Outil gratuit
Générateur d'enregistrement DMARC gratuit
Créez votre enregistrement TXT v=DMARC1 en 60 secondes. Copiez-le, collez-le dans le DNS, terminé.
Standards basis: Conseils basés sur le RFC 9989 pour les enregistrements de politique DMARC, le RFC 9990 pour les rapports agrégés et le RFC 9991 pour les rapports d'échec. Les comportements historiques du RFC 7489 sont signalés lorsqu'ils restent utiles.
Créez un enregistrement TXT DMARC valide pour protéger votre domaine contre l'usurpation et améliorer la délivrabilité des emails. Notre générateur DMARC crée des enregistrements DNS valides avec validation en temps réel.
Sans inscription. Validation en temps réel.
Configuration de la politique
Commencez par "none" pour collecter des données sans risquer de perdre des emails. En savoir plus
Utilisez np uniquement si vous voulez une politique séparée pour les noms de sous-domaines qui n'existent pas dans le DNS.
Rapports (Où envoyer les données)
Recevez des résumés quotidiens de qui envoie des emails en votre nom. Séparez les adresses multiples par des virgules.
Créez un compte gratuit et nous vous attribuons votre propre adresse de reporting. Collez-la ici comme valeur rua, et nous analysons les rapports quotidiens pour vous.
Utilisez une adresse de reporting DMARCTrust gratuiteAlignement avancé (Facultatif)
Enregistrement généré
_dmarc TXTv=DMARC1; p=none;
Comment déployer
- 1 Connectez-vous à votre fournisseur DNS (GoDaddy, Cloudflare, Namecheap, etc.).
- 2 Créez un enregistrement TXT.
-
3
Hôte :
_dmarc - 4 Valeur : collez l'enregistrement ci-dessus.
Vérification
Tester votre configurationPas encore de rua ? Obtenez une adresse de reporting gratuite et évitez la configuration
Les rapports DMARC arrivent en XML brut, un fichier par destinataire, chaque jour. Nous les collectons à votre adresse de reporting, nous les analysons et nous vous montrons qui envoie au nom de votre domaine et ce qui passe ou échoue. Gratuit pour un domaine.
How DMARC lives in your DNS
An 8-minute walkthrough of the DNS record you just generated.
Exemples d'enregistrements DMARC à copier-coller
Voici à quoi ressemble un enregistrement DMARC fonctionnel. Chaque exemple est un enregistrement complet et valide selon le RFC 9989, la norme DMARC actuelle. Remplacez example.com par votre domaine et l'adresse mailto: par une adresse que vous contrôlez, puis collez l'enregistrement comme enregistrement TXT à _dmarc.votredomaine.com. Pour ce que fait chaque tag, consultez la référence ci-dessous.
Démarrage en surveillance (le premier enregistrement à publier)
Commencez ici. p=none ne prend aucune action sur vos emails, donc rien ne casse pendant que vous collectez les rapports et identifiez chaque expéditeur légitime.
Application complète
Publiez ceci une fois que vos rapports montrent que chaque expéditeur réel passe. Les destinataires sont invités à rejeter les emails qui échouent à l'authentification. Vous voulez des correspondances de domaine exactes plutôt que l'alignement relaxé par défaut ? Ajoutez adkim=s; aspf=s, mais seulement après avoir confirmé que vos sous-domaines et fournisseurs restent alignés.
Domaine parqué ou sans email
Pour un domaine qui n'envoie jamais d'email. Rejetez les emails au niveau du domaine (p), des sous-domaines existants (sp) et des noms qui n'existent pas (np), pour que personne ne puisse envoyer en votre nom.
Politique différente pour les sous-domaines
Continuez à ajuster le domaine principal en p=none tout en demandant aux destinataires de rejeter les emails de tout sous-domaine. Utile quand vos sous-domaines ne doivent jamais envoyer mais que le domaine principal demande encore du travail.
