Email · Authentification Technique Obligatoire Gmail / Yahoo / Microsoft Mis à jour · Avril 2026

DMARC

Signification : Domain-based Message Authentication, Reporting and Conformance
En une phrase — DMARC est un protocole qui empêche les attaquants d'envoyer des emails en usurpant votre nom de domaine, en indiquant aux serveurs destinataires comment traiter les messages qui échouent aux vérifications SPF et DKIM.
Année de création
2012 (RFC 7489)
Dépendances
Repose sur SPF et DKIM
Politiques
none · quarantine · reject
Rapports
Agrégés (RUA) et forensiques (RUF) par email
Obligation
Gmail, Yahoo (2024), Microsoft (2025) pour expéditeurs volume

01 — DéfinitionQu'est-ce que DMARC ?

DMARC, pour Domain-based Message Authentication, Reporting and Conformance, est un protocole d'authentification email qui répond à une question simple : que doit faire un serveur destinataire lorsqu'il reçoit un message prétendant venir de votre domaine mais qui échoue aux vérifications ?

Sans DMARC, la réponse est laissée à la discrétion du serveur destinataire : dans le meilleur des cas il marque le message en spam, dans le pire il le délivre normalement. Avec DMARC publié sur votre domaine, vous dictez explicitement la politique : none (ne rien faire de spécial, juste me rapporter), quarantine (mettre en spam) ou reject (rejeter purement et simplement).

DMARC protège deux choses : vos destinataires contre les emails frauduleux qui usurpent votre nom, et votre marque contre l'érosion de confiance qui suit les campagnes de phishing à votre nom.

Un domaine sans DMARC en mode reject est un domaine que n'importe qui peut utiliser pour envoyer des emails de phishing au nom de votre entreprise. C'est à la fois un risque pour vos clients et une responsabilité pour vous.

02 — TrioSPF, DKIM, DMARC : qui fait quoi

DMARC ne vit pas seul. Il complète et s'appuie sur deux autres protocoles plus anciens : SPF et DKIM.

SPF — liste des serveurs autorisés

SPF (Sender Policy Framework) est un enregistrement DNS qui déclare : « voici la liste des serveurs autorisés à envoyer des emails au nom de mon domaine ». Quand un serveur destinataire reçoit un email prétendument envoyé depuis votre domaine, il vérifie que l'adresse IP d'envoi fait partie de votre liste SPF.

Limite de SPF : il ne vérifie que l'enveloppe (Return-Path), pas l'adresse visible dans le champ From:. Un attaquant peut passer SPF tout en usurpant visuellement votre domaine.

DKIM — signature cryptographique

DKIM (DomainKeys Identified Mail) ajoute une signature cryptographique à chaque email. Le serveur destinataire vérifie cette signature contre une clé publique publiée dans votre DNS. Si la signature est valide, le message n'a pas été modifié en transit et provient bien d'un serveur qui détient la clé privée correspondante.

Limite de DKIM : si vous n'avez pas signé un message et qu'un attaquant en envoie un faux, il n'y a simplement pas de signature à vérifier, pas d'échec détectable.

DMARC — politique et alignement

DMARC relie SPF et DKIM au domaine visible dans le champ From: (celui que voit l'utilisateur). Il exige un alignement : SPF doit passer et l'expéditeur du Return-Path doit correspondre au domaine From, ou DKIM doit passer et la signature doit porter sur le domaine From. Si ni l'un ni l'autre n'est aligné, DMARC considère le message comme frauduleux et applique la politique publiée.

03 — MécaniqueComment ça marche en pratique

Voici ce qui se passe quand un serveur destinataire reçoit un email prétendant venir de votre domaine.

