DMARC est l'enregistrement qui empêche enfin les autres d'envoyer des courriels au nom de votre domaine — mais c'est aussi celui qui risque le plus de bloquer vos propres courriels si vous le déployez trop vite. La bonne méthode est un déploiement par étapes : commencez en mode surveillance, lisez les rapports, corrigez ce qui échoue, puis resserrez la politique une étape à la fois. Ce guide vous accompagne tout au long du processus.
Avant de commencer : Assurez-vous que SPF et DKIM sont déjà publiés et valides pour tous vos courriels. DMARC s'appuie sur eux — activer une politique DMARC contraignante alors que vos vrais courriels échouent à l'authentification, c'est exactement ce qui cause la perte de courriels. Vérifiez d'abord avec un diagnostic complet du domaine.
À quoi ressemble un enregistrement DMARC
DMARC est un seul enregistrement TXT publié au nom d'hôte spécial _dmarc.yourdomain.com. Un enregistrement de départ ressemble à ceci :
v=DMARC1; p=none; rua=mailto:dmarc@yourdomain.comLes balises clés :
v=DMARC1— la version. Toujours en premier, toujours cette valeur.p=— la politique :none,quarantineoureject. C'est le bouton que vous augmenterez au fil du temps.rua=— l'adresse qui reçoit les rapports agrégés (des résumés XML quotidiens de qui a envoyé des courriels en votre nom).pct=— facultatif ; le pourcentage de courriels en échec auquel la politique s'applique, utilisé pour un déploiement progressif.sp=— facultatif ; une politique distincte pour les sous-domaines.
Étape 1 : Publiez une politique de surveillance (p=none)
Commencez par publier l'enregistrement de départ ci-dessus avec p=none. Cela ne change rien à la façon dont vos courriels sont livrés — cela demande simplement aux destinataires de commencer à vous envoyer des rapports. Ajoutez-le comme enregistrement TXT à _dmarc.yourdomain.com dans votre DNS, en utilisant l'adresse où vous voulez recevoir les rapports.
Notre vérificateur DMARC génère un enregistrement correct pour vous et affiche les étapes exactes pour votre fournisseur DNS.
Étape 2 : Lisez vos rapports agrégés
En un jour ou deux, les rapports commencent à arriver sous forme de pièces jointes XML. Le XML brut est difficile à lire, alors la plupart des gens transmettent le rua à un visualiseur de rapports DMARC gratuit ou payant. Vous cherchez une seule chose : chaque source légitime de vos courriels, et si elle réussit SPF et DKIM avec alignement.
Attendez-vous à des surprises ici — plateformes d'infolettres, votre CRM, outils de facturation et logiciels d'assistance envoient tous des courriels « en votre nom » et sont faciles à oublier. Dressez la liste de chaque expéditeur légitime que les rapports révèlent.
Étape 3 : Corrigez les sources légitimes qui échouent
Pour chaque expéditeur légitime qui n'est pas validé :
- Ajoutez-le à votre enregistrement SPF (généralement un
include:que le fournisseur documente), et - Activez la signature DKIM pour lui là où le fournisseur le permet (à privilégier, car DKIM survit au transfert).
Continuez à itérer jusqu'à ce que vos rapports montrent que tous vos vrais courriels passent et sont alignés. Ne passez pas à la suite tant que ce n'est pas le cas — cette étape est tout l'intérêt du mode surveillance.
Étape 4 : Passez en quarantaine
Une fois que les courriels légitimes passent proprement, resserrez en quarantaine. Les courriels en échec vont maintenant dans le dossier pourriel plutôt que dans la boîte de réception :
v=DMARC1; p=quarantine; rua=mailto:dmarc@yourdomain.comSi vous voulez être prudent, appliquez-la d'abord à une fraction des courriels avec pct, puis augmentez-la :
v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@yourdomain.comSurveillez les rapports pendant une semaine ou deux. Si rien de légitime n'est capté, montez pct à 100 (ou retirez-le simplement).
Étape 5 : Passez au rejet
L'objectif est p=reject, où les courriels qui échouent à l'authentification sont refusés d'emblée et n'atteignent jamais le destinataire — la protection la plus forte contre l'usurpation :
v=DMARC1; p=reject; rua=mailto:dmarc@yourdomain.comNe faites ce saut qu'après que la quarantaine a fonctionné proprement, sans aucun courriel légitime capté. À reject, l'usurpation de votre domaine cesse de fonctionner.
Combien de temps prend l'ensemble du processus ?
Pour un domaine simple avec un seul fournisseur de courriel, vous pouvez atteindre p=reject en quelques semaines. Pour une organisation avec de nombreux outils d'envoi, accordez-lui de quatre à huit semaines de surveillance pour que chaque source légitime apparaisse dans les rapports avant de passer à l'application.
Astuce : Gardez les rapports rua activés en permanence, même à p=reject. C'est votre système d'alerte précoce — si un nouvel outil commence à échouer, ou si quelqu'un tente de vous usurper, les rapports le montrent.
Générez et vérifiez votre enregistrement
Utilisez le vérificateur DMARC pour construire le bon enregistrement à chaque étape et confirmer qu'il est en ligne, et la vérification complète du domaine pour confirmer que SPF et DKIM sont solides avant d'appliquer la politique. Nouveau dans ces concepts ? Lisez d'abord SPF, DKIM et DMARC expliqués.