Comment créer un enregistrement DMARC ?

DMARC contribue à protéger votre domaine contre les abus, tels que l’usurpation d’identité et le phishing. Il travaille avec SPF et DKIM pour garantir la légitimité des e-mails envoyés depuis votre domaine. Cela améliore la délivrabilité globale, ce qui peut être très utile lors de l’envoi de newsletters, par exemple.

Ce guide explique comment ajouter un enregistrement DMARC de base dans vos paramètres DNS et explique quelle politique choisir.

Qu’est-ce que DMARC ?

DMARC (Domain-based Message Authentication, Reporting & Conformance) indique aux serveurs de réception comment gérer les e-mails qui échouent aux contrôles SPF et DKIM. Cela permet d’éviter que d’autres n’envoient des e-mails en se faisant passer pour votre domaine.

DMARC vous permet également de recevoir des rapports sur l’activité de messagerie de votre domaine, afin que vous puissiez surveiller et améliorer la sécurité de votre messagerie.

  • SPF vérifie si un e-mail a été envoyé à l’aide de serveurs approuvés.
  • DKIM ajoute une signature numérique aux e-mails, ce qui permet aux serveurs de réception de vérifier l’e-mail.
  • DMARC définit une politique de gestion des e-mails qui échouent aux vérifications SPF ou DKIM.

Pour que DMARC fonctionne correctement, votre domaine doit déjà avoir :

  • Un enregistrement SPF
  • DKIM activé pour votre service de messagerie

DKIM est activé par défaut pour les e-mails envoyés depuis nos serveurs, et vous pouvez consulter notre guide sur l’activation du SPF.

Remarque : DMARC n’a d’effet que sur l’envoi d’emails. Il n’affecte pas les spams que vous recevez dans votre propre boîte de réception. Cependant, si tous les comptes de messagerie mettent en œuvre ces méthodes de validation, en théorie, l’usurpation d’identité ne serait plus possible.

Politiques DMARC expliquées

Une politique DMARC contrôle ce qui se passe pour les e-mails qui échouent à la vérification DMARC. Lorsque vous créez un enregistrement DMARC, vous devez choisir une politique :

  • aucun - Surveillance uniquement. Aucun e-mail n’est bloqué. 
  • quarantaine - Les e-mails échoués sont marqués comme suspects et souvent déplacés vers les spams.
  • rejeter - Les e-mails échoués sont complètement bloqués.

Vous pouvez modifier votre politique DMARC à tout moment. Une approche courante consiste à commencer par « aucun », puis à passer en « quarantaine » et enfin à « rejeter ». Cela vous permet d’abord de surveiller comment votre domaine est utilisé, puis de tester l’impact du filtrage, et de ne bloquer les e-mails non authentifiés qu’une fois que tout fonctionne comme prévu.

Si vous souhaitez suivre ce processus, nous vous recommandons vivement d’utiliser un service de reporting externe (payant) pour vous aider à analyser les rapports, tel que Dmarcian, EasyDMARC ou DMARCLY.

Si vous souhaitez simplement activer DMARC sans analyser les rapports, nous vous recommandons de mettre la politique en « quarantaine ». Cela marque les e-mails non authentifiés comme suspects ou les envoie dans le dossier spam, ce qui améliore considérablement la sécurité de votre messagerie.

Remarque : le domaine .ch ne permet pas de définir la politique DMARC sur 'none'.

Rapports par E-mail DMARC

Lorsque vous créez un enregistrement DMARC, vous devez également saisir une adresse e-mail pour recevoir les rapports DMARC. Ces rapports sont envoyés au format XML et contiennent un aperçu de tout le trafic de messagerie qui prétend provenir de votre domaine, y compris les e-mails qui passent ou échouent à la vérification DMARC.

Il existe deux types de rapports :

  • Rapports RUA - Envoyés quotidiennement et contiennent un résumé de toute l’activité e-mail pour votre domaine, y compris les adresses IP et les résultats d’authentification.
  • Rapports RUF - Envoyés uniquement lorsqu’un courriel échoue à DMARC. Ils comprennent des informations détaillées telles que l’en-tête du message et des parties de l’e-mail original.

La plupart des utilisateurs bénéficient de ne recevoir que des rapports RUA, car ils contiennent toutes les informations nécessaires à la surveillance. Les rapports RUF sont facultatifs et principalement utiles pour un dépannage avancé.

Remarque : Tous les fournisseurs de services de messagerie n’envoient pas de rapports DMARC, il est donc normal que certains courriels n’apparaissent pas dans vos données.

Créez un enregistrement DMARC sur votre domaine

Avant de commencer

Nous vous recommandons de créer un compte e-mail sur votre domaine dédié à la réception de ces rapports, par exemple : dmarc-reports@yourdomain.com. Cela permet de séparer vos rapports et de les gérer plus facilement.


Ajouter l'enregistrement DMARC

Cela active DMARC en mode surveillance et vous envoie des rapports RUA quotidiens avec un aperçu de l'activité de messagerie de votre domaine.
  1. Connectez-vous à votre one.com panneau de contrôle one.com.
  2. Accédez à la tuile Paramètres avancés et cliquez sur Paramètres DNS.
  3. Allez dans Enregistrements DNS , cliquez sur Créer un nouvel enregistrement
  4. Choisissez TXT comme type d'enregistrement.
  5. Entrez les valeurs suivantes :
    - Nom d'hôte : _dmarc
    - Valeur : Entrez le texte ci-dessous et remplacez le nom de la politique par la politique de votre choix et une adresse e-mail par l'adresse e-mail de votre choix :
    v=DMARC1; p=policy name; rua=mailto:an-email-address
    - TTL : Laissez ce champ vide pour utiliser la valeur par défaut de 3600 secondes, sauf si vous avez besoin d'une valeur spécifique.
  6. Cliquez sur Créer un enregistrement pour enregistrer vos paramètres.
    Les modifications prennent généralement effet en quelques minutes.

Pour vérifier si l’enregistrement est correctement configuré, vous pouvez utiliser un DMARC record checker.

Optionnel : Ajoutez RUF à votre enregistrement DMARC

Si vous souhaitez des rapports plus détaillés sur les e-mails individuels qui échouent à DMARC, vous pouvez ajouter la balise ruf facultative. Ces rapports « judiciaires » peuvent inclure des en-têtes de message et, dans certains cas, des parties de l’e-mail original. Ils sont principalement utiles pour un dépannage avancé.

Si vous choisissez d’ajouter RUF, nous vous recommandons d’utiliser la même boîte aux lettres dédiée :

v=DMARC1; p=policy name; rua=mailto:an-email-address; ruf=mailto:an-email-address


Renforcez votre politique

Après avoir examiné vos rapports et confirmé que l’e-mail légitime est correctement authentifié, vous pouvez progressivement durcir votre politique DMARC. 

Commencez par p=aucun, puis passez à p=quarantaine et enfin à p=rejeter.

Exemple :

Dans cet exemple, nous configurons DMARC sur le domaine one-example.com. Nous avons choisi la quarantaine comme politique et avons saisi dmarc-reports@one-example.com comme adresse e-mail pour les rapports RUA et RUF.

La capture d’écran montre un exemple d’ajout d’un enregistrement TXT pour DMARC dans l’administration DNS.

Articles liés :

Cet article vous a-t-il été utile ?

Vous ne trouvez pas ce que vous cherchez ?

Commencez une conversation

Le moyen le plus rapide de nous contacter – en semaine de 09h00 à 16h00.

Commencer la conversation