  1. Le serveur vérifie SPF : l'IP d'envoi fait-elle partie des IPs autorisées par votre enregistrement SPF ?
  2. Le serveur vérifie DKIM : la signature cryptographique de l'email est-elle valide au regard de votre clé publique ?
  3. Le serveur vérifie l'alignement DMARC : le domaine utilisé par SPF ou DKIM correspond-il au domaine affiché dans le champ From: ?
  4. Si au moins une des deux vérifications (SPF ou DKIM) passe avec alignement, DMARC est OK : le message est délivré normalement.
  5. Si les deux échouent, le serveur consulte votre politique DMARC (enregistrement _dmarc.votredomaine.fr) et applique l'action demandée : rien, mise en quarantaine, ou rejet.
  6. Indépendamment de l'action, un rapport peut être envoyé à l'adresse que vous avez configurée dans votre enregistrement DMARC (rapport agrégé ou forensique).

Exemple d'enregistrement DMARC minimal :

v=DMARC1; p=none; rua=mailto:dmarc@votredomaine.fr; pct=100; adkim=s; aspf=s;

04 — PolitiquesLes trois modes DMARC

p=none — surveillance

Aucune action sur les messages non alignés : ils sont délivrés comme d'habitude. Vous recevez en revanche les rapports, qui vous permettent de cartographier tous les systèmes qui envoient au nom de votre domaine — légitimes et frauduleux. C'est par là que tout déploiement DMARC commence.

p=quarantine — zone grise

Les messages non alignés sont envoyés en spam. Étape intermédiaire utile pour mesurer l'impact d'un futur reject sans risquer de perdre des emails légitimes mal identifiés. On peut utiliser le paramètre pct= pour n'appliquer la quarantaine qu'à un pourcentage des messages (par exemple pct=25).

p=reject — protection réelle

Les messages non alignés sont refusés au niveau du serveur destinataire, avant même d'arriver dans une boîte. C'est la seule politique qui protège vraiment contre l'usurpation de votre domaine. Les politiques none et quarantine peuvent être ignorées par certains serveurs destinataires ou contournées par les attaquants via des filtres anti-spam permissifs.

Règle d'or : l'objectif final doit toujours être p=reject. Les modes none et quarantine sont des étapes transitoires, pas des destinations.

05 — DéploiementGuide de mise en place

Déployer DMARC correctement suit une séquence bien établie. Brûler les étapes conduit inévitablement à perdre des emails légitimes.

Phase 1 — Pré-requis (2-4 semaines)
  • Publier un enregistrement SPF couvrant tous vos expéditeurs légitimes (Microsoft 365, Google Workspace, ESP marketing, SaaS transactionnels, etc.).
  • Configurer DKIM sur tous vos services d'envoi qui le supportent. Tester la signature effective sur des emails réels.
  • Vérifier l'alignement SPF/DKIM avec le domaine du champ From:.
  • Préparer une adresse email de réception des rapports, idéalement traitée par un outil d'analyse DMARC (Postmark, Valimail, dmarcian, URIports, etc.).
Phase 2 — Monitoring (1-3 mois)
  • Publier v=DMARC1; p=none; rua=mailto:dmarc@votredomaine.fr;
  • Analyser les rapports agrégés hebdomadairement.
  • Identifier et corriger tous les expéditeurs légitimes non alignés.
  • Déployer SPF/DKIM manquants sur les plateformes oubliées.
  • Identifier les sources d'usurpation pour prioriser.
Phase 3 — Durcissement progressif
  • Passage à p=quarantine; pct=25 pendant 2-4 semaines.
  • Montée progressive à pct=100, surveillance continue.
  • Passage à p=reject; pct=25, puis 50, puis 100.
  • Durcir l'alignement avec adkim=s; aspf=s; (strict) plutôt que r; (relaxed) quand possible.
  • Publier la politique sur les sous-domaines (sp=reject).
Phase 4 — Maintenance
  • Surveillance continue des rapports.
  • Chaque nouveau service SaaS d'envoi d'email déclenche une mise à jour SPF/DKIM avant activation.
  • Audit annuel complet.
  • Envisager BIMI pour afficher votre logo dans les boîtes destinataires (nécessite DMARC en reject).

