Plus de 10 000 vérifications DMARC gratuites par jour

Outil gratuit

Générateur d'enregistrement DMARC gratuit

Créez votre enregistrement TXT v=DMARC1 en 60 secondes. Copiez-le, collez-le dans le DNS, terminé.

Standards basis: Conseils basés sur le RFC 9989 pour les enregistrements de politique DMARC, le RFC 9990 pour les rapports agrégés et le RFC 9991 pour les rapports d'échec. Les comportements historiques du RFC 7489 sont signalés lorsqu'ils restent utiles.

Créez un enregistrement TXT DMARC valide pour protéger votre domaine contre l'usurpation et améliorer la délivrabilité des emails. Notre générateur DMARC crée des enregistrements DNS valides avec validation en temps réel.

Sans inscription. Validation en temps réel.

1

Configuration de la politique

Commencez par "none" pour collecter des données sans risquer de perdre des emails. En savoir plus

Utilisez np uniquement si vous voulez une politique séparée pour les noms de sous-domaines qui n'existent pas dans le DNS.

2

Rapports (Où envoyer les données)

Recevez des résumés quotidiens de qui envoie des emails en votre nom. Séparez les adresses multiples par des virgules.

Créez un compte gratuit et nous vous attribuons votre propre adresse de reporting. Collez-la ici comme valeur rua, et nous analysons les rapports quotidiens pour vous.

Utilisez une adresse de reporting DMARCTrust gratuite
3

Alignement avancé (Facultatif)

Enregistrement généré

_dmarc TXT
Enregistrement TXT : _dmarc.[domaine]
v=DMARC1; p=none;

Comment déployer

  1. 1 Connectez-vous à votre fournisseur DNS (GoDaddy, Cloudflare, Namecheap, etc.).
  2. 2 Créez un enregistrement TXT.
  3. 3 Hôte : _dmarc
  4. 4 Valeur : collez l'enregistrement ci-dessus.

Pas encore de rua ? Obtenez une adresse de reporting gratuite et évitez la configuration

Les rapports DMARC arrivent en XML brut, un fichier par destinataire, chaque jour. Nous les collectons à votre adresse de reporting, nous les analysons et nous vous montrons qui envoie au nom de votre domaine et ce qui passe ou échoue. Gratuit pour un domaine.

How DMARC lives in your DNS

An 8-minute walkthrough of the DNS record you just generated.

Exemples d'enregistrements DMARC à copier-coller

Voici à quoi ressemble un enregistrement DMARC fonctionnel. Chaque exemple est un enregistrement complet et valide selon le RFC 9989, la norme DMARC actuelle. Remplacez example.com par votre domaine et l'adresse mailto: par une adresse que vous contrôlez, puis collez l'enregistrement comme enregistrement TXT à _dmarc.votredomaine.com. Pour ce que fait chaque tag, consultez la référence ci-dessous.

Démarrage en surveillance (le premier enregistrement à publier)

Commencez ici. p=none ne prend aucune action sur vos emails, donc rien ne casse pendant que vous collectez les rapports et identifiez chaque expéditeur légitime.

v=DMARC1; p=none; rua=mailto:[email protected]

Application complète

Publiez ceci une fois que vos rapports montrent que chaque expéditeur réel passe. Les destinataires sont invités à rejeter les emails qui échouent à l'authentification. Vous voulez des correspondances de domaine exactes plutôt que l'alignement relaxé par défaut ? Ajoutez adkim=s; aspf=s, mais seulement après avoir confirmé que vos sous-domaines et fournisseurs restent alignés.

v=DMARC1; p=reject; rua=mailto:[email protected]

Domaine parqué ou sans email

Pour un domaine qui n'envoie jamais d'email. Rejetez les emails au niveau du domaine (p), des sous-domaines existants (sp) et des noms qui n'existent pas (np), pour que personne ne puisse envoyer en votre nom.

v=DMARC1; p=reject; sp=reject; np=reject; rua=mailto:[email protected]

