Politique DMARC - Docs MetricSpot

Q: Quelle différence entre `p=quarantine` et `p=reject` ?

- quarantine — le mail en échec part en spam. Récupérable ; prudent. - reject — le mail en échec est rejeté au serveur destinataire. L'expéditeur (réel ou faux) reçoit un bounce dur. Protection la plus forte, mais si votre SPF/DKIM est mal configuré pour un service légitime, vos clients ne reçoivent plus vos mails. Atteignez toujours p=reject après une période en quarantine avec des rapports propres.

Q: Faut-il aussi SPF et DKIM ?

Oui. DMARC est la couche politique ; SPF et DKIM sont les couches authentification. SPF dit « cette IP peut envoyer pour mon domaine » ; DKIM signe le message cryptographiquement. DMARC dit « si aucun ne s'aligne, rejette le mail ». Les trois sont nécessaires pour que le système fonctionne.

Ce que vérifie ce contrôle

Interroge le DNS pour l’enregistrement TXT _dmarc.<votredomaine> et analyse sa politique. Rapporte la valeur p= (none, quarantine, reject), le pourcentage, les adresses de reporting, et si la politique est appliquée (tout sauf p=none).

Pourquoi c’est important

DMARC (Domain-based Message Authentication, Reporting, and Conformance) indique aux boîtes de réception destinataires — Gmail, Outlook, Yahoo, Apple iCloud — quoi faire quand un email prétend venir de votre domaine mais échoue aux contrôles SPF ou DKIM. Sans politique DMARC, la réponse est « laisser passer » — et votre domaine devient un terrain libre pour les campagnes de phishing.

Depuis février 2024, Google et Yahoo exigent DMARC pour tout expéditeur qui envoie plus de 5 000 emails par jour à leurs utilisateurs. Microsoft a suivi avec une application progressivement plus stricte. Les sites sans DMARC voient leur délivrabilité chuter, leurs clients reçoivent des emails de phishing à leur marque, et la confiance s’érode une fausse facture après l’autre.

Un cas réel : un éditeur SaaS que nous avons audité n’avait pas de DMARC. En trois mois, des attaquants ont usurpé billing@leurdomaine.com dans une campagne de phishing qui a touché ~40 000 boîtes de leurs clients. Le nettoyage a coûté plus cher qu’une décennie de « on verra DMARC plus tard ».

Comment corriger

Publiez un enregistrement TXT _dmarc chez votre fournisseur DNS. La progression :

1. Commencez en mode surveillance (p=none) — collecte des données sans affecter la délivrabilité.

_dmarc.votredomaine.com.   IN   TXT   "v=DMARC1; p=none; rua=mailto:dmarc-reports@votredomaine.com; pct=100"

L’adresse rua= reçoit des rapports XML agrégés de chaque boîte destinataire. Faites-les suivre à un outil qui les analyse — nous recommandons le monitoring DMARC gratuit de Postmark ou Valimail Monitor.

2. Auditez ce qui envoie légitimement.

Les rapports vous disent quelles IP et quels services envoient du mail « en tant que » votre domaine. Attendu : votre fournisseur d’email transactionnel (Resend, Postmark, SendGrid), votre plateforme marketing, possiblement Google Workspace ou Microsoft 365, et votre outil de help-desk. Tout le reste est soit un expéditeur non autorisé, soit une intégration oubliée.

Pour chaque expéditeur légitime, configurez SPF et DKIM — DMARC exige que l’un des deux passe et s’aligne avec l’en-tête From.

3. Passez à quarantine une fois les rapports propres (aucun expéditeur légitime en échec).

_dmarc.votredomaine.com.   IN   TXT   "v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@votredomaine.com; pct=25"

pct=25 n’applique la politique qu’à 25 % du mail en échec — déploiement progressif. Surveillez les rapports, puis montez à 100, puis passez à p=reject.

4. État final : p=reject.

_dmarc.votredomaine.com.   IN   TXT   "v=DMARC1; p=reject; rua=mailto:dmarc-reports@votredomaine.com; ruf=mailto:dmarc-forensics@votredomaine.com; adkim=s; aspf=s"

adkim=s et aspf=s exigent un alignement strict entre l’en-tête From et le domaine SPF/DKIM — coupe les astuces de sous-domaines utilisées par les attaquants.

Configurations courantes :

Email marketing depuis noreply@email.votredomaine.com — configurez une politique DMARC séparée sur le sous-domaine si votre plateforme marketing ne peut pas s’aligner totalement avec l’apex.
Google Workspace — la clé DKIM de Google doit être dans le DNS ; activez DKIM dans la console d’administration.
Resend / Postmark / SendGrid — chacun fournit un modèle DNS à coller ; DMARC fonctionne une fois leur DKIM en place.

Vérifiez votre enregistrement :

dig +short TXT _dmarc.votredomaine.com
# v=DMARC1; p=reject; rua=mailto:dmarc-reports@votredomaine.com; adkim=s; aspf=s

Ou utilisez le checker DMARC de Mail Tester pour une vérification rapide.

Associez ceci aux bases HTTPS — HTTPS, activer HSTS — pour une base complète sécurité email + transport.

Questions fréquentes

Quelle différence entre `p=quarantine` et `p=reject` ?

quarantine — le mail en échec part en spam. Récupérable ; prudent.
reject — le mail en échec est rejeté au serveur destinataire. L’expéditeur (réel ou faux) reçoit un bounce dur. Protection la plus forte, mais si votre SPF/DKIM est mal configuré pour un service légitime, vos clients ne reçoivent plus vos mails. Atteignez toujours p=reject après une période en quarantine avec des rapports propres.

Faut-il aussi SPF et DKIM ?

Oui. DMARC est la couche politique ; SPF et DKIM sont les couches authentification. SPF dit « cette IP peut envoyer pour mon domaine » ; DKIM signe le message cryptographiquement. DMARC dit « si aucun ne s’aligne, rejette le mail ». Les trois sont nécessaires pour que le système fonctionne.

Mon domaine n’envoie pas d’email. Ai-je quand même besoin de DMARC ?

Oui — une politique DMARC « parking » empêche les attaquants d’usurper votre domaine inutilisé :

_dmarc.votredomaine.com.   IN   TXT   "v=DMARC1; p=reject; rua=mailto:dmarc-reports@votredomaine.com"

Associez à un enregistrement SPF qui n’autorise rien :

votredomaine.com.   IN   TXT   "v=spf1 -all"

Désormais, aucune IP sur Terre ne peut envoyer du mail en prétendant être votre domaine.