Qu'est-ce qu'une politique DMARC ? Aucun, Quarantine et Rejet

Début 2024, Google et Yahoo ont clairement indiqué que tous les expéditeurs d'envois en nombre doivent mettre en place une politique DMARC en place. Cette exigence a transformé la configuration de la politique DMARC d'une étape technique de routine en une priorité urgente pour les organisations de toute taille. Après l'annonce, les équipes ont commencé à revoir, mettre à jour et appliquer leurs politiques DMARC afin de respecter les nouvelles normes, d'éviter les problèmes de délivrabilité et de réduire le risque d'utilisation abusive des domaines, alors que les menaces liées au courrier électronique ne cessent de croître.

La mise en place d'une politique adéquate permet aux organisations de protéger leur marque, leurs employés et leurs clients contre les tentatives d'usurpation d'identité. Bien qu'une politique DMARC ne puisse à elle seule résoudre tous les problèmes de sécurité des courriels, elle reste l'une des défenses les plus efficaces contre le phishing et les attaques par usurpation d'identité.

Dans cet article, nous explorons la politique DMARC, comment la mettre en œuvre, les défis et les avantages, et pourquoi vous devriez opter pour notre solution DMARC hébergée pour la mise en œuvre de la politique.

Qu'est-ce qu'une politique DMARC ?

La politique DMARC est un système de validation des courriers électroniques qui utilise le système de noms de domaine (DNS) pour indiquer aux serveurs de messagerie destinataires comment traiter les courriers électroniques qui prétendent provenir de votre propre domaine mais qui échouent aux contrôles d'authentification. Elle est désignée par la balise "p" dans l'enregistrement DMARC qui spécifie l'action que les serveurs de messagerie doivent entreprendre si un courriel échoue à la validation DMARC.

Une politique correctement mise en œuvre vous permet de décider de la rigueur avec laquelle les fournisseurs de messagerie doivent traiter les messages qui ne passent pas l'authentification. En d'autres termes, vous choisissez le niveau d'application que vous souhaitez pour les courriels suspects ou non autorisés.

Vous pouvez définir votre politique comme suit :

• Laisser passer quand même (p=none)
• Le signaler comme suspect(quarantine)
• Le bloquer complètement (p=rejeter)

C'est la balise p= de votre enregistrement DMARC qui contrôle ce comportement. Elle indique aux serveurs de réception le niveau d'application à appliquer, ce qui en fait l'un des éléments les plus importants d'une configuration DMARC. Une politique plus stricte telle que p=reject vous offre la protection la plus forte en empêchant les courriels usurpés ou non autorisés d'être délivrés.

Les 3 options de la politique DMARC

Avant de choisir une police, il est utile de comprendre ce que chaque option fait et comment elle affecte la façon dont votre domaine est protégé.

Les trois types de politiques DMARC sont les suivants

1. Politique DMARC : Aucune (p=none)

La politique DMARC none (p=none) est un mode détendu qui ne déclenche aucune action de la part du destinataire. Cette politique peut être utilisée pour surveiller l'activité du courrier électronique et est généralement utilisée pendant la phase initiale de mise en œuvre de DMARC pour la surveillance et la collecte de données.

Elle n'offre aucun niveau de protection contre les cyberattaques et permet à tous les messages d'être délivrés, quels que soient les résultats de l'authentification. Cette option est spécifiée dans l'enregistrement DMARC à l'aide de la balise "p=none".

Exemple : v=DMARC1 ; p=none ; rua= mailto :(adresse électronique) ;

Quand utiliser p=none

• Utilisez cette politique lorsque vous souhaitez contrôler le trafic de votre courrier électronique avant d'appliquer DMARC.
• Idéal pour les domaines qui identifient encore toutes les sources d'envoi légitimes.
• Les serveurs de messagerie récepteurs ne prennent aucune mesure à l'égard des messages qui échouent ; les courriels sont tout de même livrés.
• Vous continuez à recevoir des rapports agrégés DMARC, ce qui vous aide à comprendre les problèmes d'authentification avant de passer à des politiques plus strictes.

2. Politique DMARC : Quarantine (quarantine)

Cette option est spécifiée dans l'enregistrement DMARC à l'aide de la balise "quarantine". quarantine offre un certain niveau de protection car le propriétaire du domaine peut demander au destinataire de renvoyer les courriels dans le dossier spam ou quarantine afin de les consulter ultérieurement en cas d'échec de DMARC.

Cette politique indique au serveur de messagerie destinataire de traiter avec méfiance les messages qui échouent à l'authentification DMARC. Elle est souvent mise en œuvre comme une étape intermédiaire entre "none" et "reject".

