DMARC — Domain-based Message Authentication, Reporting & Conformance

DMARC est une politique combinant SPF et DKIM pour indiquer aux serveurs de réception quoi faire des mails qui échouent à l'authentification.

À quoi ça sert

SPF et DKIM permettent à un destinataire de vérifier qu'un mail est authentique. Mais ne disent pas quoi faire si ça rate. DMARC comble ce vide en publiant une politique explicite dans le DNS du domaine émetteur.

Exemple de record DMARC

_dmarc.example.fr.  IN  TXT  "v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.fr; pct=100; adkim=s; aspf=s"

Lecture :

• p=reject — politique : rejeter les mails non authentifiés
• rua=mailto:... — adresse où envoyer les rapports agrégés
• pct=100 — appliquer la politique à 100 % des mails (vs 50 %, etc.)
• adkim=s — alignement DKIM strict
• aspf=s — alignement SPF strict

Les 3 politiques DMARC

• p=none — monitor seulement, ne rien faire. Utile en phase de déploiement pour récupérer les rapports.
• p=quarantine — mettre en spam folder. Recommandé après 1 mois de monitoring `none`.
• p=reject — rejeter complètement. Recommandé après 2-3 mois en `quarantine` sans incident.

Concept d'alignement

DMARC exige que le domaine SPF/DKIM soit aligné avec le domaine `From:` visible. Sans cet alignement, un spammeur pourrait envoyer depuis son propre domaine avec SPF/DKIM parfait, et mettre `From: contact@votredomaine.fr` dans l'en-tête visible.

• Alignement strict (`s`) : domaines doivent être identiques
• Alignement relax (`r`) : sous-domaines acceptés (ex. `mail.example.fr` aligné avec `example.fr`)

Pourquoi c'est critique en 2026

Selon DMARC.org, seulement 30 % des domaines `.fr` publient une politique stricte. 70 % laissent passer les usurpations. Cf notre article sur l'explosion du spam 2026.

Voir aussi

• SPF
• DKIM
• Backscatter
• Guide : configurer SPF/DKIM/DMARC en 20 minutes