DMARC — Domain-based Message Authentication

Catégorie : Avant d'activer les services de filtrage | Protocole : DNS / Email


DMARC (Domain-based Message Authentication, Reporting and Conformance) est un protocole qui s'appuie sur SPF et DKIM pour indiquer aux serveurs destinataires comment traiter les emails qui échouent à l'authentification. Il protège contre l'usurpation d'identité et le phishing.

e-securemail propose la collecte de rapport DMARC afin de visualiser les authentifications réussites ou échouées. 

I — Collecte DMARC avec e-securemail

Depuis votre console, accédez à Rapports > DMARC pour générer votre enregistrement. Ajoutez-le ensuite dans votre zone DNS :

Paramètre Valeur
Nom _dmarc
TTL 3600
Type TXT
Valeur (exemple) v=DMARC1; p=none; rua=mailto:dmarc@secuserve.com

II — Les trois politiques DMARC

Politique Enregistrement DNS Effet
none v=DMARC1; p=none Surveillance uniquement — aucune action sur les emails
quarantine v=DMARC1; p=quarantine Les emails suspects sont mis en dossier spam/quarantaine
reject v=DMARC1; p=reject Les emails suspects sont rejetés avant livraison

💡 Recommandation : Commencez par p=none pour analyser les rapports DMARC sans risque, puis passez progressivement à quarantine puis reject.

III — Comment fonctionne DMARC ?

  1. Le serveur destinataire vérifie SPF et DKIM
  2. Il contrôle l'alignement : le domaine SPF/DKIM doit correspondre au domaine de l'adresse From
  3. Si l'un des deux échoue, la politique DMARC s'applique (none / quarantine / reject)
  4. Des rapports agrégés sont envoyés à l'adresse rua définie dans l'enregistrement

IV — Paramètres avancés

_dmarc.votre-domaine.com 3600 IN TXT "v=DMARC1; p=reject; pct=100; rua=mailto:dmarc@secuserve.com"
Paramètre Description
p Politique : none, quarantine ou reject
pct Pourcentage des emails concernés (100 = tous)
rua Adresse de réception des rapports agrégés
ruf Adresse de réception des rapports forensiques (optionnel)
sp Politique pour les sous-domaines (si différente)