Délivrabilité

DMARC : Guide Complet pour Sécuriser votre Messagerie

Le protocole DMARC est un processus d’enregistrement et d’organisation de votre programme d’emailing dont le but est d’empêcher l’usurpation d’identité.

2 juin 2026

Tout savoir sur l’authentification DMARC, SPF, DKIM et la protection de votre domaine

L’usurpation d’identité par email explose : phishing, spoofing et campagnes frauduleuses ciblent chaque jour des domaines légitimes. Pour les entreprises, le risque n’est pas seulement financier : c’est la délivrabilité, la réputation d’expéditeur et la confiance client qui s’effondrent en cas d’attaque. C’est précisément le rôle du DMARC, un protocole d’authentification qui complète SPF et DKIM pour protéger votre domaine et garantir que seuls les expéditeurs légitimes envoient des messages en votre nom. Ce guide complet vous explique en détail comment fonctionne DMARC, comment le configurer pas à pas, comment lire ses rapports et comment en mesurer le ROI sur votre stratégie emailing.

Qu’est-ce que le protocole DMARC et pourquoi est-il si important ? Cet article contient tout ce que vous devez savoir sur cette authentification des emails et les étapes à suivre pour la mettre en œuvre.

Qu’est-ce que le protocole DMARC ?

Servez-vous un verre d’eau, installez-vous confortablement et prenez une longue respiration, car derrière ce nom se cache un acronyme particulièrement long.

Le protocole DMARC, pour « Domain-based Message Authentication, Reporting, and Conformance » est une méthode d’authentification conçue pour bloquer les tentatives d’usurpation d’identité.

DMARC est aujourd’hui le protocole d’authentification email le plus complet pour protéger un domaine contre les abus. Là où SPF et DKIM vérifient individuellement l’expéditeur et l’intégrité d’un message, DMARC va plus loin : il dicte la politique à appliquer lorsqu’un message échoue aux vérifications et génère des rapports envoyés au propriétaire du domaine.

Concrètement, DMARC permet de répondre à trois questions essentielles que se pose tout serveur de réception : ce message provient-il bien d’une source autorisée ? Que faire si l’authentification échoue ? Comment informer le propriétaire de domaine des messages envoyés en son nom ?, utilisez cet outil pour effectuer une vérification rapide du protocole DMARC.

Définition : DMARC (Domain-based Message Authentication, Reporting and Conformance)

DMARC signifie Domain-based Message Authentication, Reporting and Conformance. C’est un protocole standardisé, publié dans la RFC 7489, conçu pour protéger les noms de domaine contre l’usurpation d’identité par email.

DMARC ne remplace pas SPF (Sender Policy Framework) ni DKIM (DomainKeys Identified Mail). Il s’appuie sur eux et y ajoute deux briques critiques :

L’alignement entre le domaine visible dans l’adresse From et celui validé par SPF ou DKIM.
Une politique d’action (none, quarantine, reject) à appliquer aux messages qui échouent à l’authentification.
Des rapports DMARC transmis automatiquement à l’expéditeur, sous forme de fichiers XML envoyés à une adresse mailto: définie dans l’enregistrement.

L’enregistrement DMARC se publie sous forme d’un enregistrement TXT dans le DNS du domaine. C’est ce simple champ qui pilote l’ensemble du dispositif.

Pourquoi DMARC est-il essentiel aujourd’hui

L’email reste le canal préféré des consommateurs pour communiquer avec les marques, mais aussi la première porte d’entrée des cyberattaques. Selon le rapport Mailjet sur la délivrabilité 2025, 78,5 % des expéditeurs attribuent une note de 8/10 ou plus à l’importance de la délivrabilité dans leur stratégie. Et la délivrabilité repose désormais directement sur l’authentification.

Plusieurs facteurs rendent DMARC indispensable :

Lutte contre le phishing et l’usurpation : sans DMARC, n’importe qui peut écrire un message en se faisant passer pour votre domaine. Un attaquant peut envoyer une fausse facture, une fausse alerte ou un faux email RH.
Protection de la marque : un domaine usurpé, c’est une réputation qui se dégrade auprès des serveurs de messagerie comme Gmail, Yahoo ou Microsoft 365.
Exigences des grands fournisseurs : depuis 2024, Gmail et Yahoo imposent DMARC aux expéditeurs qui envoient plus de 5 000 messages par jour. Sans politique DMARC publiée, les messages sont rejetés ou placés en spam.
Visibilité sur les flux d’envoi : les rapports DMARC offrent une vue agrégée de tous les serveurs qui envoient des emails en votre nom, légitimes ou non.
Amélioration de la délivrabilité : un domaine correctement authentifié est traité avec plus de confiance par les serveurs de réception, ce qui améliore le placement en boîte de réception.

