Vous définissez la fonctionnalité DMARC (Domain-based Message Authentication, Reporting and Conformance) en saisissant un enregistrement DMARC dans les paramètres DNS de votre domaine.
Après avoir préparé le texte de votre enregistrement DMARC, ajoutez ou modifiez l'enregistrement TXT DNS auprès de votre fournisseur de domaine. Pour modifier un enregistrement TXT DNS, saisissez la ligne de texte qui définit votre enregistrement de règle DMARC dans la console de gestion de votre fournisseur de domaine.
Chaque fois que vous modifiez vos règles DMARC et votre enregistrement, vous devez modifier l'enregistrement TXT DNS auprès de votre fournisseur de domaine.
Sous-domaines et domaines supplémentaires
Si vous possédez plusieurs domaines, procédez comme suit pour chacun d'entre eux. Chaque domaine peut être associé à une règle différente et à différentes options de rapport (définies dans l'enregistrement).
Si vous ne créez pas de règles DMARC pour les sous-domaines, ils héritent des règles DMARC du domaine parent. Définissez une règle DMARC pour les sous-domaines à l'aide de la balise de règle sp dans l'enregistrement DMARC du domaine parent.
Ajouter ou modifier un enregistrement
Important :
- Configurez DKIM (DomainKeys Identified Mail) et SPF (Sender Policy Framework) avant de configurer DMARC. DKIM et SPF doivent authentifier les messages pendant au moins 48 heures avant l'activation de DMARC.
- Les domaines utilisés dans les étapes ci-dessous ne sont que des exemples. Remplacez ces exemples de domaines par vos propres domaines.
Suivez cette procédure dans la console de gestion de votre hébergeur de domaine, et non dans la console d'administration. Qui est mon hébergeur de domaine ?
- Préparez le fichier texte ou la ligne correspondant à votre enregistrement de règle.
- Connectez-vous à la console de gestion de votre hébergeur de domaine.
- Accédez à la page permettant de modifier les enregistrements DNS.
- Ajoutez un enregistrement TXT DNS ou modifiez un enregistrement existant en saisissant votre enregistrement dans l'enregistrement TXT de _dmarc :
- Nom de l'enregistrement TXT : dans le premier champ, sous "Nom d'hôte DNS", saisissez le texte suivant : _dmarc.solarmora.com
Important : Certains hébergeurs de domaine ajoutent automatiquement le nom de domaine après _dmarc. Une fois l'enregistrement TXT ajouté, vous pouvez valider le nom de l'enregistrement TXT DMARC pour vous assurer que le format est correct.
- Valeur de l'enregistrement TXT : dans le deuxième champ, saisissez le texte de votre enregistrement DMARC, par exemple comme suit :
v=DMARC1; p=none; rua=mailto:dmarc-reports@solarmora.com
Le nom des champs peut différer selon votre fournisseur. Le nom des champs des enregistrements TXT DNS peut varier légèrement d'un fournisseur à un autre. Le domaine utilisé ici est fictif. Remplacez solarmora.com par le nom de votre propre domaine.
- Nom de l'enregistrement TXT : dans le premier champ, sous "Nom d'hôte DNS", saisissez le texte suivant : _dmarc.solarmora.com
- Enregistrez les modifications.
Désactiver DMARC
Nous vous recommandons de laisser DMARC activé pour votre organisation ou votre domaine. Sans DMARC, les pirates informatiques et d'autres utilisateurs malveillants peuvent usurper l'identité d'autres personnes et envoyer des e-mails qui semblent provenir de votre organisation ou de votre domaine. La désactivation de DMARC expose vos utilisateurs et contacts à des risques tels que du spam, du spoofing et de l'hameçonnage. Si vous devez désactiver DMARC, suivez cette procédure.
Valider le nom de l'enregistrement TXT DMARC (facultatif)
Important : Les domaines utilisés dans les étapes ci-dessous ne sont que des exemples. Remplacez ces exemples de domaines par vos propres domaines.
Certains hébergeurs de domaine ajoutent automatiquement votre nom de domaine à la fin du nom de l'enregistrement TXT, saisi à l'étape 4a de la procédure Ajouter ou modifier un enregistrement. Pour cette raison, le nom de l'enregistrement TXT DMARC peut ne pas présenter le bon format.
Par exemple, si vous saisissez _dmarc.solarmora.com et que votre hébergeur de domaine ajoute automatiquement votre nom de domaine, le nom de l'enregistrement TXT présentera le format incorrect suivant : _dmarc.solarmora.com.solarmora.com.
Après avoir ajouté l'enregistrement TXT DMARC en suivant les étapes décrites dans Ajouter ou modifier un enregistrement, vérifiez le nom de l'enregistrement TXT pour vous assurer que le format est correct.