Exemple : v=DMARC1 ; quarantine; rua=mailto :(adresse électronique) ;

Quand utiliser quarantine

• Utilisez cette politique lorsque vous souhaitez une protection plus forte, mais que vous avez besoin d'examiner les courriels suspects avant de les bloquer complètement.
• Les messages qui échouent sont envoyés dans le dossier spam/junk, ce qui vous permet de les inspecter sans perdre les messages légitimes.
• Agit comme un niveau d'application intermédiaire, vous aidant à faire une transition en douceur vers p=rejet.
• Permet d'évaluer l'impact de DMARC et de décider si les courriels marqués sont légitimes ou s'ils doivent être rejetés.
• Permet de réduire l'encombrement de la boîte de réception en gardant les courriels douteux hors de la boîte de réception principale, tout en permettant leur visibilité.

3. Politique DMARC : Rejet (p=reject)

Cette option est spécifiée dans l'enregistrement DMARC à l'aide de "p=reject". Il s'agit de la politique la plus stricte, indiquant aux destinataires de rejeter les messages non authentifiés.

Le rejet de la politique DMARC assure une application maximale, garantissant que les messages qui échouent aux contrôles DMARC ne sont pas délivrés du tout. Cette politique est mise en œuvre lorsque les propriétaires de domaines sont sûrs de leur système d'authentification du courrier électronique.

Exemple : v=DMARC1 ; p=reject ; rua= mailto :(adresse électronique) ;

Quand utiliser p=rejet

• Choisissez cette politique lorsque vous souhaitez le plus haut niveau de protection contre le phishing, le spoofing et toute utilisation non autorisée de votre domaine.
• Les messages électroniques qui échouent à l'authentification sont entièrement bloqués, ce qui garantit que les messages suspects ne parviennent jamais aux destinataires.
• Cette solution est idéale pour les domaines qui sont déjà entièrement authentifiés par tous les services d'envoi et qui n'ont plus besoin de quarantine cas limites.

Vous devriez :

• Effectuez des tests approfondis et vérifiez que tous les expéditeurs légitimes satisfont aux SPF et DKIM avant de passer à p=reject.
• Gardez les rapports DMARC activés afin de pouvoir surveiller les défaillances restantes et de vous assurer que tout continue à bien se dérouler.
• Pour un déploiement sûr, commencez par p=none, passez à quarantine, puis avancez à p=reject une fois que vos rapports montrent un alignement cohérent.

Autres politiques DMARC

DMARC offre des paramètres de politique supplémentaires permettant d'affiner la mise en œuvre.

• Le paramètre pourcentage (pct=) permet un déploiement progressif de la politique en spécifiant la part des messages soumis à DMARC. Par exemple : pct=50 applique la politique à 50% des messages.
  • Quand l'utiliser ?
    • Utilisez pct= lorsque vous passez de p=none → quarantine → p=reject et que vous souhaitez tester l'application par étapes sans affecter l'ensemble du courrier sortant.
  • Orientations en matière de délais :
    • Commencez avec pct=20 lors des premiers tests.
    • Augmenter à pct=50-70 lorsque la plupart des expéditeurs légitimes passent l'authentification.
    • Passez à pct=100 une fois que vous êtes sûr que votre configuration est stable.
• La politique des sous-domaines (sp=) est un enregistrement de stratégie qui définit des règles distinctes pour les sous-domaines. Il est utile lorsque les sous-domaines doivent être traités différemment. Par exemple : v=DMARC1 ; p=reject ; quarantine; rua=mailto:[email protected].
  • Quand l'utiliser ?
    • Utilisez sp= lorsque vos sous-domaines ont des comportements d'envoi différents ou lorsque vous souhaitez une application plus stricte ou plus souple par rapport à votre domaine principal.
  • Orientations en matière de délais :
    • Appliquer sp=none lors de l'évaluation des expéditeurs de sous-domaines.
    • Passez à quarantine une fois que vous avez vérifié leur authentification.
    • Passez à sp=reject lorsque vous ne voulez plus que les sous-domaines soient utilisés à mauvais escient pour l'usurpation d'identité.

Configurer la politique DMARC de la bonne façon avec PowerDMARC !

L'importance de DMARC

Les courriers électroniques peuvent être facilement falsifiés, ce qui rend difficile la distinction entre un vrai et un faux dangereux. C'est là que DMARC entre en jeu. DMARC est une sorte de point de contrôle de la sécurité des courriels qui vérifie l'identité de l'expéditeur avant de laisser passer les messages. Il joue un rôle essentiel dans la mise en conformité avec des cadres réglementaires tels que le GDPR, l'HIPAA et le PCI-DSS.

Les pertes liées à la cybercriminalité dans le monde devraient dépasser 10,5 billions de dollars en 2025ce qui souligne l'ampleur de la menace. Par ailleurs, le Verizon 2025 Data Breach Investigations Report montre que l'hameçonnage et les attaques basées sur les informations d'identification restent dominants, avec environ 15 % de toutes les violations commençant par l'hameçonnage.