DMARC n’est plus une option pour les entreprises sérieuses : c’est un prérequis pour envoyer des emails marketing et transactionnels à grande échelle. Pour aller plus loin sur la chaîne complète d’authentification, consultez le guide Mailjet dédié aux protocoles SPF, DKIM et DMARC.

DMARC vs SPF vs DKIM : les différences

SPF, DKIM et DMARC sont souvent confondus. Pourtant chacun joue un rôle bien distinct dans l’authentification d’un email.

Critère	SPF	DKIM	DMARC
Nom complet	Sender Policy Framework	DomainKeys Identified Mail	Domain-based Message Authentication, Reporting and Conformance
Ce qu’il vérifie	L’adresse IP autorisée à envoyer pour un domaine	L’intégrité du message via une signature cryptographique	L’alignement SPF/DKIM avec le domaine From
Type d’enregistrement	TXT dans le DNS	TXT dans le DNS (sélecteur)	TXT dans le DNS (_dmarc.exemple.com)
Décision sur le message	Aucune (résultat informatif)	Aucune (résultat informatif)	Oui (none, quarantine, reject)
Reporting	Non	Non	Oui (rapports agrégés RUA + forensique RUF)
Protection contre le spoofing	Partielle	Partielle	Complète (politique reject)

À retenir : SPF et DKIM sont les fondations. DMARC est le chef d’orchestre qui les coordonne, prend la décision finale et alerte le propriétaire de domaine.

Comment fonctionne DMARC ?

Comprendre le fonctionnement de DMARC suppose de regarder ce qui se passe à chaque envoi d’un email, du serveur d’envoi jusqu’au serveur de réception. DMARC s’appuie sur une mécanique simple en apparence mais rigoureuse : trois piliers, un flux de traitement standardisé, un système d’alignement précis.

Les trois piliers de DMARC

DMARC repose sur trois piliers fondamentaux :

L’authentification : le message doit passer la vérification SPF, la vérification DKIM, ou les deux.
L’alignement : le domaine validé par SPF ou DKIM doit correspondre au domaine visible dans l’adresse From (l’expéditeur affiché à l’utilisateur).
La politique et le reporting : DMARC indique au serveur de réception quoi faire en cas d’échec, et au propriétaire du domaine ce qui s’est passé.

Aucune de ces trois briques ne suffit seule. Un message peut passer SPF mais échouer à l’alignement DMARC, par exemple lorsque le domaine technique d’envoi diffère du domaine visible. C’est précisément la valeur ajoutée de DMARC : vérifier la cohérence, pas seulement la validité technique.

Flux de traitement d’un message avec DMARC

Voici les étapes typiques par lesquelles passe un message lorsqu’il arrive sur un serveur de messagerie compatible DMARC :

Le serveur d’envoi expédie le message vers le serveur de réception du destinataire.

Le serveur de réception identifie le domaine de l’expéditeur dans le champ From.

Il interroge le DNS du domaine pour récupérer l’enregistrement SPF, la signature DKIM associée, puis l’enregistrement TXT DMARC publié sous _dmarc.exemple.com.

Il vérifie SPF (l’IP est-elle autorisée ?) et DKIM (la signature est-elle valide ?).

Il contrôle l’alignement entre le domaine validé et le domaine visible dans From.

Si au moins une vérification réussit et est alignée, DMARC est validé. Sinon, le serveur applique la politique demandée dans l’enregistrement DMARC : none, quarantine ou reject.

Le serveur de réception remonte ensuite un rapport agrégé au propriétaire du domaine, à l’adresse rua déclarée.

Alignement DMARC : strict vs relax

L’alignement DMARC dispose de deux modes, gérés par les balises adkim (alignement DKIM) et aspf (alignement SPF).

