Comment configurer DMARC pour protéger votre domaine

DMARC (Domain-based Message Authentication, Reporting and Conformance) est un protocole d’authentification email qui protège votre domaine contre le spoofing et le phishing. Dans ce guide, nous allons voir comment le configurer correctement.

Pourquoi DMARC est indispensable

Sans DMARC, n’importe qui peut envoyer des emails en se faisant passer pour votre domaine. Les conséquences sont multiples :

• Phishing : des acteurs malveillants peuvent usurper votre identité
• Réputation dégradée : les FAI peuvent pénaliser votre domaine
• Perte de confiance : vos destinataires ne savent plus quels emails sont légitimes

Selon le FBI, les escroqueries par compromission d’emails professionnels (BEC), dont beaucoup exploitent l’absence de DMARC, ont causé plus de 2,7 milliards de dollars de pertes en 2022.

Comprendre la syntaxe DMARC

Un enregistrement DMARC est un record DNS TXT placé sur _dmarc.votredomaine.com. Voici un exemple :

v=DMARC1; p=reject; rua=mailto:dmarc@votredomaine.com; pct=100; adkim=s; aspf=s

Les paramètres clés

Comment fonctionne l’alignement

DMARC ne vérifie pas seulement si SPF ou DKIM passent, il contrôle aussi l’alignement. Le domaine dans l’en-tête From: doit correspondre au domaine utilisé par SPF (le Return-Path) ou DKIM (le tag d=).

• Alignement strict (s) : correspondance exacte requise, mail.example.com ≠ example.com
• Alignement relaxed (r) : le domaine organisationnel suffit, mail.example.com ≈ example.com

C’est pourquoi un email peut passer SPF et DKIM mais échouer DMARC, les domaines ne sont pas alignés.

Mise en place étape par étape

1. Commencez par p=none

Déployez d’abord DMARC en mode observation pour collecter des rapports sans impacter la délivrance :

v=DMARC1; p=none; rua=mailto:dmarc@votredomaine.com

Vous pouvez utiliser Sender Audit comme destination RUA, vos rapports DMARC seront analysés et visualisés automatiquement.

Besoin d’aide ? Utilisez notre DMARC Generator gratuit pour construire votre record en quelques clics.

2. Analysez les rapports RUA

Les rapports agrégés (RUA) vous montrent qui envoie des emails avec votre domaine. Consultez votre tableau de bord DMARC pour voir :

• Quelles IP envoient en votre nom
• Si elles passent SPF et DKIM
• Le volume de messages alignés vs. non alignés

Vous pouvez aussi vérifier votre enregistrement DMARC actuel avec notre DMARC Checker gratuit.

3. Passez progressivement à quarantine puis reject

Une fois que vous avez identifié et authentifié toutes les sources légitimes :

v=DMARC1; p=quarantine; rua=mailto:dmarc@votredomaine.com; pct=50

Puis, quand vous êtes confiant :

v=DMARC1; p=reject; rua=mailto:dmarc@votredomaine.com; pct=100

Erreurs courantes à éviter

1. Passer directement à p=reject sans période d’observation, vous risquez de bloquer vos propres emails
2. Oublier le tag rua, sans rapports, vous naviguez à l’aveugle
3. Ne pas aligner SPF et DKIM, DMARC dépend de l’alignement des domaines, pas seulement de la validation
4. Ignorer les sous-domaines, ajoutez sp=reject pour protéger aussi *.votredomaine.com
5. N’utiliser que SPF, SPF seul casse avec le forwarding ; associez-le toujours à DKIM

DMARC et vos autres enregistrements

DMARC fonctionne conjointement avec deux autres protocoles :

• SPF, définit quels serveurs peuvent envoyer pour votre domaine
• DKIM, ajoute une signature cryptographique prouvant que l’email n’a pas été altéré

Les trois sont nécessaires pour une protection maximale. Vous pouvez vérifier l’ensemble avec un audit gratuit.

Vérifiez votre configuration

Rendez-vous sur Sender Audit pour lancer un audit gratuit de votre domaine. Vous obtiendrez un score détaillé de votre configuration DMARC, SPF, DKIM et plus encore. Utilisez aussi nos outils spécialisés :

• SPF Checker
• DKIM Checker
• DMARC Checker
• BIMI Checker
• DMARC Generator, créez votre record DMARC
• SPF Generator, construisez votre record SPF

Vous avez des questions ? Rejoignez-nous sur Matrix pour en discuter.