configurations DMARC
| Problèmes | Causes | Corrections |
|---|---|---|
| E-mails ne respectant pas DMARC | - Désalignement SPF/DKIM - Transfert d'e-mails - Tentatives d'usurpation d'identité - Erreurs de syntaxe | - Utiliser des solutions DMARC gérées - Configurez à la fois SPF et DKIM avec votre configuration DMARC - Vérifiez vos enregistrements DNS à l'aide des outils de vérification des enregistrements DNS - Surveillez vos rapports |
| Aucun rapport reçu | - E-mail RUA invalide - Le fournisseur de messagerie du destinataire ne prend pas en charge les rapports RUF | - Assurez-vous que votre courrier RUA est valide et actif |
| Perméable SPF | - Dépassement de la limite de 10 recherches DNS - Dépassement de la limite de longueur de caractère de l'enregistrement SPF - Syntaxe SPF et autres erreurs de configuration | - Solutions SPF hébergées utilisées - Utilisez des services d'optimisation SPF comme l'aplatissement ou de préférence des macros. |
Comment PowerDMARC simplifie la configuration de DMARC
| Fonctionnalité | PowerDMARC | Installation DIY |
|---|---|---|
| Rapports automatisés | ✅ Oui | ❌ Analyse manuelle |
| Surveillance MTA-STS | ✅ Inclus | ❌ Configuration supplémentaire |
| Hébergé SPF, DKIM et DMARC | ✅ Entièrement hébergé | ❌ Autogéré |
| Aide à la configuration DNS | ✅ Assistant intégré | ❌ Configuration manuelle |
| Visionneuse de rapports agrégés | ✅ Tableau de bord visuel | ❌ Rapports XML bruts |
| Traitement des rapports médico-légaux | ✅ Cryptage PGP | ❌ Nécessite un analyseur personnalisé |
| Alertes | ✅ Alertes en temps réel | ❌ Aucune alerte native |
| Prise en charge BIMI | ✅ Disponible | ❌ Configuration manuelle complexe |
| Regroupement de domaines | ✅ Regroupement facile | ❌ Non pris en charge |
| Gestion des accès utilisateurs | ✅ Contrôle basé sur les rôles | ❌ Coordination manuelle |
Étude de cas : Comment la Fatty Liver Foundation a simplifié la configuration DMARC d'entreprise avec PowerDMARC
« La boîte à outils PowerDMARC était conviviale et permettait de configurer des fonctions comme DMARC et DKIM de manière très intuitive. » – Wayne Eskridge, PDG de la Fatty Liver Foundation
Pour lire l'histoire complète de la façon dont cette entreprise à but non lucratif basée aux États-Unis a simplifié la configuration et la gestion de DMARC , consultez notre étude de cas .
FAQ sur la configuration de DMARC
- Puis-je configurer DMARC sans DKIM ou SPF ?
Non. DMARC s'appuie sur les résultats des vérifications d'authentification SPF ou DKIM (ou les deux). Vous devez configurer au moins l'un de ces protocoles (SPF ou DKIM) pour votre domaine avant de mettre en œuvre DMARC.
- À quelle fréquence dois-je vérifier les rapports DMARC ?
La fréquence de votre surveillance dépend de plusieurs facteurs :
- Si vous êtes une grande entreprise, un MSSP gérant la sécurité des e-mails pour vos clients, si vous êtes dans les phases initiales de déploiement ou si vous avez récemment appliqué votre politique DMARC, nous vous recommandons de vérifier régulièrement vos rapports.
- Une fois les choses stables, vous pouvez procéder à la révision hebdomadaire des rapports en accordant une attention particulière lorsque de nouvelles sources d'envoi sont ajoutées.
Expert en cybersécurité, PDG de PowerDMARC
Maitham est un entrepreneur technologique, expert en cybersécurité, PDG et fondateur de PowerDMARC avec plus de 15 ans d'expérience dans l'industrie. Maitham est titulaire d'un Global MBA de l'Université de Manchester et de diverses certifications professionnelles, notamment CISSP, CISM, CRISC et ISC2 CCSP.
Derniers messages de Maitham Al Lawati (voir tous)
- Comment créer et publier un enregistrement DMARC - 3 mars 2025
- Comment corriger le message "Aucun enregistrement SPF trouvé" en 2025 - 21 janvier 2025
- Comment lire un rapport DMARC - 19 janvier 2025