Mode strict (s) : le domaine From doit être exactement identique à celui validé. Aucun sous-domaine n’est toléré.
Mode relax (r) : un sous-domaine est accepté tant que le domaine organisationnel est le même. Par exemple, news.exemple.com est considéré aligné avec exemple.com. Ce mode est utilisé par défaut.

Pour la plupart des organisations qui pilotent plusieurs flux (marketing, transactionnel, internes), le mode relax est recommandé en démarrage. Il offre la souplesse nécessaire sans casser des envois légitimes. Le mode strict s’envisage une fois le déploiement DMARC stabilisé et tous les sous-domaines correctement identifiés.

Éléments et enregistrement DMARC

Un enregistrement DMARC, c’est avant tout une chaîne de texte structurée publiée dans le DNS du domaine. Sa rédaction est précise et chaque balise a un rôle spécifique.

Structure d’un enregistrement DMARC

Un enregistrement DMARC est un enregistrement TXT publié sur le sous-domaine _dmarc du domaine principal. Si votre domaine est exemple.com, l’enregistrement DMARC se trouve à _dmarc.exemple.com.

La syntaxe générale ressemble à :

v=DMARC1; p=none; rua=mailto:dmarc-reports@exemple.com; ruf=mailto:forensic@exemple.com; adkim=r; aspf=r; pct=100;

Chaque champ est composé d’une balise, d’un signe =, d’une valeur, et est séparé par un point-virgule. L’ordre des balises n’a pas d’importance, mais la balise v doit toujours apparaître en premier.

Les balises DMARC essentielles

Les balises DMARC pilotent l’intégralité du protocole. Voici les principales à connaître :

Balise	Rôle	Valeurs possibles
v	Version du protocole	DMARC1 (obligatoire, en premier)
p	Politique appliquée au domaine principal	none, quarantine, reject
sp	Politique appliquée aux sous-domaines	none, quarantine, reject
rua	Adresse mailto: pour les rapports agrégés	mailto:exemple@exemple.com
ruf	Adresse mailto: pour les rapports forensique	mailto:exemple@exemple.com
adkim	Mode d’alignement DKIM	r (relax) ou s (strict)
aspf	Mode d’alignement SPF	r (relax) ou s (strict)
pct	Pourcentage de messages soumis à la politique	0 à 100 (par défaut 100)
fo	Conditions de déclenchement du rapport forensique	0, 1, d, s
ri	Intervalle entre rapports agrégés (en secondes)	Par défaut 86400 (24 h)

Les balises critiques sont p, rua et pct : la politique pilote l’action, l’adresse rua collecte les rapports, le pourcentage permet un déploiement progressif.

Syntaxe complète et exemples

Voici trois exemples concrets d’enregistrements DMARC, du plus permissif au plus strict.

Exemple 1 : Politique de surveillance (none) avec reporting :

v=DMARC1; p=none; rua=mailto:dmarc-rua@exemple.com;

Cet enregistrement n’applique aucune action sur les messages, mais collecte les rapports agrégés. C’est le point de départ recommandé pour toute mise en œuvre DMARC.

Exemple 2 : Politique de quarantaine (quarantine) progressive :

v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc-rua@exemple.com; ruf=mailto:dmarc-ruf@exemple.com; adkim=r; aspf=r;

25 % des messages qui échouent sont placés en quarantaine (spam). Les rapports agrégés et forensique sont activés.

Exemple 3 : Politique stricte (reject) :

v=DMARC1; p=reject; sp=reject; rua=mailto:dmarc-rua@exemple.com; adkim=s; aspf=s; pct=100;

100 % des messages non authentifiés sont rejetés. L’alignement est strict pour SPF et DKIM, et la politique s’applique aussi aux sous-domaines. C’est le niveau de protection le plus élevé.

Une fois l’enregistrement DMARC publié, il reste à comprendre comment le déployer correctement, étape par étape, et comment exploiter les rapports qu’il génère.

Configuration DMARC en 5 étapes

Mettre en œuvre DMARC ne se résume pas à publier un enregistrement TXT. C’est un déploiement progressif qui demande méthode, observation et ajustement. Voici les 5 étapes recommandées pour un déploiement maîtrisé.

Étape 1 : Préparation : Vérifier SPF et DKIM

DMARC s’appuie sur SPF et DKIM. Si ces deux briques ne sont pas correctement configurées, DMARC ne fonctionnera pas comme prévu, et de nombreux messages légitimes risquent d’échouer aux vérifications.