Selon la RFC 7489 de l'IETF, DMARC a la capacité unique de permettre aux expéditeurs de courrier électronique de définir des préférences en matière d'authentification. En l'activant, vous pouvez également obtenir des rapports sur le traitement des courriels et les abus potentiels de domaine. C'est ce qui fait que DMARC se distingue en termes de validation de domaine.

D'après nos dernières statistiques DMARC, un nombre important de domaines sont encore vulnérables aux attaques de phishing en raison de l'absence de mise en œuvre de DMARC.

Pour lancer le processus d'installation de DMARC, il faut modifier correctement le DNS et inclure des enregistrements DNS TXT pour les protocoles. Cependant, la mise en œuvre manuelle du protocole DMARC peut s'avérer assez complexe pour les utilisateurs non techniques. Elle peut même s'avérer assez coûteuse si vous engagez un RSSI externe fractionné pour la gérer pour votre entreprise. C'est pourquoi l'utilisation d'une solution comme l' analyseur DMARC de PowerDMARC est judicieuse : elle automatise l'installation, rationalise votre configuration et vous permet d'économiser du temps et de l'argent. Laissez-nous vous guider dans l'installation et aidez-nous à protéger votre marque dès aujourd'hui.

Options de rapport DMARC

Les options de rapport pour DMARC sont les suivantes :

• Rapports agrégés (rua=) : Envoyés quotidiennement, ils fournissent des résumés de haut niveau des résultats de l'authentification du courrier électronique, notamment les adresses IP qui envoient du courrier en votre nom et le nombre de messages qui ont été acceptés ou qui ont échoué.
• Rapports médico-légaux (ruf=) : Envoyés en temps réel, ils contiennent des informations plus détaillées sur les messages individuels qui n'ont pas été authentifiés.

Ces paramètres permettent aux organisations de recueillir des informations précieuses sur les résultats de l'authentification DMARC, en donnant un aperçu du nombre d'e-mails qui échouent ou réussissent l'authentification DMARC. Un rapport DMARC est également utile :

1. Identifier les problèmes potentiels et les schémas d'abus
2. Détecter les erreurs de configuration de leur messagerie électronique
3. Obtenir des informations sur le comportement des courriels et les flux d'e-mails
4. Examiner les résultats de l'authentification pour les protocoles SPF et DKIM

Avantages et défis communs

DMARC offre une protection solide et une visibilité précieuse, mais sa mise en œuvre correcte s'accompagne de considérations opérationnelles et techniques. Comprendre à la fois les avantages et les défis permet de définir des attentes réalistes pour le déploiement.

Avantages

• Prévention de l'usurpation de domaine et protection contre l'hameçonnage : Bloque les expéditeurs non autorisés et réduit le risque d'attaques par usurpation d'identité.
• Amélioration de la délivrabilité des courriels (10-15%) : Les domaines authentifiés bénéficient d'une plus grande confiance de la part des fournisseurs de boîtes de réception, ce qui améliore le positionnement dans les boîtes de réception.
• Visibilité grâce à des rapports sur les sources d'envoi : Les rapports DMARC révèlent qui envoie du courrier en votre nom et comment les messages sont authentifiés.
• Conformité avec le GDPR, HIPAA et les mandats Google/Yahoo 2024 : Aide à répondre aux exigences de sécurité et d'authentification définies par les régulateurs et les principaux fournisseurs de boîtes aux lettres.

Défis

• Délai de mise en œuvre (3 à 6 mois pour un déploiement sûr) : Le passage de la surveillance à l'application intégrale de la législation prend du temps et nécessite un examen minutieux.
• Exigence de découverte de toutes les sources légitimes de courrier électronique : Chaque système d'envoi doit être identifié et authentifié avant d'appliquer des politiques strictes.
• Connaissances techniques requises (DNS, SPF, DKIM) : Une configuration correcte nécessite une bonne connaissance de l'authentification des courriers électroniques et de la gestion des DNS.
• Limitations de l'authentification des services tiers : Certains outils ou plateformes ont une prise en charge limitée de SPF, ce qui rend la configuration plus complexe.

Dépannage des erreurs de politique DMARC

Lors de l'utilisation de DMARC, vous pouvez rencontrer un message d'erreur. Voici quelques erreurs courantes liées à la politique DMARC :

• Erreurs de syntaxe : Vous devez vous méfier des erreurs de syntaxe lors de la mise en place de votre enregistrement afin de vous assurer que votre protocole fonctionne correctement.
• Erreurs de configuration : Les erreurs lors de la configuration de la politique DMARC sont fréquentes et peuvent être évitées en utilisant un outil de vérification DMARC.
• Politique de rejet DMARC : Si vous configurez une politique de rejet DMARC, mais que vous ne configurez aucune politique de sous-domaine, vous ne pourrez pas vous mettre en conformité. Cela est dû à une annulation de la politique sur vos emails sortants.
• Erreur "DMARC Policy Not Enabled" (Politique DMARC non activée) : Si votre domaine signale cette erreur, cela signifie qu'il manque une politique de domaine DMARC dans votre DNS ou qu'elle est réglée sur "none". Modifiez votre enregistrement pour y incorporer quarantine et le problème devrait être résolu.