Expéditeur Gmail ou Microsoft 365
Le même enregistrement fonctionne que vous envoyiez via Google Workspace ou Microsoft 365. DMARC vit dans votre DNS, pas chez le fournisseur. Configurez d'abord SPF et DKIM pour le fournisseur, puis commencez en p=none.
Chaque enregistrement tient sur une ligne. Publiez-le sur l'hôte _dmarc, de sorte que le nom complet soit _dmarc.votredomaine.com, de type TXT. Gardez un seul enregistrement DMARC par domaine.
Paramètres DMARC expliqués : chaque tag de votre enregistrement
Un enregistrement DMARC est une liste de tags séparés par des points-virgules. Ce tableau couvre chaque tag que le générateur ci-dessus peut produire, avec l'ensemble des valeurs que chaque tag accepte selon le RFC 9989, la norme DMARC actuelle. Les tags laissés à leur valeur par défaut sont retirés de l'enregistrement pour le garder court.
| Tag | Ce qu'il fait | Valeurs autorisées | Par défaut |
|---|---|---|---|
v |
Version. Vient en premier et vaut toujours DMARC1. | DMARC1 | Requis |
p |
Politique du domaine. Indique aux destinataires comment traiter les emails qui échouent à DMARC. | none, quarantine, reject | none |
sp |
Politique pour les sous-domaines existants. Sans ce tag, les sous-domaines suivent la politique p. | none, quarantine, reject | suit p |
np |
Politique pour les sous-domaines inexistants, c'est-à-dire les noms qui ne résolvent pas dans le DNS. Ce tag a été ajouté par le RFC 9989. | none, quarantine, reject | suit sp, puis p |
t |
Mode test. t=y demande aux destinataires d'appliquer la politique immédiatement inférieure pendant vos tests, de sorte que reject agit comme quarantine et quarantine comme none. | y, n | n |
adkim |
Alignement DKIM. Relaxé permet à un sous-domaine de s'aligner avec le domaine parent ; strict exige une correspondance exacte. | r, s | r |
aspf |
Alignement SPF. Relaxé permet à un sous-domaine de s'aligner avec le domaine parent ; strict exige une correspondance exacte. | r, s | r |
rua |
Où envoyer les rapports agrégés, les résumés quotidiens de qui envoie au nom de votre domaine. Une ou plusieurs adresses mailto:. | URI mailto: | aucun envoi |
ruf |
Où envoyer les rapports d'échec, anciennement rapports forensiques, avec le détail par message des emails qui ont échoué. De nombreux destinataires ne les envoient plus pour des raisons de confidentialité. | URI mailto: | aucun envoi |
fo |
Options de rapport d'échec. 0 ne rapporte que si toutes les vérifications échouent, 1 dès qu'une vérification échoue, d demande un rapport sur tout échec de signature DKIM, s sur tout échec SPF (d et s suivent les RFC 6651/6652). Ignoré sans ruf. | 0, 1, d, s | 0 |
Supprimés par le RFC 9989 : les tags pct, rf et ri ne font plus partie de la norme. Ce générateur ne les produit pas. Pour un déploiement progressif, utilisez t=y à la place de l'ancien tag pct.
Lire la référence complète des tags DMARC, y compris le tag psd →
Qu'est-ce que DMARC ?
DMARC (Domain-based Message Authentification, Rapports, and Conformance) est un protocole de sécurité email qui protège votre domaine contre son utilisation pour le phishing et l'usurpation d'identité.
Il s'appuie sur deux mécanismes existants, SPF (Sender Politique Framework) et DKIM (DomainKeys Identified Mail). DMARC vous permet de spécifier comment les destinataires doivent traiter les emails qui échouent à l'authentification, et fournit des fonctions de rapport pour surveiller qui envoie des emails en votre nom.
Read our complete DMARC introduction →
Pourquoi un générateur DMARC n'est que l'étape zéro →
Générer l'enregistrement n'est qu'une étape. Notre checklist de configuration DMARC vous guide dans tout le déploiement, de p=none à p=reject sans bloquer vos emails légitimes.
