Qu'est-ce qu'un enregistrement DMARC ?
DMARC (Domain-based Message Authentication, Reporting and Conformance) est un protocole d'authentification email publié sous forme d'enregistrement DNS TXT à l'adresse _dmarc.votredomaine.com. Il s'appuie sur SPF et DKIM pour indiquer aux serveurs de réception la conduite à tenir lorsque des emails échouent aux vérifications d'authentification : surveiller (p=none), mettre en quarantaine (p=quarantine) ou rejeter (p=reject).
L'enregistrement DMARC contient des tags (étiquettes) qui définissent la politique, les modes d'alignement et les adresses de rapport. Par exemple : v=DMARC1; p=reject; rua=mailto:[email protected]; adkim=r; aspf=r. DMARC active également les rapports agrégés et forensiques, permettant aux propriétaires de domaine de surveiller les résultats d'authentification et d'identifier les tentatives d'usurpation.
Notre vérificateur DMARC analyse en profondeur votre enregistrement DMARC avec 11 vérifications automatiques. Utilisez-le en complément de notre SPF Checker et DKIM Checker pour valider l'ensemble de votre chaîne d'authentification email.
Comment vérifier un enregistrement DMARC
Il existe trois méthodes pour vérifier un enregistrement DMARC. La plus simple est d'utiliser notre vérificateur DMARC en ligne : entrez un nom de domaine, cliquez sur « Check DMARC » et obtenez une analyse complète en quelques secondes avec 11 vérifications, l'analyse de politique, la vérification d'alignement et la validation des URI de rapport.
En ligne de commande, utilisez nslookup -type=txt _dmarc.example.com sous Windows ou dig _dmarc.example.com TXT +short sous Mac/Linux. L'enregistrement DMARC est toujours publié au sous-domaine _dmarc du domaine vérifié. Cette méthode affiche l'enregistrement brut mais ne valide ni les tags, ni la cohérence de la politique.
La troisième méthode consiste à analyser les en-têtes email. L'en-tête Authentication-Results contient le résultat DMARC (pass, fail, none). Notre Email Header Analyzer vous aide à interpréter ces en-têtes. Pour vérifier votre configuration SPF en amont, utilisez notre SPF Checker.
Tags DMARC — Référence complète
L'enregistrement DMARC utilise des tags pour définir la politique, les modes d'alignement et les paramètres de rapport. Comprendre chaque tag est essentiel pour configurer une politique DMARC efficace qui protège votre domaine sans bloquer les emails légitimes.
Notre vérificateur exécute 11 vérifications de validation couvrant la syntaxe, la politique, l'alignement, les rapports et les bonnes pratiques. Voici les trois politiques principales et le détail de nos vérifications.
DMARC Record Found — vérifie l'existence d'un enregistrement TXT à _dmarc.domain.com commençant par v=DMARC1
Valid DMARC Syntax — analyse la syntaxe complète de l'enregistrement et détecte les tags invalides
Policy Tag (p=) — vérifie la présence du tag de politique obligatoire (none, quarantine, reject)
Policy Strength — évalue la force de la politique et recommande quarantine ou reject pour la protection
DKIM Alignment (adkim=) — vérifie le mode d'alignement DKIM (relaxed ou strict)
SPF Alignment (aspf=) — vérifie le mode d'alignement SPF (relaxed ou strict)
Aggregate Report URI (rua=) — valide la présence et le format des adresses de rapports agrégés
Forensic Report URI (ruf=) — vérifie les adresses de rapports forensiques (optionnel)
Subdomain Policy (sp=) — analyse la politique spécifique aux sous-domaines si définie
Percentage Tag (pct=) — vérifie le pourcentage d'emails soumis à la politique DMARC
Report Format (rf=) — vérifie le format de rapport spécifié (afrf par défaut)
p=none (Surveillance)
Aucune action sur les emails échouant DMARC. Les rapports sont collectés pour identifier toutes les sources d'envoi légitimes. Politique recommandée lors du déploiement initial de DMARC pour éviter de bloquer des emails légitimes.
p=quarantine (Quarantaine)
Les emails échouant DMARC sont placés dans le dossier spam du destinataire. Politique intermédiaire à adopter après avoir vérifié que toutes les sources légitimes passent SPF et DKIM. Requise pour activer BIMI.
p=reject (Rejet)
Les emails échouant DMARC sont rejetés par le serveur de réception. Protection maximale contre l'usurpation d'identité. Politique recommandée comme objectif final une fois que toutes les sources d'envoi sont correctement authentifiées.
