Diagnostics DNS et d'authentification du courriel — et la solution.

DMARC Vérificateur d'enregistrement DMARC

Vérifiez la politique DMARC de votre domaine, voyez ce qu'elle fait réellement, et générez un enregistrement valide.

Recherche l'enregistrement TXT à _dmarc.<domaine> et explique chaque balise.

Générer un enregistrement DMARC

Construisez un enregistrement TXT DMARC valide. Commencez par une politique de surveillance, examinez les rapports agrégés pendant quelques semaines, puis resserrez.

Une adresse courriel qui recevra les rapports agrégés quotidiens. Beaucoup utilisent [email protected] ou leur courriel d'administration.
Commencez par none pendant que vous examinez les rapports, puis resserrez vers quarantine et finalement reject.
Options avancées
Remplace la politique pour les sous-domaines. Laissez sur « hériter » sauf si vous avez besoin d'un traitement différent.
Pourcentage de messages auxquels la politique s'applique. Utile pour un déploiement progressif. Laissez vide pour la valeur par défaut de 100 %.
Facultatif — reçoit les rapports d'échec par message. La plupart des destinataires ne les envoient plus.

Qu'est-ce que DMARC ?

DMARC (Domain-based Message Authentication, Reporting and Conformance) est une politique DNS qui indique aux serveurs de messagerie destinataires quoi faire des messages qui échouent à l'authentification SPF ou DKIM, et où envoyer les rapports sur le trafic courriel de votre domaine.

DMARC s'appuie sur SPF et DKIM — il n'authentifie pas les messages lui-même. Il vous permet plutôt de dire « les messages prétendant provenir de mon domaine doivent réussir SPF ou DKIM avec un alignement de domaine concordant ; sinon, faites X, et envoyez-moi des rapports à ce sujet ».

Ce que ce vérificateur teste

  • Si un enregistrement DMARC existe à _dmarc.<votredomaine>
  • Si la syntaxe est valide (balises v et p requises, aucune valeur invalide)
  • Si plusieurs enregistrements DMARC existent (une mauvaise configuration courante)
  • Quelle politique d'application est en vigueur (none, quarantine, reject)
  • Si des adresses de rapports agrégés (rua) sont configurées
  • Les modes d'alignement SPF et DKIM
  • Le pourcentage de couverture (pct) et toute implication de déploiement partiel

Les politiques DMARC expliquées

p=none — mode surveillance

Le serveur destinataire ne prend aucune mesure fondée sur DMARC, mais vous envoie tout de même des rapports. Commencez ici lors du premier déploiement de DMARC : vous verrez quels serveurs envoient du courrier « au nom » de votre domaine — y compris des serveurs légitimes que vous avez peut-être oubliés — sans risquer de perdre du vrai courrier.

p=quarantine — acheminer vers les pourriels

Les messages qui échouent à DMARC sont livrés dans les pourriels/indésirables. Utilisez ceci après quelques semaines de surveillance, une fois certain que tous vos expéditeurs légitimes réussissent.

p=reject — bloquer d'emblée

Le réglage le plus strict — les messages en échec sont rejetés au niveau SMTP. N'utilisez ceci que lorsque vous êtes certain que votre DMARC autorise correctement chaque expéditeur légitime. C'est exigé par Gmail et Yahoo pour les expéditeurs de masse depuis 2024.

Les balises de rapport (rua et ruf)

rua définit la ou les adresses courriel qui reçoivent les rapports agrégés — des résumés XML quotidiens du nombre de messages de votre domaine ayant réussi ou échoué à DMARC, ventilés par IP d'envoi. Sans rua, vous avancez à l'aveugle. Beaucoup utilisent une boîte dédiée comme [email protected] ou un service tiers comme Postmark DMARC, Valimail ou dmarcian.

ruf définit les adresses pour les rapports forensiques (par échec). Ils contiennent des messages en échec individuels avec des renseignements personnels, alors la plupart des grands fournisseurs de boîtes aux lettres (Gmail, Microsoft) ne les envoient plus. Vous pouvez généralement l'ignorer.

Foire aux questions

Où publier mon enregistrement DMARC ?

DMARC est un enregistrement TXT publié à _dmarc.votredomaine.com. Dans la plupart des panneaux DNS, vous saisissez l'hôte comme _dmarc (l'étiquette nue) et le panneau ajoute automatiquement votre domaine racine.

Ai-je besoin de SPF et DKIM avant d'ajouter DMARC ?

Vous devriez d'abord en avoir au moins un qui réussit. DMARC exige que SPF ou DKIM réussisse avec alignement de domaine pour qu'un message réussisse DMARC. Si aucun n'est configuré, chaque message échouera à DMARC — commencez donc par p=none pour éviter de perdre du vrai courrier.

Que signifie « alignement » ?

L'alignement signifie que le domaine authentifié par SPF ou DKIM doit correspondre au domaine de l'en-tête De : visible. L'alignement souple permet la correspondance au niveau du domaine organisationnel (ainsi mail.example.com s'aligne avec example.com). L'alignement strict exige une correspondance exacte. Le souple est la valeur par défaut et presque toujours ce que vous voulez.

Combien de temps devrais-je rester à p=none ?

Examinez les rapports agrégés pendant au moins 2 à 4 semaines. Assurez-vous que toutes vos sources d'envoi légitimes (votre fournisseur de messagerie, vos outils de marketing, vos services transactionnels, vos systèmes automatisés) réussissent DMARC avec le bon alignement, puis passez à p=quarantine avec pct=25 environ pour un déploiement progressif, puis augmentez.

Et si mon domaine n'a pas de courriel ?

Si votre domaine n'envoie jamais de courriel, publiez un enregistrement DMARC strict : v=DMARC1; p=reject; sp=reject; adkim=s; aspf=s;. Cela rend plus difficile l'usurpation de votre domaine dans des attaques d'hameçonnage.

Puis-je avoir plus d'un enregistrement DMARC ?

Non. La RFC 7489 exige explicitement exactement un enregistrement DMARC par domaine. Si plusieurs enregistrements v=DMARC1 existent à _dmarc.<domaine>, les destinataires considèrent que le domaine n'a aucune politique DMARC. Fusionnez-les en un seul enregistrement.

Vous voulez le portrait complet ? Lancez une vérification de domaine complète →