Comment fonctionne DMARC
DMARC connecte deux mécanismes d'authentification (SPF et DKIM) avec une couche de politique et un système de rapports. Voici le processus :
L'email est envoyé
Quand quelqu'un envoie un email prétendant provenir de votre domaine, le serveur de réception vérifie votre enregistrement DMARC.
Vérification de l'authentification
Le destinataire vérifie si l'email passe SPF (IP de l'expéditeur autorisée) et/ou DKIM (signature cryptographique valide).
Vérification de l'alignement
DMARC vérifie si les domaines authentifiés correspondent au domaine de l'adresse 'De' que voit le destinataire.
Application de la politique
Selon votre politique DMARC (none, quarantine ou reject), le destinataire traite les emails qui échouent à l'authentification.
Génération des rapports
Les destinataires envoient des rapports agrégés montrant les résultats d'authentification, ainsi que des rapports d'échec (anciennement rapports forensiques) avec les détails des messages ayant échoué aux vérifications DMARC.
Comment configurer DMARC : de cet enregistrement à une application sereine
Configurer DMARC n'est pas un simple interrupteur. Vous publiez un enregistrement de surveillance, vous observez les rapports, vous corrigez les expéditeurs en échec, puis vous renforcez la politique par étapes. Voici le chemin sûr de l'enregistrement ci-dessus jusqu'à l'application complète.
Copiez l'enregistrement
Commencez avec un enregistrement p=none du générateur ci-dessus et ajoutez votre adresse de reporting rua=. p=none ne change rien à la façon dont vos emails sont délivrés.
Publiez-le comme enregistrement TXT à _dmarc
Chez votre fournisseur DNS, créez un enregistrement TXT avec l'hôte _dmarc et la valeur générée. Le nom complet devient _dmarc.votredomaine.com. Gardez un seul enregistrement DMARC.
Attendez la propagation
Les modifications DNS prennent généralement effet en 5 à 30 minutes. Ensuite, votre enregistrement est actif et les destinataires peuvent lire votre politique.
Collectez et lisez vos rapports
Les rapports agrégés (rua) commencent à arriver dans les 24 à 48 heures. Ils montrent chaque source qui envoie au nom de votre domaine et si SPF et DKIM passent. Authentifiez tout expéditeur légitime en échec.
Renforcez la politique par étapes
Une fois que vos vrais expéditeurs passent, passez de p=none à p=quarantine, puis à p=reject. Pour répéter une politique plus stricte avant de l'appliquer, ajoutez t=y pour que les destinataires appliquent la politique immédiatement inférieure pendant que vous confirmez que rien ne casse.
Vous voulez la checklist complète de déploiement, avec le calendrier et les pièges qui surprennent ? Suivez notre checklist de configuration DMARC.
Pourquoi un enregistrement généré n'est que l'étape zéro
Générer l'enregistrement est la partie facile. Le travail commence après l'avoir publié, car la valeur de DMARC est dans les rapports, et ces rapports n'arrivent pas sous une forme lisible par un humain. Les rapports agrégés arrivent en XML brut, un fichier par destinataire, chaque jour. Une poignée d'expéditeurs devient des dizaines de fichiers par semaine, qui s'accumulent dans la boîte que vous avez indiquée dans votre tag rua=.
Nous le savons parce que DMARCTrust reçoit et analyse exactement ces fichiers. Notre serveur de messagerie accepte les rapports que les grands destinataires envoient, puis un analyseur en flux transforme chaque fichier XML en une vue claire de qui envoie au nom de votre domaine et de ce qui passe ou échoue. Pointez votre rua= vers une adresse de reporting DMARCTrust gratuite et vous obtenez cette vue au lieu d'une boîte pleine de XML. Gratuit pour un domaine, sans carte bancaire.
Comment la norme DMARC a changé avec les RFC 9989, 9990 et 9991 →
Pourquoi votre domaine a besoin de DMARC
L'authentification email n'est plus optionnelle. Voici pourquoi implémenter DMARC est crucial pour votre organisation :
Bloquer l'usurpation d'emails
Empêchez les attaquants d'envoyer des emails de phishing qui semblent provenir de votre domaine. Sans DMARC, n'importe qui peut falsifier votre adresse email.