Politique différente pour les sous-domaines

Continuez à ajuster le domaine principal en p=none tout en demandant aux destinataires de rejeter les emails de tout sous-domaine. Utile quand vos sous-domaines ne doivent jamais envoyer mais que le domaine principal demande encore du travail.

v=DMARC1; p=none; sp=reject; rua=mailto:[email protected]

Expéditeur Gmail ou Microsoft 365

Le même enregistrement fonctionne que vous envoyiez via Google Workspace ou Microsoft 365. DMARC vit dans votre DNS, pas chez le fournisseur. Configurez d'abord SPF et DKIM pour le fournisseur, puis commencez en p=none.

v=DMARC1; p=none; rua=mailto:[email protected]

Chaque enregistrement tient sur une ligne. Publiez-le sur l'hôte _dmarc, de sorte que le nom complet soit _dmarc.votredomaine.com, de type TXT. Gardez un seul enregistrement DMARC par domaine.

Paramètres DMARC expliqués : chaque tag de votre enregistrement

Un enregistrement DMARC est une liste de tags séparés par des points-virgules. Ce tableau couvre chaque tag que le générateur ci-dessus peut produire, avec l'ensemble des valeurs que chaque tag accepte selon le RFC 9989, la norme DMARC actuelle. Les tags laissés à leur valeur par défaut sont retirés de l'enregistrement pour le garder court.

Tag Ce qu'il fait Valeurs autorisées Par défaut
v Version. Vient en premier et vaut toujours DMARC1. DMARC1 Requis
p Politique du domaine. Indique aux destinataires comment traiter les emails qui échouent à DMARC. none, quarantine, reject none
sp Politique pour les sous-domaines existants. Sans ce tag, les sous-domaines suivent la politique p. none, quarantine, reject suit p
np Politique pour les sous-domaines inexistants, c'est-à-dire les noms qui ne résolvent pas dans le DNS. Ce tag a été ajouté par le RFC 9989. none, quarantine, reject suit sp, puis p
t Mode test. t=y demande aux destinataires d'appliquer la politique immédiatement inférieure pendant vos tests, de sorte que reject agit comme quarantine et quarantine comme none. y, n n
adkim Alignement DKIM. Relaxé permet à un sous-domaine de s'aligner avec le domaine parent ; strict exige une correspondance exacte. r, s r
aspf Alignement SPF. Relaxé permet à un sous-domaine de s'aligner avec le domaine parent ; strict exige une correspondance exacte. r, s r
rua Où envoyer les rapports agrégés, les résumés quotidiens de qui envoie au nom de votre domaine. Une ou plusieurs adresses mailto:. URI mailto: aucun envoi
ruf Où envoyer les rapports d'échec, anciennement rapports forensiques, avec le détail par message des emails qui ont échoué. De nombreux destinataires ne les envoient plus pour des raisons de confidentialité. URI mailto: aucun envoi
fo Options de rapport d'échec. 0 ne rapporte que si toutes les vérifications échouent, 1 dès qu'une vérification échoue, d demande un rapport sur tout échec de signature DKIM, s sur tout échec SPF (d et s suivent les RFC 6651/6652). Ignoré sans ruf. 0, 1, d, s 0

Supprimés par le RFC 9989 : les tags pct, rf et ri ne font plus partie de la norme. Ce générateur ne les produit pas. Pour un déploiement progressif, utilisez t=y à la place de l'ancien tag pct.

Lire la référence complète des tags DMARC, y compris le tag psd →

Qu'est-ce que DMARC ?

DMARC (Domain-based Message Authentification, Rapports, and Conformance) est un protocole de sécurité email qui protège votre domaine contre son utilisation pour le phishing et l'usurpation d'identité.

Il s'appuie sur deux mécanismes existants, SPF (Sender Politique Framework) et DKIM (DomainKeys Identified Mail). DMARC vous permet de spécifier comment les destinataires doivent traiter les emails qui échouent à l'authentification, et fournit des fonctions de rapport pour surveiller qui envoie des emails en votre nom.

Read our complete DMARC introduction →

Pourquoi un générateur DMARC n'est que l'étape zéro →

Générer l'enregistrement n'est qu'une étape. Notre checklist de configuration DMARC vous guide dans tout le déploiement, de p=none à p=reject sans bloquer vos emails légitimes.

