Configurer DMARC

DMARC indique aux serveurs de messagerie les mesures à prendre concernant les messages que vous envoyez qui ne passent pas les contrôles d'authentification SPF ou DKIM. Les options d'action sont le rejet, la mise en quarantaine ou la distribution du message. Vous pouvez également obtenir des rapports qui vous aident à identifier les éventuels problèmes d'authentification et activités malveillantes liés aux messages envoyés depuis votre domaine. Pour configurer DMARC, ajoutez un enregistrement TXT DNS DMARC (enregistrement DMARC) à votre domaine.

Un enregistrement DMARC est une ligne de texte que vous ajoutez à votre domaine en suivant les instructions de votre fournisseur de domaine. Voici un exemple d'enregistrement DMARC :

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

Lorsque les serveurs de réception reçoivent des e-mails provenant de votre domaine qui ne passent pas les contrôles SPF ou DKIM, ils vérifient votre enregistrement DMARC pour déterminer l'action à effectuer : rejeter, mettre en quarantaine ou distribuer normalement.

DMARC permet de protéger les utilisateurs contre les e-mails falsifiés
et vous permet de gérer les messages qui ne passent pas les contrôles SPF ou DKIM.

Sur cette page

Avant de commencer
Étape 1 : Configurez un groupe ou une boîte aux lettres pour les rapports
Étape 2 : Vérifiez que le service de messagerie tiers est authentifié
Étape 3 : Préparez votre enregistrement DMARC
Étape 4 : Ajoutez l'enregistrement DMARC à votre domaine
Articles associés

Avant de commencer

Vous devez activer SPF et/ou DKIM pour votre domaine avant de pouvoir utiliser DMARC. Si vous n'avez pas encore configuré SPF et/ou DKIM, consultez Empêcher le spoofing, l'hameçonnage et le spam.
- Si vous ne configurez pas SPF et/ou DKIM avant d'activer DMARC, les messages envoyés depuis votre domaine risquent de rencontrer des problèmes de distribution.
- Vous devez patienter 48 heures après avoir configuré SPF et/ou DKIM avant de configurer DMARC.
Pour vérifier si DMARC est déjà configuré pour votre domaine, utilisez l'un des nombreux outils sans frais disponibles sur Internet. Si DMARC est déjà configuré, vous devez examiner vos rapports DMARC pour vous assurer qu'il authentifie efficacement les messages et que ceux-ci sont distribués comme prévu.
Aucune action n'est requise de votre part dans la console d'administration Google pour configurer DMARC. Configurez plutôt votre enregistrement DMARC en suivant les instructions de cette page. Connectez-vous ensuite à votre hébergeur de domaine et ajoutez l'enregistrement DMARC en suivant ses instructions à ce sujet.

Étape 1 : Configurez un groupe ou une boîte aux lettres pour les rapports

Le nombre de rapports DMARC que vous recevez par e-mail peut varier, et dépend de la quantité d'e-mails envoyés depuis votre domaine et du nombre de domaines destinataires. De nombreux rapports peuvent alors être reçus chaque jour, jusqu'à plusieurs centaines dans les grandes entreprises. Google vous recommande de créer une boîte aux lettres ou un groupe dédié afin d'y recevoir et d'y gérer les rapports DMARC.

Important : En règle générale, l'adresse e-mail permettant de recevoir des rapports appartient au même domaine que celui qui héberge votre enregistrement DMARC. Si l'adresse e-mail est associée à un autre domaine, vous devez ajouter un enregistrement DNS sur ce domaine. Consultez Envoyer des rapports à une adresse e-mail appartenant à un autre domaine sur la page "Rapports DMARC".

Étape 2 : Vérifiez que le service de messagerie tiers est authentifié

Si vous envoyez des e-mails pour votre organisation à l'aide d'un service tiers, vous devez vous assurer que les messages envoyés par ce service sont authentifiés et qu'ils passent les contrôles SPF et DKIM :

Contactez votre fournisseur tiers pour vous assurer que SPF et DKIM sont bien configurés.
Assurez-vous que le domaine de l'expéditeur de l'enveloppe du fournisseur correspond à votre domaine. Ajoutez l'adresse IP des serveurs de messagerie d'envoi du fournisseur à l'enregistrement SPF de votre domaine.
Acheminez le courrier sortant provenant du fournisseur via Google à l'aide du paramètre de service de relais SMTP.

Étape 3 : Préparez votre enregistrement DMARC

Votre règle DMARC est définie dans une ligne de valeurs textuelles, appelée enregistrement DMARC. Cet enregistrement définit :

le degré de contrôle des messages par la règle DMARC ;
les actions recommandées pour le serveur de réception lorsqu'il reçoit des messages qui ne sont pas validés par les contrôles d'authentification.

Exemple d'enregistrement DMARC (remplacez example.com par votre domaine) :

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

Les balises v et p doivent être répertoriées en premier. Les autres peuvent être classées dans n'importe quel ordre.