Pour consulter et valider votre enregistrement TXT DMARC, utilisez la fonctionnalité Dig dans la Google Admin Toolbox :
- Accédez à la Google Admin Toolbox, puis sélectionnez la fonctionnalité Dig.
- Dans le champ Nom, saisissez _dmarc. suivi de votre nom de domaine complet. Par exemple, si votre nom de domaine est solarmora.com, saisissez _dmarc.solarmora.com.
- Sous le champ Nom, cliquez sur TXT.
- Vérifiez le nom de votre enregistrement TXT DMARC dans les résultats. Recherchez la ligne de texte commençant par _dmarc.
Format des enregistrements DMARC
Important : L'exemple de règle DMARC de cette section utilise des exemples de domaines. Remplacez les exemples de domaines par vos propres domaines.
L'enregistrement DMARC se présente sous la forme d'une ligne de texte brut. Ce texte consiste en une liste de valeurs et de balises DMARC, séparées par un point-virgule. Certaines balises sont obligatoires, d'autres sont facultatives.
Une règle DMARC indique aux serveurs de réception l'action à effectuer pour les messages non authentifiés provenant de votre domaine. L'action à exécuter est spécifiée à l'aide de la balise de règle (p) lorsque vous définissez votre enregistrement DMARC.
Voici un exemple d'enregistrement de règle DMARC. Les balises sont séparées par un point-virgule ( ;). Les balises v et p doivent être répertoriées en premier. Les autres peuvent être classées dans l'ordre de votre choix. Si vous envoyez les rapports DMARC par e-mail à l'aide de la balise rua, vous devez inclure le préfixe mailto: avant chaque adresse e-mail, comme indiqué dans l'exemple suivant :
v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com; pct=100; adkim=s; aspf=s
Balises d'enregistrement DMARC
Médaille | Description et valeurs |
v |
Version DMARC : doit être DMARC1 Cette balise est obligatoire. |
p | Indique au serveur de messagerie de réception comment traiter les messages qui n'ont pas été authentifiés.
Cette balise est obligatoire. Remarque sur le BIMI : Si votre domaine utilise la norme BIMI, l'option p DMARC doit être définie surquarantine (quarantaine) ou reject (rejeter). BIMI n'est pas compatible avec les règles DMARC si l'option p est définie sur none (aucun). |
pct |
Indique le pourcentage de messages non authentifiés soumis à la règle DMARC. Lorsque vous déployez progressivement DMARC, vous pouvez commencer par appliquer un petit pourcentage de messages. À mesure que les messages de votre domaine réussissent l'authentification auprès des serveurs de réception, modifiez votre enregistrement en lui appliquant un pourcentage plus élevé, jusqu'à atteindre 100 %. La valeur doit être un nombre entier compris entre 1 et 100. Si vous n'incluez pas cette option dans l'enregistrement, votre règle DMARC est appliquée à 100 % des messages envoyés depuis votre domaine. Cette balise est facultative. Remarque sur le BIMI : Si votre domaine utilise la norme BIMI, la valeur pct de votre règle DMARC doit être 100. BIMI n'est pas compatible avec les règles DMARC si la valeur pct est définie sur moins de 100. |
rua |
Adresse e-mail permettant de recevoir des rapports sur l'activité DMARC de votre domaine. L'adresse e-mail doit inclure mailto: Pour envoyer des rapports DMARC à plusieurs adresses e-mail, séparez les adresses e-mail par une virgule, puis ajoutez le préfixe mailto: avant chaque adresse. Par exemple: Cette option peut générer un grand nombre de rapports envoyés par e-mail. Nous vous déconseillons d'utiliser votre propre adresse e-mail. Privilégiez l'utilisation d'une boîte aux lettres ou d'un groupe dédié, ou d'un service tiers spécialisé dans les rapports DMARC. Cette balise est facultative. |
ruf |
Non compatible. Gmail n'est pas compatible avec la balise ruf, qui permet d'envoyer des rapports d'échec. Les rapports d'échec sont également appelés "rapports d'analyse". |
sp | Définit la règle correspondant aux messages provenant des sous-domaines de votre domaine principal. Choisissez cette option si vous souhaitez utiliser une autre règle DMARC pour vos sous-domaines.
Si vous n'utilisez pas cette option dans l'enregistrement, les sous-domaines héritent de la règle DMARC définie pour le domaine parent. Cette balise est facultative. |
adkim | Définit la règle d'alignement pour DKIM, qui détermine à quel point les informations des messages doivent correspondre aux signatures DKIM. Découvrez comment fonctionne l'alignement.
Cette balise est facultative. |
aspf | Définit la règle d'alignement pour SPF, qui détermine à quel point les informations des messages doivent correspondre aux signatures SPF. Découvrez comment fonctionne l'alignement.
Cette balise est facultative. |