Comment fonctionne DMARC

DMARC connecte deux mécanismes d'authentification (SPF et DKIM) avec une couche de politique et un système de rapports. Voici le processus :

1

L'email est envoyé

Quand quelqu'un envoie un email prétendant provenir de votre domaine, le serveur de réception vérifie votre enregistrement DMARC.

2

Vérification de l'authentification

Le destinataire vérifie si l'email passe SPF (IP de l'expéditeur autorisée) et/ou DKIM (signature cryptographique valide).

3

Vérification de l'alignement

DMARC vérifie si les domaines authentifiés correspondent au domaine de l'adresse 'De' que voit le destinataire.

4

Application de la politique

Selon votre politique DMARC (none, quarantine ou reject), le destinataire traite les emails qui échouent à l'authentification.

5

Génération des rapports

Les destinataires envoient des rapports agrégés montrant les résultats d'authentification, ainsi que des rapports d'échec (anciennement rapports forensiques) avec les détails des messages ayant échoué aux vérifications DMARC.

Comment configurer DMARC : de cet enregistrement à une application sereine

Configurer DMARC n'est pas un simple interrupteur. Vous publiez un enregistrement de surveillance, vous observez les rapports, vous corrigez les expéditeurs en échec, puis vous renforcez la politique par étapes. Voici le chemin sûr de l'enregistrement ci-dessus jusqu'à l'application complète.

1

Copiez l'enregistrement

Commencez avec un enregistrement p=none du générateur ci-dessus et ajoutez votre adresse de reporting rua=. p=none ne change rien à la façon dont vos emails sont délivrés.

2

Publiez-le comme enregistrement TXT à _dmarc

Chez votre fournisseur DNS, créez un enregistrement TXT avec l'hôte _dmarc et la valeur générée. Le nom complet devient _dmarc.votredomaine.com. Gardez un seul enregistrement DMARC.

3

Attendez la propagation

Les modifications DNS prennent généralement effet en 5 à 30 minutes. Ensuite, votre enregistrement est actif et les destinataires peuvent lire votre politique.

4

Collectez et lisez vos rapports

Les rapports agrégés (rua) commencent à arriver dans les 24 à 48 heures. Ils montrent chaque source qui envoie au nom de votre domaine et si SPF et DKIM passent. Authentifiez tout expéditeur légitime en échec.

5

Renforcez la politique par étapes

Une fois que vos vrais expéditeurs passent, passez de p=none à p=quarantine, puis à p=reject. Pour répéter une politique plus stricte avant de l'appliquer, ajoutez t=y pour que les destinataires appliquent la politique immédiatement inférieure pendant que vous confirmez que rien ne casse.

Vous voulez la checklist complète de déploiement, avec le calendrier et les pièges qui surprennent ? Suivez notre checklist de configuration DMARC.

Pourquoi un enregistrement généré n'est que l'étape zéro

Générer l'enregistrement est la partie facile. Le travail commence après l'avoir publié, car la valeur de DMARC est dans les rapports, et ces rapports n'arrivent pas sous une forme lisible par un humain. Les rapports agrégés arrivent en XML brut, un fichier par destinataire, chaque jour. Une poignée d'expéditeurs devient des dizaines de fichiers par semaine, qui s'accumulent dans la boîte que vous avez indiquée dans votre tag rua=.

Nous le savons parce que DMARCTrust reçoit et analyse exactement ces fichiers. Notre serveur de messagerie accepte les rapports que les grands destinataires envoient, puis un analyseur en flux transforme chaque fichier XML en une vue claire de qui envoie au nom de votre domaine et de ce qui passe ou échoue. Pointez votre rua= vers une adresse de reporting DMARCTrust gratuite et vous obtenez cette vue au lieu d'une boîte pleine de XML. Gratuit pour un domaine, sans carte bancaire.

