Outil gratuit
Créez votre politique DMARC en quelques minutes
Créez un enregistrement TXT DMARC valide pour protéger votre domaine contre l'usurpation et améliorer la délivrabilité des emails. Notre générateur DMARC crée des enregistrements DNS valides avec validation en temps réel.
Sans inscription. Validation en temps réel.
Commencez par "none" pour collecter des données sans risquer de perdre des emails. En savoir plus
Recevez des résumés quotidiens de qui envoie des emails en votre nom. Séparez les adresses multiples par des virgules.
v=DMARC1; p=none;
_dmarc
Vérification
Tester votre configurationDMARC (Domain-based Message Authentification, Reporting, and Conformance) est un protocole de sécurité email qui protège votre domaine contre son utilisation pour le phishing et l'usurpation d'identité.
Il s'appuie sur deux mécanismes existants, SPF (Sender Politique Framework) et DKIM (DomainKeys Identified Mail). DMARC vous permet de spécifier comment les destinataires doivent traiter les emails qui échouent à l'authentification, et fournit des capacités de reporting pour surveiller qui envoie des emails en votre nom.
DMARC connecte deux mécanismes d'authentification (SPF et DKIM) avec une couche de politique et un système de reporting. Voici le processus :
Quand quelqu'un envoie un email prétendant provenir de votre domaine, le serveur de réception vérifie votre enregistrement DMARC.
Le destinataire vérifie si l'email passe SPF (IP de l'expéditeur autorisée) et/ou DKIM (signature cryptographique valide).
DMARC vérifie si les domaines authentifiés correspondent au domaine de l'adresse 'De' que voit le destinataire.
Selon votre politique DMARC (none, quarantine ou reject), le destinataire traite les emails qui échouent à l'authentification.
Les destinataires envoient des rapports agrégés montrant les résultats d'authentification, ainsi que des forensic emails (failure reports) avec les détails des messages ayant échoué aux vérifications DMARC.
L'authentification email n'est plus optionnelle. Voici pourquoi implémenter DMARC est crucial pour votre organisation :
Empêchez les attaquants d'envoyer des emails de phishing qui semblent provenir de votre domaine. Sans DMARC, n'importe qui peut falsifier votre adresse email.
Quand des criminels usurpent votre domaine, les destinataires associent la fraude à votre marque. DMARC arrête ces dommages avant qu'ils ne commencent.
Les grands fournisseurs comme Gmail et Microsoft priorisent les emails authentifiés. DMARC aide à garantir que vos emails légitimes arrivent en boîte de réception.
De nombreuses industries et réglementations gouvernementales exigent maintenant DMARC. Google et Yahoo l'exigent pour les expéditeurs en volume depuis février 2024.
Les rapports DMARC révèlent qui envoie des emails en votre nom, vous aidant à identifier les services légitimes oubliés et les expéditeurs non autorisés.
Pour afficher votre logo à côté des emails dans les clients compatibles comme Gmail, vous avez besoin de l'application DMARC. BIMI nécessite p=quarantine ou p=reject.
Lors de l'implémentation de DMARC, évitez ces pièges courants qui peuvent impacter votre délivrabilité email ou vous laisser sans protection :
Passer directement à une politique de rejet peut bloquer les emails légitimes des services que vous avez oublié d'authentifier. Commencez toujours par p=none pour surveiller d'abord.
Les plateformes marketing, CRM et services d'emails transactionnels envoient tous en votre nom. Assurez-vous que chacun est correctement configuré pour SPF et DKIM avant d'appliquer DMARC.
Sans examiner les rapports, vous ne saurez pas si des emails légitimes échouent. Utilisez un service de surveillance DMARC pour analyser les rapports automatiquement.
L'adresse email rua doit être valide et accessible. Si vous ne pouvez pas recevoir les rapports, vous naviguez à l'aveugle.
Par défaut, les sous-domaines héritent de votre politique DMARC. Si vous avez des services sur des sous-domaines, envisagez d'utiliser le tag sp= pour définir une politique de sous-domaine spécifique.
Non, à condition de commencer prudemment. Nous recommandons de débuter avec la politique p=none. Ce "mode surveillance" garantit qu'aucun email légitime n'est bloqué pendant que vous collectez des données. Une fois que vous êtes sûr que tous vos expéditeurs légitimes (comme Mailchimp, Salesforce, Google Workspace) s'authentifient correctement, vous pouvez passer à p=quarantine ou p=reject.
None (p=none) : Surveille le trafic. Aucune action prise contre les emails en échec. Commencez ici.
Quarantine (p=quarantine) : Les emails en échec sont envoyés dans le dossier spam du destinataire.
Reject (p=reject) : Les emails en échec sont bloqués complètement. Sécurité maximale.
Oui. Bien que Google et Microsoft protègent leur infrastructure, ils ne peuvent pas empêcher quelqu'un d'usurper votre domaine personnalisé sauf si vous publiez un enregistrement DMARC. D'ailleurs, depuis février 2024, Google et Yahoo exigent DMARC pour les expéditeurs en volume.
Une fois que vous ajoutez votre enregistrement TXT DMARC à votre DNS, il se propage généralement en 5 à 30 minutes. Vous commencerez à recevoir des rapports agrégés dans les 24 à 48 heures. Cependant, atteindre l'application complète (p=reject) devrait être un processus graduel sur des semaines ou des mois pendant que vous vérifiez tous les expéditeurs légitimes.
SPF vérifie que les emails proviennent d'adresses IP autorisées. DKIM ajoute une signature cryptographique pour prouver que l'email n'a pas été altéré. DMARC les lie ensemble en vérifiant que les domaines authentifiés correspondent à l'adresse 'De' visible et définit quoi faire en cas d'échec.
Non. Vous ne devriez avoir qu'un seul enregistrement TXT DMARC à _dmarc.votredomaine.com. Avoir plusieurs enregistrements causera un comportement imprévisible, car les destinataires peuvent choisir n'importe lequel. Si vous devez envoyer des rapports à plusieurs adresses, séparez-les par des virgules dans un seul tag rua=.
Le tag pct= vous permet d'appliquer votre politique à seulement un pourcentage d'emails. Lors du passage de p=none à p=quarantine, commencez avec pct=10 ou pct=25, surveillez les rapports pour détecter les problèmes, puis augmentez progressivement jusqu'à 100. Une fois stable, vous pouvez supprimer entièrement le tag pct (il est par défaut à 100).
L'alignement relaxé (par défaut) permet aux sous-domaines de passer. Par exemple, mail.exemple.com s'aligne avec exemple.com. L'alignement strict nécessite des correspondances de domaine exactes. La plupart des organisations devraient commencer avec un alignement relaxé sauf si vous avez des exigences de sécurité spécifiques qui imposent une correspondance stricte.
DMARC fonctionne avec SPF et DKIM. Créez ensuite votre enregistrement SPF, ou affichez le logo de votre marque avec BIMI (nécessite l'application DMARC).
We use cookies to enhance your experience, analyze site traffic, and for marketing purposes. You can choose which cookies to allow. Learn more in our Cookie Policy.
Manage your cookie preferences below. Essential cookies are always active as they are required for the website to function.
Required for the website to function. Cannot be disabled.
Help us understand how visitors interact with our website.
Used to measure advertising effectiveness and show relevant ads.
Learn more about how we use cookies in our Cookie Policy.