Avant toute publication d’un enregistrement DMARC, contrôlez ces points :

SPF est publié et complet : tous les serveurs et fournisseurs qui envoient des emails en votre nom sont déclarés dans votre enregistrement SPF (plateforme emailing, CRM, outil de paie, ERP, etc.).
DKIM est activé et signé : chaque flux d’envoi (marketing, transactionnel, interne) dispose d’une signature DKIM valide associée à votre domaine.
Le Return-Path est bien aligné avec votre domaine d’envoi (sujet souvent oublié, mais essentiel pour la cohérence). Pour aller plus loin sur ce point, consultez le guide Mailjet sur la personnalisation du Return-Path.

Une fois SPF et DKIM stabilisés, DMARC peut prendre le relais.

Étape 2 : Sélectionner une politique DMARC

La politique DMARC est définie via la balise p. Trois valeurs sont possibles, chacune correspondant à un niveau de protection croissant.

p=none : aucun message n’est bloqué, mais les rapports sont collectés. C’est le mode observation, indispensable au démarrage.
p=quarantine : les messages qui échouent à l’authentification sont placés en spam ou en quarantaine côté destinataire. C’est le mode transition.
p=reject : les messages non conformes sont rejetés purement et simplement. C’est le mode protection maximale, à viser à terme.

La règle d’or : commencer par none, puis migrer vers quarantine, puis vers reject, en fonction des rapports reçus. Sauter directement à reject sans phase d’observation est l’une des erreurs les plus courantes et les plus coûteuses.

Étape 3 : Publier l’enregistrement TXT dans le DNS

L’enregistrement DMARC se publie comme un enregistrement TXT classique chez votre hébergeur DNS (OVH, Cloudflare, Gandi, AWS Route 53, etc.).

Les paramètres à remplir :

Type : TXT
Nom / Hôte : _dmarc (le système ajoutera automatiquement le domaine)
Valeur : la chaîne DMARC complète, par exemple v=DMARC1; p=none; rua=mailto:dmarc@exemple.com;
TTL : valeur par défaut (souvent 3600 secondes)

Après publication, la propagation DNS peut prendre de quelques minutes à 48 heures. Vous pouvez vérifier la prise en compte avec des outils gratuits comme MXToolbox, DMARC Analyzer ou directement via dig en ligne de commande.

Étape 4 : Analyser les rapports DMARC

Une fois l’enregistrement publié et la politique fixée à none, les serveurs de réception commencent à envoyer des rapports agrégés au format XML à l’adresse indiquée dans la balise rua.

Ces rapports révèlent :

Les serveurs qui envoient des messages en votre nom.
Le résultat des contrôles SPF et DKIM pour chaque flux.
Le volume de messages alignés ou non.
Les sources potentiellement frauduleuses ou non identifiées.

À ce stade, le but n’est pas de bloquer mais de cartographier votre écosystème d’envoi. C’est cette cartographie qui permet ensuite de durcir la politique en toute sécurité.

Étape 5 : Déploiement progressif

Le déploiement DMARC suit une logique d’augmentation contrôlée, balise pct à l’appui.

Schéma type :

p=none; pct=100 — observation pure pendant 2 à 4 semaines.
p=quarantine; pct=10 — quarantaine sur 10 % des messages non alignés.
p=quarantine; pct=50 — montée en charge progressive.
p=quarantine; pct=100 — quarantaine totale.
p=reject; pct=100 — protection complète.

Chaque palier doit être surveillé via les rapports. Une fois reject atteint et stable, votre domaine est protégé au niveau le plus élevé.

Comprendre les rapports DMARC

Les rapports DMARC sont la véritable valeur opérationnelle du protocole. Ils transforment DMARC d’un simple filtre en un outil de pilotage de la délivrabilité et de la sécurité.

Rapports agrégés (RUA) : Définition et interprétation

Les rapports agrégés, désignés par la balise rua, sont des fichiers XML envoyés quotidiennement par les serveurs de réception (Google, Yahoo, Microsoft 365, etc.) au propriétaire du domaine.

Ils contiennent :

Le domaine concerné et la politique appliquée.
Les adresses IP des serveurs émetteurs identifiés.
Le volume de messages par source.
Le résultat des contrôles SPF, DKIM et de l’alignement DMARC.
Le verdict final (pass, fail, action appliquée).

