Pourquoi chaque domaine a besoin de DMARC
Dans le paysage actuel de la sécurité e-mail, ne pas avoir d'enregistrement DMARC revient à laisser la porte ouverte aux attaquants. Google, Yahoo et Apple ont rendu l'authentification e-mail obligatoire pour les expéditeurs en masse en 2024, mais même pour les domaines à faible volume, DMARC est devenu un prérequis fondamental pour la délivrabilité. Sans DMARC, les e-mails envoyés depuis votre domaine sont traités avec une plus grande suspicion par les serveurs récepteurs, augmentant la probabilité qu'ils finissent dans le spam.
Notre Générateur DMARC simplifie la création de l'enregistrement en éliminant la nécessité de mémoriser la syntaxe. Il suffit de sélectionner les options souhaitées — politique, adresse e-mail pour les rapports, paramètres d'alignement — et l'outil génère l'enregistrement TXT prêt à copier-coller dans votre panneau DNS. Mais avant de générer l'enregistrement, il est fondamental de comprendre chaque paramètre et ses implications.
Les paramètres DMARC expliqués
Le paramètre pct est particulièrement utile lors du déploiement : il permet d'appliquer la politique à seulement un pourcentage des e-mails. Avec pct=25, seuls 25 % des e-mails non authentifiés sont traités selon la politique (quarantine ou reject), tandis que 75 % sont traités comme avec p=none. Cela permet un déploiement progressif et sûr : commencez avec pct=10, surveillez les rapports, augmentez à 25, 50, 75 puis enfin 100.
Processus de mise en œuvre DMARC
Avant de générer l'enregistrement DMARC, vérifiez que les fondations sont solides. Utilisez SPF Lookup pour confirmer que l'enregistrement SPF est valide et couvre tous les services qui envoient des e-mails en votre nom. Vérifiez DKIM pour chaque service qui le prend en charge. Ce n'est qu'après avoir confirmé que l'authentification fonctionne que vous pouvez procéder avec DMARC.
Le processus recommandé comporte quatre phases : Semaine 1-2, générez un enregistrement avec p=none et rua pour commencer à collecter des données. Semaine 3-4, analysez les rapports et corrigez les éventuels problèmes d'authentification. Mois 2, passez à p=quarantine avec pct=25 et augmentez progressivement. Mois 3+, lorsque les rapports confirment que tous les e-mails légitimes passent l'authentification, activez p=reject avec pct=100.
Erreurs courantes dans la configuration DMARC
L'erreur la plus fréquente est de sauter la phase de surveillance et d'activer directement p=reject. Cela peut bloquer des e-mails légitimes provenant de services tiers (CRM, newsletter, facturation) qui ne sont pas couverts par SPF ou DKIM. Une autre erreur est de ne pas spécifier rua : sans rapports agrégés, vous naviguez à l'aveugle et ne pouvez pas savoir si des e-mails légitimes sont bloqués par votre politique.
Attention également à l'alignement : avec aspf=s (strict), le domaine dans le Return-Path doit correspondre exactement au domaine dans le From. Les services tiers qui utilisent leur propre domaine dans le Return-Path échoueront à l'alignement strict. Utilisez relaxed (r) sauf si vous avez des exigences de sécurité spécifiques nécessitant le mode strict. Il en va de même pour adkim : relaxed permet aux sous-domaines de s'aligner, strict exige une correspondance exacte.
Une erreur technique courante est d'insérer l'enregistrement TXT avec un mauvais nom d'hôte. L'enregistrement DMARC doit se trouver exactement sur _dmarc.votredomaine.com, pas à la racine du domaine ni sur dmarc.votredomaine.com (sans le tiret bas). Vérifiez avec notre DMARC Lookup que l'enregistrement est visible et syntaxiquement correct après le déploiement. La propagation DNS prend généralement de quelques minutes à quelques heures.