Comment la norme DMARC a changé avec les RFC 9989, 9990 et 9991 →

Pourquoi votre domaine a besoin de DMARC

L'authentification email n'est plus optionnelle. Voici pourquoi implémenter DMARC est crucial pour votre organisation :

Bloquer l'usurpation d'emails

Empêchez les attaquants d'envoyer des emails de phishing qui semblent provenir de votre domaine. Sans DMARC, n'importe qui peut falsifier votre adresse email.

Protéger la réputation de votre marque

Quand des criminels usurpent votre domaine, les destinataires associent la fraude à votre marque. DMARC arrête ces dommages avant qu'ils ne commencent.

Améliorer la délivrabilité des emails

Les grands fournisseurs comme Gmail et Microsoft priorisent les emails authentifiés. DMARC aide à garantir que vos emails légitimes arrivent en boîte de réception.

Respecter les exigences de conformité

De nombreuses industries et réglementations gouvernementales exigent maintenant DMARC. Google et Yahoo l'exigent pour les expéditeurs en volume depuis février 2024.

Obtenir une visibilité sur vos emails

Les rapports DMARC révèlent qui envoie des emails en votre nom, vous aidant à identifier les services légitimes oubliés et les expéditeurs non autorisés.

Activer BIMI pour les logos de marque

Pour afficher votre logo à côté des emails dans les clients compatibles comme Gmail, vous avez besoin de l'application DMARC. BIMI nécessite p=quarantine ou p=reject.

Erreurs DMARC courantes à éviter

Lors de l'implémentation de DMARC, évitez ces pièges courants qui peuvent impacter votre délivrabilité email ou vous laisser sans protection :

Commencer avec p=reject

Passer directement à une politique de rejet peut bloquer les emails légitimes des services que vous avez oublié d'authentifier. Commencez toujours par p=none pour surveiller d'abord.

Oublier les expéditeurs tiers

Les plateformes marketing, CRM et services d'emails transactionnels envoient tous en votre nom. Assurez-vous que chacun est correctement configuré pour SPF et DKIM avant d'appliquer DMARC.

Ne pas surveiller les rapports DMARC

Sans examiner les rapports, vous ne saurez pas si des emails légitimes échouent. Utilisez un service de surveillance DMARC pour analyser les rapports automatiquement.

Utiliser une adresse email invalide pour les rapports

L'adresse email rua doit être valide et accessible. Si vous ne pouvez pas recevoir les rapports, vous naviguez à l'aveugle.

Ignorer les sous-domaines

Par défaut, les sous-domaines héritent de votre politique DMARC. Si vous avez des services sur des sous-domaines, envisagez d'utiliser le tag sp= pour définir une politique de sous-domaine spécifique.

Utiliser encore le tag pct

Le RFC 9989 a supprimé le tag pct de la norme DMARC. Les nouveaux enregistrements ne doivent pas l'inclure. Pour un déploiement progressif, utilisez t=y pour que les destinataires appliquent la politique immédiatement inférieure pendant vos tests, à la place de l'ancienne approche par pourcentage.

Questions fréquentes

DMARC va-t-il perturber la délivrance de mes emails ?

Non, à condition de commencer prudemment. Nous recommandons de débuter avec la politique p=none. Ce "mode surveillance" garantit qu'aucun email légitime n'est bloqué pendant que vous collectez des données. Une fois que vous êtes sûr que tous vos expéditeurs légitimes (comme Mailchimp, Salesforce, Google Workspace) s'authentifient correctement, vous pouvez passer à p=quarantine ou p=reject.

Quelle est la différence entre les politiques ?

Aucune (p=none) : Surveille le trafic. Aucune action prise contre les emails en échec. Commencez ici.

Quarantaine (p=quarantine) : Les emails en échec sont envoyés dans le dossier spam du destinataire.

Rejet (p=reject) : Demande aux destinataires de rejeter les messages en échec, tout en leur laissant la décision finale de traitement.

Ai-je besoin de DMARC pour Gmail ou Outlook ?

Oui. Bien que Google et Microsoft protègent leur infrastructure, ils ne peuvent pas empêcher quelqu'un d'usurper votre domaine personnalisé sauf si vous publiez un enregistrement DMARC. D'ailleurs, depuis février 2024, Google et Yahoo exigent DMARC pour les expéditeurs en volume.