Lire un rapport DMARC brut n’est pas confortable : le format XML est verbeux. Des outils d’analyse permettent de visualiser ces données sous forme de tableaux de bord lisibles, ce qui simplifie grandement l’interprétation au quotidien.

Rapports de forensique (RUF) : Analyse détaillée

Les rapports forensiques, désignés par la balise ruf, sont envoyés en temps quasi réel à chaque message qui échoue aux vérifications DMARC. Contrairement aux rapports agrégés, ils décrivent un message précis :

En-têtes complets du message.
Source d’envoi.
Cause de l’échec (SPF, DKIM, alignement).
Parfois le contenu (selon la configuration).

Les RUF sont précieux pour détecter une tentative d’usurpation active ou un problème de configuration sur un flux légitime. À noter : tous les serveurs de messagerie ne génèrent pas de rapports RUF, et certaines réglementations (RGPD notamment) imposent une vigilance particulière sur les données personnelles que peuvent contenir ces rapports.

Métriques clés : SPF pass/fail, DKIM pass/fail, alignement %

Quelques indicateurs sont à surveiller en priorité dans les rapports DMARC :

Taux de SPF pass : pourcentage de messages dont l’enregistrement SPF est validé.
Taux de DKIM pass : pourcentage de messages dont la signature DKIM est valide.
Taux d’alignement DMARC : pourcentage de messages où le domaine SPF ou DKIM correspond au domaine From.
Taux d’échec global : volume de messages qui échouent à DMARC, ventilé par source.
Volume par IP source : permet d’identifier rapidement un flux suspect ou un nouvel outil non déclaré.

L’objectif : atteindre un alignement DMARC supérieur à 95 % sur les flux légitimes avant de durcir la politique.

Outils d’analyse DMARC

Pour transformer les XML bruts en données exploitables, plusieurs outils sont disponibles :

Solutions gratuites : DMARC Analyzer (version test), Postmark DMARC, MXToolbox DMARC Report Analyzer.
Solutions payantes : Dmarcian, EasyDMARC, Valimail, Sinch Mailgun, Mailjet (via l’offre Expert Délivrabilité).
Solutions intégrées chez les hébergeurs : Microsoft 365 fournit un module DMARC Reports natif.

Le bon outil dépend du volume d’envoi, du nombre de domaines et du niveau d’accompagnement souhaité. Une plateforme emailing professionnelle comme Mailjet centralise authentification, supervision et reporting DMARC dans une même interface, ce qui réduit le risque d’erreur.

Avantages et ROI de DMARC

Sécurité : Protection contre le phishing et l’usurpation

Le bénéfice le plus visible de DMARC est la fermeture de la porte aux attaques par usurpation d’identité. Sans DMARC, un attaquant peut envoyer un email frauduleux qui semble provenir de votre domaine, sans que rien ne l’en empêche.

Avec une politique reject, les serveurs de messagerie bloquent automatiquement les messages non authentifiés envoyés en votre nom. Les conséquences :

Réduction drastique des tentatives de phishing exploitant votre marque.
Diminution du risque de fraude au président, fausses factures, faux RH.
Protection des clients et collaborateurs qui reçoivent vos communications.

C’est un bénéfice direct pour la cybersécurité de l’entreprise et de son écosystème.

Délivrabilité : Amélioration du taux de réception

L’authentification est devenue un critère de classement majeur chez les fournisseurs de messagerie. Gmail et Yahoo réservent désormais la boîte de réception aux expéditeurs qui prouvent leur identité, et DMARC en est l’un des piliers.

Concrètement, un domaine authentifié DMARC :

Améliore son taux de placement en boîte de réception.
Voit ses taux d’ouverture et de clic augmenter, par effet mécanique.
Réduit ses bounces et erreurs de remise.
Renforce sa réputation d’expéditeur dans le temps.

Selon le rapport Mailjet sur l’avenir de l’emailing 2024, 75,4 % des consommateurs préfèrent recevoir les messages promotionnels par email et 74 % choisissent l’email pour les messages transactionnels. Encore faut-il arriver en boîte de réception, ce que conditionne aujourd’hui l’authentification. Pour creuser le sujet, consultez la définition complète de la délivrabilité sur le blog Mailjet.

