Guide explicatif

Qu'est-ce que DMARC ?

DMARC est le chef d'orchestre de l'authentification email. Découvrez comment il lie SPF et DKIM pour protéger votre domaine.

Définition rapide

DMARC (Domain-based Message Authentication, Reporting and Conformance) est un protocole d'authentification email qui vérifie que les emails passent les contrôles SPF et DKIM, puis indique aux serveurs destinataires comment traiter les emails qui échouent : les accepter, les mettre en spam ou les rejeter.

Pourquoi DMARC est essentiel

Imaginez que quelqu'un envoie des emails en se faisant passer pour votre entreprise. Sans protection, vos clients pourraient recevoir des emails frauduleux qui semblent venir de vous. C'est ce qu'on appelle le spoofing ou usurpation d'identité email.

DMARC est la solution à ce problème. C'est le protocole qui permet de dire aux serveurs de messagerie : "Voici comment vérifier que mes emails sont vraiment de moi, et voici ce que vous devez faire si un email prétend venir de moi mais échoue aux vérifications."

Concrètement, DMARC protège votre réputation de domaine, améliore votre délivrabilité, et vous donne une visibilité sur qui envoie des emails en votre nom. C'est devenu un standard incontournable pour toute entreprise qui prend l'email au sérieux.

Comment fonctionne DMARC

DMARC ne fonctionne pas seul. Il s'appuie sur deux protocoles existants : SPF (Sender Policy Framework) qui vérifie que le serveur d'envoi est autorisé, et DKIM (DomainKeys Identified Mail) qui signe cryptographiquement chaque email.

Quand un serveur destinataire (Gmail, Outlook, etc.) reçoit un email de votre domaine, il effectue une série de vérifications :

  1. Vérification SPF : L'email vient-il d'un serveur autorisé dans votre enregistrement DNS ?
  2. Vérification DKIM : La signature cryptographique de l'email est-elle valide ?
  3. Alignement DMARC : Le domaine utilisé dans le "From" correspond-il aux domaines SPF/DKIM ?

Si l'email passe au moins une vérification (SPF ou DKIM) avec un alignement correct, DMARC le considère comme authentique. Sinon, DMARC consulte votre politique pour savoir quoi faire : laisser passer, mettre en spam, ou rejeter.

DMARC vous envoie également des rapports (à l'adresse email que vous configurez) qui détaillent tous les emails envoyés depuis votre domaine, qu'ils soient légitimes ou non. C'est précieux pour détecter les tentatives d'usurpation.

L'analogie du vigile

Pour mieux comprendre, imaginez que votre domaine est un immeuble de bureaux sécurisé. SPF est la liste des employés autorisés à entrer. DKIM est le badge d'identification avec photo.

DMARC, lui, c'est le vigile à l'entrée. Il vérifie deux choses : "Votre nom est-il sur la liste ?" (SPF) et "Votre badge correspond-il à votre visage ?" (DKIM).

Et surtout, DMARC a des instructions claires sur quoi faire en cas de problème : laisser entrer quand même (politique "none"), envoyer vers une salle d'attente (quarantine), ou refuser l'entrée (reject). Sans DMARC, le vigile ne sait pas quoi faire des cas douteux.

Les 3 politiques DMARC

Votre enregistrement DMARC contient une politique (paramètre "p=") qui indique aux serveurs comment traiter les emails qui échouent aux vérifications :

p=none (surveillance)

Les emails non authentifiés sont livrés normalement, mais vous recevez des rapports. C'est le mode "observation" pour commencer sans risque de bloquer des emails légitimes.

p=quarantine (prudence)

Les emails non authentifiés sont envoyés en spam ou dossier indésirable. Le destinataire peut encore les retrouver s'il le souhaite.

p=reject (protection maximale)

Les emails non authentifiés sont purement et simplement rejetés. C'est la politique la plus sécurisée, recommandée une fois que vous êtes certain que tous vos flux email légitimes sont bien configurés.

Pourquoi c'est obligatoire depuis 2024

En février 2024, Google et Yahoo ont rendu DMARC obligatoire pour tous les expéditeurs envoyant plus de 5 000 emails par jour. Mais en pratique, même les petits expéditeurs sont impactés.

Les exigences sont claires : tout domaine envoyant des emails vers Gmail ou Yahoo doit avoir un enregistrement DMARC valide. Sans cela, vos emails risquent d'être systématiquement filtrés ou rejetés. Pour le cold email et l'email marketing, c'est désormais non négociable.

Cette évolution reflète une tendance de fond : les fournisseurs de messagerie durcissent leurs filtres pour lutter contre le phishing et le spam. Les entreprises qui ne s'adaptent pas voient leur délivrabilité chuter. Configurer DMARC n'est plus optionnel, c'est une nécessité pour votre infrastructure email.

Comment mettre en place DMARC

La mise en place de DMARC se fait en ajoutant un enregistrement TXT dans vos DNS. Voici les étapes recommandées :

  1. Vérifiez d'abord que SPF et DKIM sont correctement configurés
  2. Commencez avec une politique "none" pour collecter des rapports sans risque
  3. Analysez les rapports pour identifier tous vos flux email légitimes
  4. Passez progressivement à "quarantine" puis "reject"

Pour un guide technique complet avec les exemples d'enregistrements DNS, consultez notre Guide DMARC détaillé.

Vérifiez votre DMARC maintenant

Analysez votre configuration DMARC, SPF et DKIM en quelques secondes.

Analyser mon domaine gratuitement
Guide DMARC technique →Guide SPF →Guide DKIM →Infrastructure Cold Email →