Lorsque vous commencez à utiliser DMARC, nous vous recommandons de définir l'option de règle (p) sur none. Modifiez vos règles à mesure que vous découvrez comment les messages provenant de votre domaine sont authentifiés par les serveurs de réception. Au fil du temps, définissez la règle de destinataire sur quarantine (or reject). Consultez Déploiement DMARC recommandé.

Définitions et valeurs des balises d'enregistrement DMARC

Tag	Description et valeurs
v	(Obligatoire) Version DMARC. doit être DMARC1
p	(Obligatoire) Indique au serveur de messagerie de réception comment traiter les messages qui n'ont pas été authentifiés. noneN'effectuer aucune action sur le message, qui est transmis au destinataire souhaité. Les messages sont consignés dans un rapport quotidien. Le rapport est envoyé à l'adresse e-mail spécifiée à l'aide de l'option rua dans l'enregistrement. quarantine— : les messages sont marqués comme spam et placés dans le dossier "Spam" du destinataire. Les destinataires peuvent examiner les spams afin d'identifier les messages légitimes. reject—Rejeter le message. Avec cette option, le serveur de réception envoie généralement un message d'erreur automatique au serveur d'envoi. Remarque sur le BIMI : Si votre domaine utilise la norme BIMI, l'option p DMARC doit être définie surquarantine (quarantaine) ou reject (rejeter). BIMI n'est pas compatible avec les règles DMARC si l'option p est définie sur none (aucun).
pct	Le tag pct est facultatif, mais Google vous recommande de l'inclure dans votre enregistrement DMARC lors du déploiement de DMARC afin de pouvoir gérer le pourcentage d'e-mails auxquels votre règle DMARC s'applique. Indique le pourcentage de messages non authentifiés soumis à la règle DMARC. Lorsque vous déployez progressivement DMARC, vous pouvez commencer par appliquer un petit pourcentage de messages. À mesure que les messages de votre domaine réussissent l'authentification auprès des serveurs de réception, modifiez votre enregistrement en lui appliquant un pourcentage plus élevé, jusqu'à atteindre 100 %. La valeur doit être un nombre entier compris entre 1 et 100. Si vous n'incluez pas cette option dans l'enregistrement, votre règle DMARC est appliquée à 100 % des messages envoyés depuis votre domaine. Remarque sur le BIMI : Si votre domaine utilise la norme BIMI, la valeur pct de votre règle DMARC doit être 100. BIMI n'est pas compatible avec les règles DMARC si la valeur pct est définie sur moins de 100.
rua	Le tag rua est facultatif, mais Google vous recommande de toujours l'inclure dans votre enregistrement DMARC. Envoyez les rapports DMARC à une adresse e-mail. L'adresse e-mail doit inclure mailto:. Par exemple : mailto:dmarc-reports@example.com (remplacez example.com par votre domaine). Pour envoyer des rapports DMARC à plusieurs adresses e-mail, séparez ces adresses par des virgules et ajoutez le préfixe mailto: avant chacune d'elles. Par exemple : mailto:dmarc-reports@example.com, mailto:dmarc-admin@example.com (remplacez example.com par votre domaine). Cette option peut générer un grand nombre de rapports envoyés par e-mail. Nous vous déconseillons d'utiliser votre propre adresse e-mail. Privilégiez l'utilisation d'une boîte aux lettres ou d'un groupe dédié, ou d'un service tiers spécialisé dans les rapports DMARC. Pour envoyer des rapports DMARC à une adresse e-mail appartenant à un domaine différent de celui qui héberge votre enregistrement DMARC, ajoutez un enregistrement TXT au DNS du domaine de messagerie. Pour en savoir plus, consultez Envoyer des rapports à une adresse e-mail appartenant à un autre domaine sur la page Rapports DMARC.
ruf	(Non compatible) Gmail n'est pas compatible avec le tag ruf permettant d'envoyer des rapports d'échec. Les rapports d'échec sont également appelés "rapports d'analyse".
sp	(Facultatif) Définit la règle correspondant aux messages provenant des sous-domaines de votre domaine principal. Choisissez cette option si vous souhaitez utiliser une autre règle DMARC pour vos sous-domaines. none—Take no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy. quarantine—Marquer les messages comme spam et les placer dans le dossier de spam du destinataire. Les destinataires peuvent examiner les spams afin d'identifier les messages légitimes. reject—Rejeter le message. Avec cette option, le serveur de réception doit envoyer un message d'erreur automatique au serveur d'envoi. Si vous n'utilisez pas cette option dans l'enregistrement, les sous-domaines héritent de la règle DMARC définie pour le domaine parent.
adkim	(Facultatif) Définit la règle d'alignement pour DKIM, qui détermine à quel point les informations des messages doivent correspondre aux signatures DKIM. Découvrez comment fonctionne l'alignement (plus loin sur cette page). s—Alignement strict. Le nom de domaine de l'expéditeur doit correspondre exactement au d=domainname associé dans les en-têtes de message DKIM. r—Relaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain in the DKIM mail headers is accepted.
aspf	(Facultatif) Définit la règle d'alignement pour SPF, qui détermine à quel point les informations des messages doivent correspondre aux signatures SPF. Découvrez comment fonctionne l'alignement (plus loin sur cette page). s— : alignement strict. L'en-tête "De" du message doit correspondre exactement au nom de domaine de la commande SMTP "MAIL FROM". r—Alignement souple (option par défaut). Autorise les correspondances partielles. Tout sous-domaine valide du nom de domaine est accepté.

