Définition
DMARC (Domain-based Message Authentication, Reporting, and Conformance) est un mécanisme évolutif d’authentification d’e-mails qui permet à un propriétaire de domaine de publier dans le DNS une politique lisible par machine, déclarant ce que les serveurs de réception doivent faire lorsqu’un message échoue aux contrôles d’alignement SPF ou DKIM, et permettant à ces serveurs d’envoyer en retour des rapports structurés au propriétaire du domaine. Les trois valeurs de politique DMARC — none, quarantine et reject — donnent au propriétaire un contrôle gradué sur le traitement du courrier non authentifié prétendant venir de son domaine.
DMARC a été développé collaborativement par un groupe d’acteurs incluant PayPal, Google, Microsoft, Yahoo, ReturnPath et d’autres parties prenantes de l’écosystème, et publié pour la première fois dans la RFC 7489 de l’IETF en mars 2015. La spécification est maintenue par le groupe de travail DMARC.org. Elle étend et coordonne deux standards d’authentification antérieurs : SPF (RFC 7208) et DKIM (RFC 6376), qu’elle utilise comme signaux d’entrée sans les remplacer.
Comment cela fonctionne
Une politique DMARC est publiée comme enregistrement DNS TXT à _dmarc.<domaine>. Un enregistrement représentatif ressemble à : v=DMARC1; p=quarantine; rua=mailto:[email protected]; ruf=mailto:[email protected]; pct=100; adkim=s; aspf=s. Les balises clés sont :
v=DMARC1— identifiant de versionp=— politique :none(surveillance uniquement),quarantine(livrer en spam/courrier indésirable), oureject(écarter complètement)rua=— URI de destination des rapports agrégés ; reçoit des résumés XML quotidiens des résultats d’authentification des fournisseurs participantsruf=— URI de destination des rapports forensiques ; reçoit des rapports anonymisés au niveau message pour chaque échecpct=— pourcentage de messages auxquels la politique s’applique (permet un déploiement progressif)adkim=etaspf=— mode d’alignement :s(strict, exige une correspondance exacte de domaine) our(relaxé, autorise la correspondance par sous-domaine)
L’innovation clé apportée par DMARC est l’alignement d’identifiants. Un pass SPF ou DKIM n’est considéré comme conforme DMARC que si le domaine authentifié s’aligne avec le domaine de l’en-tête RFC5322.From — l’adresse « De : » que voient les utilisateurs. Cela comble l’écart laissé par SPF et DKIM agissant indépendamment : un message peut passer SPF sur un domaine différent (l’expéditeur d’enveloppe) et passer DKIM pour un domaine signataire tiers, tout en étant frauduleux si l’en-tête From affiche un autre domaine. DMARC exige qu’au moins un des deux (SPF ou DKIM) produise un pass aligné.
Les rapports agrégés (RUA) sont livrés sous forme de fichiers XML compressés, généralement dans les 24 heures suivant la fin de la période, par les fournisseurs incluant Google (Gmail), Microsoft (Outlook/Exchange Online Protection), Yahoo Mail, Apple iCloud Mail, Comcast et d’autres. Ces rapports contiennent par IP source les comptes de messages, résultats SPF, résultats DKIM et disposition DMARC. Des outils comme DMARCIAN, Valimail, Postmark DMARC Digests et Google Postmaster Tools fournissent des tableaux de bord qui parsent et visualisent ces rapports.
Où vous le rencontrez
DMARC est rencontré partout où l’envoi d’e-mails à fort volume ou à fort enjeu se produit. Depuis février 2024, Google et Yahoo exigent que les expéditeurs de plus de 5 000 messages par jour vers des adresses Gmail ou Yahoo Mail publient un enregistrement DMARC avec au moins p=none — un changement de politique sectoriel majeur qui a de fait rendu DMARC obligatoire pour les expéditeurs en masse. Microsoft a annoncé des exigences similaires pour les boîtes grand public Outlook.com en 2025.
Pour les plateformes de concours qui envoient à grande échelle des votes par confirmation d’e-mail, DMARC remplit deux rôles. D’abord, il protège la réputation du domaine d’envoi en demandant aux serveurs de réception de rejeter les messages falsifiés — empêchant un tiers d’usurper l’adresse From de la plateforme dans des campagnes de phishing, ce qui dégraderait la délivrabilité du domaine. Ensuite, les rapports agrégés DMARC fournissent un canal de monitoring opérationnel : le propriétaire du domaine peut voir, à travers tous les fournisseurs participants, quelle proportion des messages sortants passe SPF et DKIM, et signaler les mauvaises configurations d’infrastructure avant qu’elles ne provoquent des échecs en masse des e-mails de confirmation.
Les fournisseurs de messagerie y compris SendGrid, Mailgun, Amazon SES, Postmark et SparkPost publient des guides pour configurer DMARC en parallèle de leur infrastructure d’envoi. Les outils de diagnostic DNS comme MXToolbox DMARC Lookup, l’inspecteur DMARC de DMARCIAN et l’outil de vérification d’EasyDMARC permettent aux propriétaires de domaines de valider les politiques publiées.
Exemples concrets
Une société de concours en France commence à envoyer des e-mails de confirmation depuis un nouveau sous-domaine confirm.votes.example.com. Le domaine parent votes.example.com a p=reject dans son enregistrement DMARC. Comme les enregistrements SPF et DKIM du nouveau sous-domaine ne sont pas encore configurés, les e-mails de confirmation échouent à l’alignement DMARC et sont rejetés par Gmail. L’administrateur diagnostique l’incident grâce aux rapports agrégés montrant 100 % d’échec DMARC sur le sous-domaine, ajoute les enregistrements DNS appropriés (SPF include et sélecteur DKIM), et réinitialise temporairement la politique de sous-domaine DMARC (sp=none) durant le déploiement.
Une marque organise un concours photo avec des dotations totalisant 50 000 €. Un fraudeur tente d’envoyer des e-mails de phishing en usurpant le domaine du concours dans l’adresse From, redirigeant les votants vers une fausse page de confirmation pour récolter des identifiants. Comme la politique DMARC du domaine est p=reject, Gmail, Outlook et Yahoo Mail écartent tous les messages frauduleux avant livraison, protégeant à la fois les participants et la réputation expéditeur de la marque.
Concepts liés
DMARC dépend à la fois de Enregistrement SPF et de DKIM comme entrées d’authentification — un pass DMARC exige qu’au moins l’un des deux s’aligne avec le domaine de l’en-tête From. Pour les opérations de concours, l’effet combiné de SPF, DKIM et DMARC sur le placement en boîte de réception est le facteur technique principal qui détermine si les messages Vote par confirmation d’e-mail atteignent les votants. Le standard BIMI, qui permet l’affichage du logo de marque dans les clients de messagerie comme indicateur de confiance, requiert une politique DMARC p=quarantine ou p=reject comme prérequis.