Combien de temps DMARC met-il à fonctionner ?

Une fois que vous ajoutez votre enregistrement TXT DMARC à votre DNS, il se propage généralement en 5 à 30 minutes. Vous commencerez à recevoir des rapports agrégés dans les 24 à 48 heures. Cependant, atteindre l'application complète (p=reject) devrait être un processus graduel sur des semaines ou des mois pendant que vous vérifiez tous les expéditeurs légitimes.

Quelle est la différence entre SPF, DKIM et DMARC ?

SPF vérifie que les emails proviennent d'adresses IP autorisées. DKIM ajoute une signature cryptographique pour prouver que l'email n'a pas été altéré. DMARC les lie ensemble en vérifiant que les domaines authentifiés correspondent à l'adresse 'De' visible et définit quoi faire en cas d'échec.

Puis-je avoir plusieurs enregistrements DMARC ?

Non. Vous ne devriez avoir qu'un seul enregistrement TXT DMARC à _dmarc.votredomaine.com. Avoir plusieurs enregistrements causera un comportement imprévisible, car les destinataires peuvent choisir n'importe lequel. Si vous devez envoyer des rapports à plusieurs adresses, séparez-les par des virgules dans un seul tag rua=.

Dois-je encore utiliser le tag pct= ?

Non, pas pour les nouveaux enregistrements. La norme DMARC a été révisée en mai 2026 par le RFC 9989 (protocole), le RFC 9990 (rapports agrégés) et le RFC 9991 (rapports d'échec), et le RFC 9989 a supprimé le tag pct. Pour renforcer la politique progressivement, utilisez d'abord p=none, puis p=quarantine, et ajoutez t=y quand vous voulez que les destinataires appliquent la politique immédiatement inférieure pendant vos tests. Les enregistrements commencent toujours par v=DMARC1, donc le changement est rétrocompatible.

Dois-je utiliser un alignement relaxé ou strict ?

L'alignement assoupli (par défaut) permet aux sous-domaines de passer. Par exemple, mail.exemple.com s'aligne avec exemple.com. L'alignement strict nécessite des correspondances de domaine exactes. La plupart des organisations devraient commencer avec un alignement assoupli sauf si vous avez des exigences de sécurité spécifiques qui imposent une correspondance stricte.

Is a DMARC generator, DMARC builder, DMARC creator, or DMARC record maker the same thing?

Yes. DMARC generator, DMARC record generator, DMARC builder, DMARC creator, DMARC maker, DMARC wizard, and DMARC policy generator all describe the same type of tool: a form-based way to produce a valid v=DMARC1 TXT record without writing the syntax by hand. The free tool above supports every variant and validates the output in real time.

How do I generate a free DMARC record step-by-step?

To generate a DMARC record with the tool above:

  1. Enter your domain in the field at the top.
  2. Choose the policy, starting with p=none to monitor safely before enforcing.
  3. Add a reporting address in the rua field. Use our free monitoring address to avoid an overflowing inbox.
  4. Optionally set adkim/aspf alignment and a subdomain policy with sp=.
  5. Copy the generated record and paste it as a TXT record at _dmarc.yourdomain.com in your DNS provider.
What's the difference between a DMARC generator, a DMARC policy generator, and a DMARC TXT record generator?

They are the same tool. A DMARC record is always published as a DNS TXT record, so DMARC TXT record generator is the literal technical name. DMARC policy generator emphasizes that the generated record declares a policy (p=none, quarantine, or reject). DMARC generator is the short name most people use. All three produce the same v=DMARC1 string.

Complétez votre authentification email

DMARC fonctionne avec SPF et DKIM. Créez ensuite votre enregistrement SPF, ou affichez le logo de votre marque avec BIMI (nécessite l'application DMARC).

Base normative : Conseils basés sur le RFC 9989 pour les enregistrements de politique DMARC, le RFC 9990 pour les rapports agrégés et le RFC 9991 pour les rapports d'échec. Les comportements historiques du RFC 7489 sont signalés lorsqu'ils restent utiles.