Protéger la réputation de votre marque
Quand des criminels usurpent votre domaine, les destinataires associent la fraude à votre marque. DMARC arrête ces dommages avant qu'ils ne commencent.
Améliorer la délivrabilité des emails
Les grands fournisseurs comme Gmail et Microsoft priorisent les emails authentifiés. DMARC aide à garantir que vos emails légitimes arrivent en boîte de réception.
Respecter les exigences de conformité
De nombreuses industries et réglementations gouvernementales exigent maintenant DMARC. Google et Yahoo l'exigent pour les expéditeurs en volume depuis février 2024.
Obtenir une visibilité sur vos emails
Les rapports DMARC révèlent qui envoie des emails en votre nom, vous aidant à identifier les services légitimes oubliés et les expéditeurs non autorisés.
Activer BIMI pour les logos de marque
Pour afficher votre logo à côté des emails dans les clients compatibles comme Gmail, vous avez besoin de l'application DMARC. BIMI nécessite p=quarantine ou p=reject.
Erreurs DMARC courantes à éviter
Lors de l'implémentation de DMARC, évitez ces pièges courants qui peuvent impacter votre délivrabilité email ou vous laisser sans protection :
Commencer avec p=reject
Passer directement à une politique de rejet peut bloquer les emails légitimes des services que vous avez oublié d'authentifier. Commencez toujours par p=none pour surveiller d'abord.
Oublier les expéditeurs tiers
Les plateformes marketing, CRM et services d'emails transactionnels envoient tous en votre nom. Assurez-vous que chacun est correctement configuré pour SPF et DKIM avant d'appliquer DMARC.
Ne pas surveiller les rapports DMARC
Sans examiner les rapports, vous ne saurez pas si des emails légitimes échouent. Utilisez un service de surveillance DMARC pour analyser les rapports automatiquement.
Utiliser une adresse email invalide pour les rapports
L'adresse email rua doit être valide et accessible. Si vous ne pouvez pas recevoir les rapports, vous naviguez à l'aveugle.
Ignorer les sous-domaines
Par défaut, les sous-domaines héritent de votre politique DMARC. Si vous avez des services sur des sous-domaines, envisagez d'utiliser le tag sp= pour définir une politique de sous-domaine spécifique.
Utiliser encore le tag pct
Le RFC 9989 a supprimé le tag pct de la norme DMARC. Les nouveaux enregistrements ne doivent pas l'inclure. Pour un déploiement progressif, utilisez t=y pour que les destinataires appliquent la politique immédiatement inférieure pendant vos tests, à la place de l'ancienne approche par pourcentage.
Questions fréquentes
DMARC va-t-il perturber la délivrance de mes emails ?
Non, à condition de commencer prudemment. Nous recommandons de débuter avec la politique p=none. Ce "mode surveillance" garantit qu'aucun email légitime n'est bloqué pendant que vous collectez des données. Une fois que vous êtes sûr que tous vos expéditeurs légitimes (comme Mailchimp, Salesforce, Google Workspace) s'authentifient correctement, vous pouvez passer à p=quarantine ou p=reject.
Quelle est la différence entre les politiques ?
Aucune (p=none) : Surveille le trafic. Aucune action prise contre les emails en échec. Commencez ici.
Quarantaine (p=quarantine) : Les emails en échec sont envoyés dans le dossier spam du destinataire.
Rejet (p=reject) : Demande aux destinataires de rejeter les messages en échec, tout en leur laissant la décision finale de traitement.
Ai-je besoin de DMARC pour Gmail ou Outlook ?
Oui. Bien que Google et Microsoft protègent leur infrastructure, ils ne peuvent pas empêcher quelqu'un d'usurper votre domaine personnalisé sauf si vous publiez un enregistrement DMARC. D'ailleurs, depuis février 2024, Google et Yahoo exigent DMARC pour les expéditeurs en volume.
