Guide Fournisseur

Configurer DMARC sur OVH

Mis à jour le 30 novembre 2025

Guide pas à pas pour configurer DMARC dans la zone DNS de votre domaine OVH et protéger vos emails contre l'usurpation.

DMARC (Domain-based Message Authentication, Reporting & Conformance) est la dernière couche de protection de votre authentification email. Il indique aux serveurs destinataires comment traiter les emails qui échouent aux vérifications SPF ou DKIM.

Chez OVH, la configuration DMARC se fait manuellement dans la zone DNS de votre domaine. Ce guide vous accompagne étape par étape, de la vérification des prérequis jusqu'à la mise en place d'une politique de rejet complète.

Objectif : protéger votre domaine contre le spoofing, améliorer votre délivrabilité et recevoir des rapports sur les tentatives d'usurpation de votre identité.

1Prérequis : SPF et DKIM

Important : configurez SPF et DKIM avant DMARC

DMARC s'appuie sur SPF et DKIM pour fonctionner. Si ces enregistrements ne sont pas correctement configurés, une politique DMARC stricte bloquera vos propres emails légitimes.

Configurer SPF sur OVHConfigurer DKIM sur OVH

Checklist avant de continuer :

  • Enregistrement SPF configuré et validé
  • DKIM activé sur votre offre email OVH
  • Tests d'envoi réussis (emails arrivent en inbox)

2Accéder à la zone DNS OVH

1

Connectez-vous à l'espace client OVH

Rendez-vous sur ovh.com/manager

2

Accédez à la section Web Cloud

Dans le menu de gauche, cliquez sur Web Cloud puis Noms de domaine

3

Sélectionnez votre domaine

Cliquez sur le domaine à configurer, puis sur l'onglet Zone DNS

3Créer l'enregistrement DMARC

1

Cliquez sur "Ajouter une entrée"

En haut à droite de la zone DNS, cliquez sur le bouton pour ajouter un nouvel enregistrement

2

Sélectionnez le type TXT

Dans la liste des types d'enregistrement, choisissez TXT

3

Configurez l'enregistrement

Sous-domaine :

_dmarc

TTL :

3600 (ou par défaut)

Valeur :

v=DMARC1; p=quarantine; rua=mailto:dmarc@votredomaine.fr
4

Validez et patientez

Cliquez sur Suivant puis Valider. La propagation DNS peut prendre jusqu'à 24h.

N'oubliez pas : remplacez dmarc@votredomaine.fr par une vraie adresse email de votre domaine pour recevoir les rapports DMARC.

4Stratégie progressive : none → quarantine → reject

Ne passez jamais directement à p=reject. Adoptez une approche progressive pour éviter de bloquer vos propres emails légitimes.

Semaine 1-2 : p=none (Monitoring)

Commencez par observer sans affecter la livraison. Analysez les rapports pour identifier les sources d'envoi légitimes.

v=DMARC1; p=none; rua=mailto:dmarc@votredomaine.fr

Semaine 3-4 : p=quarantine (Test)

Les emails non conformes vont en spam. Vérifiez que vos emails légitimes passent toujours.

v=DMARC1; p=quarantine; rua=mailto:dmarc@votredomaine.fr

Après 1 mois : p=reject (Protection maximale)

Les emails non conformes sont rejetés. Protection complète contre l'usurpation de votre domaine.

v=DMARC1; p=reject; rua=mailto:dmarc@votredomaine.fr

5Lire les rapports DMARC

Les rapports DMARC (fichiers XML) sont envoyés quotidiennement à l'adresse définie dans le tag rua=. Ils contiennent des informations précieuses sur tous les emails envoyés depuis votre domaine.

Ces rapports révèlent les sources d'envoi (IPs, serveurs), les résultats SPF/DKIM pour chaque source, et les tentatives de spoofing sur votre domaine.

Outils gratuits pour analyser vos rapports

  • DMARC Analyzer - Interface visuelle pour comprendre vos rapports
  • Postmark DMARC - Rapports hebdomadaires simplifiés gratuits
  • DMARCian - Version gratuite pour petits volumes

Sans ces outils, les rapports XML bruts sont difficiles à interpréter. Utilisez au moins un service gratuit.

Ce que révèlent les rapports

Si vous voyez des IPs inconnues envoyant des emails depuis votre domaine avec des échecs SPF/DKIM, c'est une tentative de spoofing. Une politique p=reject bloquera ces emails frauduleux.

Erreurs courantes à éviter

Passer directement à p=reject

Sans phase de monitoring, vous risquez de bloquer vos newsletters, outils marketing ou autres services légitimes.

Oublier le sous-domaine _dmarc

L'enregistrement doit être créé sur _dmarc.votredomaine.fr, pas à la racine du domaine.

Email rua invalide

L'adresse email dans rua=mailto: doit exister et pouvoir recevoir des emails. Testez-la avant.

Ne pas lire les rapports

Les rapports révèlent les problèmes. Sans les analyser, vous ne saurez pas si vos services tiers sont bien authentifiés.

Vérifiez votre configuration DMARC

Notre outil analyse votre enregistrement DMARC et vérifie qu'il est correctement configuré.

Tester mon domaine gratuitement
Guide DMARC complet →Cold Email OVH →Guide SPF OVH →Guide DKIM OVH →Tous les guides →