Feuille de route DMARC : du monitoring à l'application
Le déploiement de DMARC doit être progressif pour éviter de bloquer des emails légitimes. Commencez par la surveillance, identifiez toutes les sources d'envoi, puis augmentez progressivement la rigueur de la politique. Ce processus prend généralement 4 à 12 semaines selon la complexité de votre infrastructure email.
Phase 1 — Surveillance (semaines 1-4) : Publiez v=DMARC1; p=none; rua=mailto:[email protected] et collectez les rapports agrégés. Analysez les rapports pour identifier toutes les sources d'envoi légitimes (serveurs internes, services marketing, CRM, etc.). Assurez-vous que chaque source passe SPF et/ou DKIM avec alignement.
Phase 2 — Quarantaine progressive (semaines 5-8) : Passez à p=quarantine; pct=25 pour appliquer la quarantaine à 25 % des emails non conformes. Augmentez progressivement le pourcentage (50 %, 75 %, 100 %) tout en surveillant les rapports. Si des sources légitimes échouent, corrigez leur configuration SPF/DKIM avant de continuer.
Phase 3 — Rejet (semaines 9-12) : Une fois à p=quarantine; pct=100 sans problèmes, passez à p=reject. Commencez par pct=25 et augmentez progressivement. L'objectif final est p=reject; pct=100 — protection maximale contre l'usurpation d'identité. Continuez à surveiller les rapports rua pour détecter toute anomalie.
DMARC vs SPF vs DKIM
SPF, DKIM et DMARC sont trois protocoles complémentaires qui forment la base de l'authentification email moderne. Chacun protège un aspect différent du processus d'envoi d'email, et les trois sont nécessaires pour une protection complète contre l'usurpation d'identité et le phishing.
SPF vérifie que l'adresse IP du serveur d'envoi est autorisée par le domaine de l'enveloppe (MAIL FROM). Il utilise un enregistrement DNS TXT contenant les mécanismes d'autorisation (include, ip4, ip6, etc.). Utilisez notre SPF Checker pour valider votre enregistrement SPF.
DKIM ajoute une signature cryptographique à chaque email, permettant au serveur de réception de vérifier l'intégrité du message et l'identité du signataire via une clé publique publiée dans le DNS. Utilisez notre DKIM Checker pour vérifier vos enregistrements DKIM.
DMARC unifie SPF et DKIM en vérifiant que le domaine visible dans l'en-tête From correspond au domaine authentifié par SPF ou DKIM (alignement). Il définit la politique à appliquer en cas d'échec et active les rapports pour la surveillance. Sans DMARC, SPF et DKIM seuls ne protègent pas contre l'usurpation de l'en-tête From.
Outils associés
Complétez votre analyse DMARC avec ces outils spécialisés d'authentification email pour sécuriser entièrement votre infrastructure de messagerie.
Analysez votre enregistrement SPF, comptez les lookups DNS, résolvez les chaînes include et vérifiez la conformité RFC 7208 avec 12 vérifications.
Vérifiez vos enregistrements DKIM, détectez automatiquement les sélecteurs, analysez le type et la taille des clés publiques avec 10 vérifications.
Testez la connectivité SMTP de votre serveur de messagerie, vérifiez le support TLS, les capacités d'authentification et les extensions SMTP.
Vérifiez votre enregistrement BIMI pour afficher le logo de votre marque dans les boîtes de réception. Nécessite DMARC p=quarantine ou p=reject.