06 — PiègesErreurs fréquentes à éviter

  • Passer en reject trop vite — sans phase de monitoring suffisante, vous bloquez vos newsletters, factures PDF, emails transactionnels d'applications SaaS qui envoient au nom de votre domaine. Certaines entreprises ont perdu des semaines de livraison email en voulant aller trop vite.
  • Oublier un service d'envoi — Typeform, Calendly, HubSpot, Salesforce, Gusto : de nombreux outils envoient au nom de votre domaine. Chaque outil doit être aligné SPF/DKIM.
  • Dépasser la limite de 10 lookups SPF — un SPF qui inclut trop de include: dépasse la limite RFC et tombe en permerror, invalidant toute la vérification. Utiliser un service de SPF flattening si nécessaire.
  • Pas de rapports activés — publier p=reject sans rua= vous prive de visibilité sur les blocages et les tentatives d'usurpation. Les rapports sont l'outil de pilotage indispensable.
  • Alignement relaxed par défautadkim=r; aspf=r; autorise une correspondance par sous-domaine, ce qui ouvre la porte à l'usurpation via un sous-domaine compromis. Préférer s; strict quand possible.
  • Oublier les sous-domaines inutilisés — un domaine non utilisé pour l'email doit publier un DMARC p=reject explicite, sinon un attaquant peut l'exploiter pour du phishing.

07 — RapportsExploiter les rapports DMARC

Les rapports sont la clé d'un déploiement DMARC réussi. Il en existe deux types.

Rapports agrégés (RUA)

Envoyés quotidiennement, sous forme d'un fichier XML. Ils listent les volumes d'emails reçus qui prétendaient venir de votre domaine, ventilés par IP d'envoi, résultat SPF/DKIM et alignement. Le format XML est difficile à lire à la main : passez par un outil dédié.

Rapports forensiques (RUF)

Envoyés ponctuellement à chaque email individuellement bloqué, avec le contenu complet ou partiel du message. Peu de serveurs destinataires les envoient (questions de RGPD) : Gmail et Microsoft ne les envoient pas. À utiliser prudemment.

Outils d'analyse recommandés

  • dmarcian — référence historique, interface claire, tier gratuit généreux.
  • URIports — excellent rapport qualité/prix.
  • Valimail Monitor — gratuit avec enrichissement automatique des sources d'envoi.
  • PowerDMARC, EasyDMARC, Postmark — autres options solides.

08 — FAQQuestions fréquentes

Gmail et Yahoo l'imposent depuis quand ?

Depuis février 2024, Gmail et Yahoo exigent un DMARC publié (au minimum en p=none) pour tout expéditeur envoyant plus de 5 000 messages par jour. Microsoft a progressivement suivi en 2025. Sans DMARC, vos emails finiront massivement en spam ou seront rejetés.

DMARC bloque-t-il vraiment le phishing ?

Il bloque l'usurpation exacte de votre domaine. Un attaquant ne peut plus envoyer un email depuis noreply@votre-domaine.fr. Il peut en revanche toujours utiliser un domaine ressemblant (votre-domaine-support.fr, votredomaiine.fr), ce qu'on appelle le typosquatting. DMARC est nécessaire mais pas suffisant.

Qu'est-ce que BIMI ?

BIMI (Brand Indicators for Message Identification) est un standard qui permet d'afficher votre logo à côté de vos emails dans les boîtes de réception compatibles (Gmail, Yahoo, Apple Mail). BIMI nécessite un DMARC en p=reject. C'est à la fois un bonus marketing (visibilité) et sécuritaire (les utilisateurs identifient plus facilement les emails légitimes).

Combien ça coûte ?

DMARC en lui-même est gratuit : c'est un enregistrement DNS. Les services d'analyse des rapports vont de gratuit (tier free de dmarcian, Valimail Monitor) à quelques centaines d'euros par mois selon le volume et les fonctionnalités pour les entreprises. Le vrai coût est le temps humain d'un déploiement propre : compter 5 à 20 jours-homme selon la taille.

NIS2 rend-il DMARC obligatoire ?

NIS2 n'impose pas DMARC nommément, mais l'exigence de mesures appropriées contre l'usurpation d'identité et le phishing rend DMARC de facto incontournable pour les entités essentielles et importantes. Son absence serait difficilement justifiable en audit.