Conformité : Respect des standards d’authentification

DMARC s’inscrit dans un cadre normatif qui se durcit. Plusieurs exigences font de DMARC un prérequis de conformité :

Exigences Gmail et Yahoo (2024) : DMARC obligatoire pour les expéditeurs envoyant plus de 5 000 messages par jour.
Réglementations sectorielles : finance, santé, secteur public imposent des standards d’authentification.
Bonnes pratiques M3AAWG : DMARC est cité parmi les recommandations majeures pour les expéditeurs professionnels.
Anticipation BIMI : la mise en place de DMARC (avec politique quarantine ou reject) est une condition d’accès à BIMI (Brand Indicators for Message Identification), qui affiche votre logo dans la boîte de réception.

En clair : déployer DMARC, c’est se mettre en conformité avec les standards actuels et anticiper les exigences à venir.

ROI mesurable : Impact sur la réputation de domaine

L’investissement DMARC se mesure en quelques mois, à travers plusieurs indicateurs :

Réputation du domaine : score de réputation chez Gmail Postmaster, Microsoft SNDS, Sender Score.
Taux de placement : pourcentage de messages en boîte de réception vs spam.
Volume bloqué frauduleux : nombre de messages d’usurpation rejetés grâce à DMARC.
Taux d’engagement : taux d’ouverture et de clic sur les flux marketing.
Réduction des incidents : moins de plaintes clients liés à des emails frauduleux usurpant la marque.

Les entreprises qui déploient DMARC observent souvent une amélioration de 5 à 15 points sur leur taux de placement en boîte de réception, selon la qualité de leurs flux d’origine. Cet impact se traduit directement en revenu pour les flux marketing et transactionnels.

Comprendre les avantages ne suffit pas. Il faut encore savoir éviter les pièges classiques d’un déploiement DMARC, ce que nous abordons maintenant.

7. Erreurs courantes et troubleshooting

Même bien préparé, un déploiement DMARC peut provoquer des effets de bord s’il n’est pas surveillé. Quelques pièges reviennent systématiquement chez les organisations qui passent à quarantine ou reject trop rapidement. Les connaître permet de les anticiper.

Messages légitimes bloqués par DMARC

C’est le risque numéro un d’un déploiement précipité : des messages parfaitement légitimes sont rejetés parce qu’un flux d’envoi n’a pas été pris en compte dans SPF, DKIM ou les deux.

Les causes les plus fréquentes :

Un outil tiers (signature mail, marketing automation, ERP, paie, ATS) envoie des emails en votre nom sans signature DKIM.
Une plateforme partenaire utilise votre adresse expéditeur sans avoir été déclarée dans SPF.
Un sous-domaine technique (newsletter, notif, tx) n’est pas correctement aligné.
Un nouvel outil a été déployé en interne sans coordination avec l’équipe délivrabilité.

La méthode est toujours la même : revenir en p=none, analyser les rapports DMARC pour identifier la source non alignée, corriger l’authentification, puis remettre la politique en place. C’est pour cette raison que la phase d’observation est non négociable.

Forwards et redirections d’email

Les redirections de messagerie (forwards) sont l’un des cas les plus complexes pour DMARC. Lorsqu’un message est transféré automatiquement (par exemple depuis un alias professionnel vers une boîte personnelle), SPF est cassé par construction : l’IP de transfert n’est plus celle déclarée dans le SPF d’origine.

Heureusement, DKIM survit aux redirections la plupart du temps, à condition que le contenu du message ne soit pas modifié. C’est pour cela qu’avoir DKIM correctement configuré est encore plus critique dans une stratégie DMARC : il garantit la survie de l’authentification même quand SPF échoue.

Pour les listes de diffusion (mailing lists, groupes), le protocole ARC (Authenticated Received Chain) est en train de s’imposer comme complément à DMARC : il préserve l’historique d’authentification lors des relais.

Sous-domaines et domaines organisationnels

DMARC distingue deux niveaux :

Le domaine principal (exemple.com).
Les sous-domaines (newsletter.exemple.com, support.exemple.com).

La balise p s’applique au domaine principal. La balise sp permet de définir une politique spécifique pour les sous-domaines. Par défaut, si sp n’est pas spécifiée, c’est la politique p qui s’applique aux sous-domaines.