Combien de temps DMARC met-il à fonctionner ?
Une fois que vous ajoutez votre enregistrement TXT DMARC à votre DNS, il se propage généralement en 5 à 30 minutes. Vous commencerez à recevoir des rapports agrégés dans les 24 à 48 heures. Cependant, atteindre l'application complète (p=reject) devrait être un processus graduel sur des semaines ou des mois pendant que vous vérifiez tous les expéditeurs légitimes.
Quelle est la différence entre SPF, DKIM et DMARC ?
SPF vérifie que les emails proviennent d'adresses IP autorisées. DKIM ajoute une signature cryptographique pour prouver que l'email n'a pas été altéré. DMARC les lie ensemble en vérifiant que les domaines authentifiés correspondent à l'adresse 'De' visible et définit quoi faire en cas d'échec.
Puis-je avoir plusieurs enregistrements DMARC ?
Non. Vous ne devriez avoir qu'un seul enregistrement TXT DMARC à _dmarc.votredomaine.com. Avoir plusieurs enregistrements causera un comportement imprévisible, car les destinataires peuvent choisir n'importe lequel. Si vous devez envoyer des rapports à plusieurs adresses, séparez-les par des virgules dans un seul tag rua=.
Dois-je encore utiliser le tag pct= ?
Non, pas pour les nouveaux enregistrements. La norme DMARC a été révisée en mai 2026 par le RFC 9989 (protocole), le RFC 9990 (rapports agrégés) et le RFC 9991 (rapports d'échec), et le RFC 9989 a supprimé le tag pct. Pour renforcer la politique progressivement, utilisez d'abord p=none, puis p=quarantine, et ajoutez t=y quand vous voulez que les destinataires appliquent la politique immédiatement inférieure pendant vos tests. Les enregistrements commencent toujours par v=DMARC1, donc le changement est rétrocompatible.
Dois-je utiliser un alignement relaxé ou strict ?
L'alignement assoupli (par défaut) permet aux sous-domaines de passer. Par exemple, mail.exemple.com s'aligne avec exemple.com. L'alignement strict nécessite des correspondances de domaine exactes. La plupart des organisations devraient commencer avec un alignement assoupli sauf si vous avez des exigences de sécurité spécifiques qui imposent une correspondance stricte.
Is a DMARC generator, DMARC builder, DMARC creator, or DMARC record maker the same thing?
Yes. DMARC generator, DMARC record generator, DMARC builder, DMARC creator, DMARC maker, DMARC wizard, and DMARC policy generator all describe the same type of tool: a form-based way to produce a valid v=DMARC1 TXT record without writing the syntax by hand. The free tool above supports every variant and validates the output in real time.
How do I generate a free DMARC record step-by-step?
To generate a DMARC record with the tool above:
- Enter your domain in the field at the top.
- Choose the policy, starting with
p=noneto monitor safely before enforcing. - Add a reporting address in the
ruafield. Use our free monitoring address to avoid an overflowing inbox. - Optionally set
adkim/aspfalignment and a subdomain policy withsp=. - Copy the generated record and paste it as a TXT record at
_dmarc.yourdomain.comin your DNS provider.
What's the difference between a DMARC generator, a DMARC policy generator, and a DMARC TXT record generator?
They are the same tool. A DMARC record is always published as a DNS TXT record, so DMARC TXT record generator is the literal technical name. DMARC policy generator emphasizes that the generated record declares a policy (p=none, quarantine, or reject). DMARC generator is the short name most people use. All three produce the same v=DMARC1 string.
Complétez votre authentification email
DMARC fonctionne avec SPF et DKIM. Créez ensuite votre enregistrement SPF, ou affichez le logo de votre marque avec BIMI (nécessite l'application DMARC).
Base normative : Conseils basés sur le RFC 9989 pour les enregistrements de politique DMARC, le RFC 9990 pour les rapports agrégés et le RFC 9991 pour les rapports d'échec. Les comportements historiques du RFC 7489 sont signalés lorsqu'ils restent utiles.