Application de la politique DMARC avec PowerDMARC

DMARC reste l'un des moyens les plus efficaces de protéger votre domaine contre l'usurpation d'identité, l'hameçonnage et l'utilisation non autorisée du courrier électronique. En choisissant le bon mode de politique (aucun, quarantine ou rejet), vous contrôlez la façon dont les serveurs de réception traitent les messages suspects et le degré de protection de votre domaine. Des paramètres supplémentaires tels que pct= et sp= permettent d'affiner votre déploiement, tandis que les options de reporting telles que rua et ruf vous donnent une visibilité claire sur les résultats d'authentification, les sources d'envoi, les mauvaises configurations et les abus potentiels.

Bien que la mise en place de DMARC puisse être complexe, en particulier lorsqu'il s'agit de travailler avec plusieurs services tiers ou de gérer un calendrier complet d'application, les avantages à long terme sont considérables : meilleure délivrabilité, amélioration de la conformité et protection renforcée de la marque.

L'analyseur DMARC de PowerDMARC simplifie ce processus en automatisant la configuration, en rationalisant la gestion des politiques et en transformant les rapports XML bruts en informations exploitables. Si vous souhaitez un chemin plus facile et plus sûr vers l'application de DMARC, notre plateforme est conçue pour vous soutenir à chaque étape.

Contactez nous dès aujourd'hui pour mettre en place une politique DMARC et suivre vos résultats en toute simplicité !

Foire aux questions (FAQ)

Quelle est la politique DMARC par défaut ?

Vous pouvez vérifier la conformité DMARC en consultant vos rapports DMARC et en confirmant que vos courriels sont conformes aux normes SPF et DKIM. Si vous utilisez une plateforme dotée d'un tableau de bord de reporting, comme PowerDMARC, vous pouvez consulter le statut d'authentification de votre domaine et voir si vos messages répondent aux exigences DMARC.

Quelle est la meilleure politique DMARC ?

La meilleure politique pour une sécurité maximale est p=rejet, car elle bloque tous les courriels non autorisés.

Toutefois, la meilleure stratégie consiste à la mettre en œuvre par étapes :

1. Commencez par p=none pour contrôler les rapports sans affecter la délivrabilité.
2. Passez à quarantine pour envoyer les courriels défaillants dans les spams.
3. Ne terminez par p=rejet que lorsque vous êtes prêt (c'est-à-dire lorsque vous êtes certain que tous vos courriels légitimes sont correctement configurés).

Comment corriger ma politique DMARC ?

Vous pouvez corriger manuellement votre politique en entrant dans votre gestion DNS. Une fois entré, vous devez éditer votre enregistrement DMARC TXT. Une solution plus simple consiste à utiliser notre solution hébergée pour apporter des modifications à votre politique en un seul clic.

Quelle politique DMARC utilisez-vous pour ne pas accepter un courriel si le message ne passe pas le contrôle DMARC ?

Pour rejeter un courriel qui échoue à la vérification DMARC, vous devez utiliser la politique p=reject.

Cette politique donne explicitement pour instruction aux serveurs de messagerie électronique de bloquer purement et simplement et de refuser complètement la livraison de tout message qui échoue à l'authentification DMARC. Le message n'apparaîtra pas dans la boîte de réception du destinataire, ni même dans son dossier spam. Si vous souhaitez tout de même envoyer le message dans le dossier spam ou junk, vous pouvez utiliser quarantine.

• À propos de
• Derniers messages

Maitham Al Lawati

Expert en cybersécurité, PDG de PowerDMARC

Maitham est un entrepreneur technologique, expert en cybersécurité, PDG et fondateur de PowerDMARC avec plus de 15 ans d'expérience dans l'industrie. Maitham est titulaire d'un Global MBA de l'Université de Manchester et de diverses certifications professionnelles, notamment CISSP, CISM, CRISC et ISC2 CCSP.

Derniers messages de Maitham Al Lawati (voir tous)

• Statistiques sur le phishing par e-mail et le DMARC : tendances en matière de sécurité pour 2025 - 6 janvier 2026
• Comment corriger « Aucun SPF trouvé » en 2026 - 3 janvier 2026
• SPF : ce que cela signifie et comment y remédier - 24 décembre 2025