Le concept de domaine organisationnel est important : c’est le domaine racine partagé (par exemple exemple.com est le domaine organisationnel de news.exemple.com). En mode alignement relax, DMARC tolère que les flux émanent de sous-domaines du domaine organisationnel. En mode strict, chaque sous-domaine doit être parfaitement aligné, ce qui demande une gestion fine.

Bonnes pratiques de déploiement

Pour réussir un déploiement DMARC sans incident, voici les bonnes pratiques essentielles à appliquer :

Commencer en p=none et ne pas brûler les étapes : la phase d’observation doit durer au minimum 2 à 4 semaines.
Cartographier tous les expéditeurs : marketing, transactionnel, RH, partenaires, outils SaaS. Aucun flux ne doit être inconnu.
Activer SPF et DKIM partout : sur chaque flux, sans exception.
Séparer les flux marketing et transactionnels sur des sous-domaines distincts pour faciliter la gestion de la délivrabilité.
Utiliser un outil d’analyse de rapports DMARC dès la première semaine.
Augmenter pct progressivement (10 % → 25 % → 50 % → 100 %).
Surveiller la réputation du domaine via Gmail Postmaster Tools, Microsoft SNDS et Sender Score.
Documenter chaque modification d’enregistrement TXT pour pouvoir revenir en arrière rapidement en cas de problème.

Ces bonnes pratiques sont les mêmes pour une PME comme pour un grand groupe. Ce qui change, c’est l’outillage et l’accompagnement.

Comment implémenter DMARC avec Mailjet ?

Déployer DMARC seul est possible, mais demande du temps, des compétences techniques et une supervision continue. Une plateforme emailing professionnelle comme Mailjet centralise l’authentification, le reporting et l’accompagnement délivrabilité, ce qui transforme DMARC d’un projet technique en un dispositif piloté.

Avantages Mailjet pour DMARC

Mailjet est conçu pour aider les équipes marketing et techniques à envoyer des emails fiables, authentifiés et performants. Sur DMARC, plusieurs atouts ressortent :

Plateforme tout-en-un : emails marketing, emails transactionnels, API et SMTP gérés depuis une même interface, ce qui simplifie l’authentification multi-flux.
Configuration guidée de SPF et DKIM : prérequis indispensables à DMARC, gérés directement dans l’interface Mailjet pour chaque domaine d’envoi.
Séparation des flux marketing et transactionnels : possibilité de sous-domaines dédiés, recommandée par les experts délivrabilité.
Expertise délivrabilité : Mailjet appartient à Sinch, acteur international des communications cloud, et accompagne ses clients sur la réputation d’expéditeur, l’authentification et le placement en boîte de réception.
Reporting et statistiques : suivi détaillé des performances par flux (taux d’ouverture, taux de clic, bounces, plaintes), ce qui complète les rapports DMARC bruts.
Collaboration en temps réel : commentaires, demandes de publication, permissions et verrouillage de sections — utile pour les équipes qui gèrent plusieurs marques ou pays.

Pour les organisations qui veulent un accompagnement personnalisé sur leur déploiement, Mailjet propose un service dédié via les experts en délivrabilité Mailjet, avec audit complet, recommandations sur SPF, DKIM, DMARC, et suivi opérationnel.

Guide pas-à-pas : Activer DMARC dans Mailjet

Activer DMARC quand on utilise Mailjet suit une logique simple. Voici les grandes étapes côté plateforme :

Ajouter son domaine d’envoi dans Mailjet (section Domaines & adresses).
Configurer SPF en publiant l’enregistrement TXT fourni par Mailjet dans votre DNS.
Configurer DKIM en publiant le sélecteur DKIM fourni par Mailjet, lui aussi sous forme d’enregistrement TXT.
Vérifier l’authentification dans l’interface Mailjet : SPF et DKIM doivent afficher un statut validé.
Publier l’enregistrement DMARC dans votre DNS, en commençant par p=none et en pointant la balise rua vers une adresse mailto: dédiée.
Suivre les rapports dans votre outil d’analyse, puis durcir progressivement la politique (quarantine puis reject).
Activer un suivi régulier avec un expert délivrabilité Mailjet, particulièrement pour les volumes importants ou les déploiements multi-domaines.

Tout au long du processus, les équipes Mailjet peuvent intervenir pour valider la configuration, identifier les flux non alignés et accompagner la montée en politique.