Alignement DMARC

Les contrôles DMARC valident ou non un message en fonction du degré de correspondance entre le domaine figurant dans l'en-tête De et le domaine d'envoi spécifié par SPF ou DKIM. C'est ce que l'on appelle l'alignement.

Vous avez le choix entre deux modes d'alignement : strict et souple. Vous définissez le mode d'alignement pour SPF et DKIM dans l'enregistrement DMARC à l'aide des balises d'enregistrement DMARC aspf et adkim.

Méthode d'authentification	Alignement strict	Alignement souple
SPF	Correspondance exacte entre le domaine figurant dans l'adresse de l'expéditeur de l'enveloppe (également appelée adresse "Return-Path" ou adresse de renvoi) et le domaine figurant dans l'en-tête De	Le domaine indiqué dans l'en-tête De doit correspondre au domaine figurant dans l'adresse de l'expéditeur de l'enveloppe (également appelée adresse "Return-Path" ou adresse de renvoi) ou en être un sous-domaine.
DKIM	Correspondance exacte entre le domaine DKIM concerné et le domaine figurant dans l'en-tête De	Le domaine indiqué dans l'en-tête De doit correspondre au domaine spécifié dans la balise d= de la signature DKIM ou en être un sous-domaine.

Dans certains cas, Google vous recommande d'opter pour un alignement strict afin de renforcer la protection contre le spoofing :

Des messages envoyés à votre domaine proviennent d'un sous-domaine que vous ne contrôlez pas.
Certains de vos sous-domaines sont gérés par une autre entité.

Important : En règle générale, un alignement souple suffit à la protection contre le spoofing. Un alignement strict peut entraîner le rejet ou l'envoi vers le dossier "Spam" de messages provenant de sous-domaines associés.

Pour passer les contrôles DMARC, un message doit passer au moins l'un des contrôles suivants :

Authentification et alignement SPF
Authentification et alignement DKIM

Un message n'est pas validé par le contrôle DMARC s'il échoue aux deux contrôles suivants :

SPF, ou alignement SPF
DKIM, ou alignement DKIM

Étape 4 : Ajoutez l'enregistrement DMARC à votre domaine

Important : Pour cette étape, consultez la documentation d'aide de votre hébergeur de domaine sur DMARC. La procédure d'ajout d'un enregistrement DMARC varie selon l'hébergeur de domaine.

Ajouter ou modifier un enregistrement

Important : Assurez-vous de configurer DKIM et SPF avant de configurer DMARC. DKIM et SPF doivent authentifier les messages pendant au moins 48 heures avant l'activation de DMARC.

Préparez le fichier texte ou la ligne de votre enregistrement DMARC.
Connectez-vous à l'hébergeur de votre domaine. En général, il s'agit de l'entreprise qui vous a vendu le nom du domaine. Si vous ne savez pas qui est l'hébergeur de votre domaine, consultez Identifier le bureau d'enregistrement de votre domaine.
Accédez à la page vous permettant de mettre à jour les enregistrements TXT DNS de votre domaine. Pour savoir comment trouver cette page, consultez la documentation de votre domaine.

Ajoutez ou mettez à jour l'enregistrement TXT avec ces informations (reportez-vous à la documentation pour votre domaine) :

Nom du champ	Valeur à saisir
Type	Le type d'enregistrement est TXT.
Hôte (nom, nom d'hôte, alias)	Cette valeur doit être _dmarc.example.com (remplacez example.com par votre nom de domaine).
Valeur	Chaîne qui compose l'enregistrement TXT. Par exemple : v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s. Pour en savoir plus, consultez Préparez votre enregistrement DMARC (plus haut sur cette page).

Remarque : Certains hébergeurs de domaine ajoutent automatiquement le nom de domaine. Une fois l'enregistrement TXT ajouté ou modifié, vérifiez le nom de domaine dans l'enregistrement DMARC pour vous assurer que le format est correct.

Enregistrez les modifications.
Si vous configurez DMARC pour plusieurs domaines, procédez comme suit pour chacun d'entre eux. Chaque domaine peut être associé à une règle différente et à différentes options de rapport (définies dans l'enregistrement).
Pour vérifier si DMARC est configuré pour votre domaine, utilisez l'un des nombreux outils sans frais disponibles sur Internet.

Articles associés

_{Google, Google Workspace et les marques et logos associés sont des marques de Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.}

Choisissez la section sur laquelle vous souhaitez donner votre avis

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?