Cas d’usage et résultats clients

DMARC déployé via Mailjet répond à plusieurs cas d’usage business concrets :

E-commerce et retail : protection des emails transactionnels (confirmations de commande, suivi de livraison, mots de passe) et amélioration de la délivrabilité des campagnes promotionnelles.
SaaS et applications web : sécurisation des emails d’onboarding, notifications produit, alertes et facturation, avec API email fiable.
Médias et éditeurs : protection de la marque contre l’usurpation, déterminante pour la confiance des abonnés et la lutte contre les fausses newsletters.
ETI et grandes entreprises : gouvernance multi-marques, multi-domaines et multi-pays, avec collaboration entre équipes marketing, design, juridique et technique.
Secteur financier et santé : conformité aux standards d’authentification et protection accrue contre le phishing ciblant clients et collaborateurs.

Dans chaque cas, le bénéfice est triple : sécurité renforcée, délivrabilité améliorée, réputation du domaine consolidée. C’est précisément ce que les équipes Mailjet construisent avec leurs clients, en combinant la plateforme et l’accompagnement expert.

FAQ

Est-ce que DMARC est obligatoire ?

DMARC n’est pas obligatoire au sens légal pour toutes les entreprises, mais il est devenu une exigence de fait chez les principaux fournisseurs de messagerie. Depuis 2024, Gmail et Yahoo imposent DMARC à tous les expéditeurs envoyant plus de 5 000 messages par jour vers leurs boîtes. Sans politique DMARC publiée, ces messages sont rejetés ou placés en spam. Dans certains secteurs réglementés (finance, santé, public), DMARC est par ailleurs explicitement recommandé par les autorités de cybersécurité.

DMARC est-il nécessaire ?

Oui, DMARC est nécessaire dès qu’une organisation envoie des emails à un volume significatif ou que sa marque représente un risque d’usurpation. Sans DMARC, un attaquant peut envoyer un email frauduleux en votre nom sans que rien ne l’en empêche, ce qui expose vos clients au phishing et fragilise votre réputation d’expéditeur. DMARC est aussi nécessaire pour accéder à BIMI et afficher votre logo dans la boîte de réception des destinataires compatibles.

Quelle est la différence entre DMARC, SPF et DKIM ?

SPF (Sender Policy Framework) vérifie que l’adresse IP qui envoie l’email est autorisée pour le domaine déclaré. DKIM (DomainKeys Identified Mail) ajoute une signature cryptographique qui garantit l’intégrité du message. DMARC s’appuie sur SPF et DKIM, contrôle leur alignement avec le domaine visible dans le champ From, et décide de l’action à appliquer en cas d’échec (none, quarantine, reject). DMARC produit aussi des rapports détaillés. SPF et DKIM authentifient. DMARC coordonne et tranche.

Pourquoi DMARC est-il important ?

DMARC est important pour quatre raisons. Il protège votre marque contre l’usurpation et les attaques de phishing exploitant votre domaine. Il améliore votre délivrabilité en prouvant aux serveurs de réception que vous êtes un expéditeur légitime. Il renforce la conformité vis-à-vis des standards Gmail, Yahoo, Microsoft 365 et des réglementations sectorielles. Il fournit une visibilité opérationnelle sur tous les serveurs qui envoient des emails en votre nom, légitimes ou frauduleux.

Sécurisez vos emails et votre marque avec Mailjet

La plateforme tout-en-un Mailjetcentralise emails marketing et transactionnels, automatise la configuration de SPF et DKIM, et donne accès à des experts en délivrabilité capables de piloter votre passage en politique quarantine ou reject sans perte de délivrabilité.

Découvrez les offres délivrabilité Mailjet et faites auditer votre configuration DMARC par les experts Mailjet pour protéger durablement votre domaine, votre marque et vos revenus emailing.

Auteur: Thomas Hajdukowicz Thomas Hajdukowicz est responsable marketing régional pour la France chez Sinch Mailjet. Il est passionné d'histoire et adore cuisiner. Il écrit sur les diverses astuces et bonnes pratiques de l'email pour accompagner nos utilisateurs francophones et leur permettre de tirer le meilleur de l'emailing. Vous pouvez également le retrouver à l'animation de la version française de notre webinar Email Academy.