Configurer DMARC

Utilisateurs Gmail : si vous recevez des messages de spam ou d'hameçonnage dans Gmail, cliquez ici. Si vous rencontrez des difficultés pour envoyer ou recevoir des e-mails dans Gmail, cliquez ici.

En tant qu'administrateur, vous pouvez configurer l'authentification DMARC après avoir configuré SPF et DKIM. DMARC vous permet d'indiquer aux serveurs de messagerie l'action à effectuer lorsqu'ils reçoivent un message qui ne passe pas les contrôles d'authentification SPF ou DKIM. Vous pouvez également obtenir des rapports qui vous aident à identifier les éventuels problèmes d'authentification et activités malveillantes liés aux messages envoyés depuis votre domaine.

What is DMARC?

DMARC permet de protéger les utilisateurs contre les e-mails falsifiés
et vous permet de gérer les messages qui ne passent pas les contrôles SPF ou DKIM.

Sur cette page

Étape 1 : Activez SPF et DKIM

Avant de pouvoir utiliser DMARC, vous devez activer SPF et DKIM pour votre domaine. Si vous n'avez pas encore configuré SPF et DKIM, consultez Empêcher le spoofing, l'hameçonnage et le spam.

Les normes SPF, DKIM et DMARC sont appliquées distinctement pour chaque domaine. Si vous gérez plusieurs domaines, vous devez les activer séparément pour chacun des domaines.

Important :

  • Si vous ne configurez pas SPF et DKIM avant d'activer DMARC, les messages envoyés depuis votre domaine risquent de rencontrer des problèmes de distribution.
  • Vous devez patienter 48 heures après avoir configuré les enregistrements SPF et DKIM avant de configurer DMARC.

Étape 2 : Vérifiez si DMARC est déjà configuré

Si vous utilisez Google Workspace, vérifiez si DMARC est configuré à l'aide de Google Admin Toolbox. Sinon, suivez la procédure de vérification de votre fournisseur de domaine.

Vérification à l'aide de Google Admin Toolbox :

  1. Accédez à Google Admin Toolbox.
  2. Accédez à Vérifier les problèmes DNSpuisVérification MX.
  3. Saisissez votre nom de domaine dans le champ Nom du domaine, puis cliquez sur Lancer la vérification.
  4. Les résultats indiquent si votre domaine dispose d'un enregistrement DMARC :
    • DMARC n'est pas configuré : votre domaine ne dispose pas encore d'un enregistrement DMARC.
    • Mise en forme des règles DMARC : votre domaine dispose d'un enregistrement DMARC.

Vérification auprès de votre fournisseur de domaine :

  1. Connectez-vous à la console de gestion de votre fournisseur de domaine.
  2. Accédez à la page vous permettant de modifier les enregistrements TXT DNS de votre domaine.
  3. Si vous disposez d'un enregistrement DMARC, une entrée d'enregistrement TXT commençant par v=DMARC s'affiche sous le sous-domaine _dmarc.example.com (example étant votre nom de domaine).

Procédez comme suit en fonction des résultats :

Étape 3 : Configurez un groupe ou une boîte aux lettres pour les rapports

Le nombre de rapports DMARC que vous recevez par e-mail peut varier, et dépend de la quantité d'e-mails envoyés depuis votre domaine et du nombre de domaines destinataires. De nombreux rapports peuvent alors être reçus chaque jour, jusqu'à plusieurs centaines dans les grandes entreprises.

Les rapports DMARC vous indiquent quels messages envoyés depuis votre domaine sont authentifiés via SPF et DKIM, et si certains messages échouent régulièrement à l'authentification. Vous pouvez également utiliser les rapports pour vérifier qui envoie des e-mails au nom de votre domaine et être averti en cas de spam potentiel. L'examen des rapports DMARC est particulièrement utile pendant la phase de déploiement. Consultez Déploiement DMARC recommandé.

Google vous recommande de créer une boîte aux lettres ou un groupe dédié afin d'y recevoir et d'y gérer les rapports DMARC.

Important : En règle générale, l'adresse e-mail permettant de recevoir des rapports appartient au même domaine que celui qui héberge votre enregistrement DMARC. Si l'adresse e-mail est associée à un autre domaine, vous devez ajouter un enregistrement DNS sur ce domaine. Pour en savoir plus, consultez Envoyer des rapports à une adresse e-mail appartenant à un autre domaine sur la page Rapports DMARC.

Étape 4 : Assurez-vous que les services tiers sont authentifiés

Si vous envoyez des e-mails pour votre organisation à l'aide d'un service tiers, vous devez vous assurer que les messages envoyés par ce service sont authentifiés et qu'ils passent les contrôles SPF et DKIM :

  • Contactez votre fournisseur tiers pour vous assurer que DKIM est correctement configuré.
  • Assurez-vous que le domaine de l'expéditeur de l'enveloppe du fournisseur correspond à votre domaine. Ajoutez l'adresse IP des serveurs de messagerie d'envoi du fournisseur à l'enregistrement SPF de votre domaine.
  • Acheminez le courrier sortant provenant du fournisseur via Google à l'aide du paramètre de service de relais SMTP.

Étape 5 : Préparez votre enregistrement DMARC

Votre règle DMARC est définie dans une ligne de valeurs textuelles, appelée enregistrement DMARC. L'enregistrement définit :

  • le degré de contrôle des messages par la règle DMARC ;
  • les actions recommandées pour le serveur de réception lorsqu'il reçoit des messages qui ne sont pas validés par les contrôles d'authentification.

Exemple d'enregistrement de règle DMARC (remplacez example.com par votre domaine) :

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

Les balises v et p doivent être répertoriées en premier. Les autres peuvent être classées dans n'importe quel ordre.

Lorsque vous commencez à utiliser DMARC, nous vous recommandons de définir l'option de règle (p) sur none. Modifiez vos règles à mesure que vous découvrez comment les messages provenant de votre domaine sont authentifiés par les serveurs de réception. Au fil du temps, définissez la règle de destinataire sur quarantine (or reject). Consultez Déploiement DMARC recommandé.

Définitions et valeurs des balises d'enregistrement DMARC

Tag Description et valeurs
v

(Obligatoire) Version DMARC. doit être DMARC1

p (Obligatoire) Indique au serveur de messagerie de réception comment traiter les messages qui n'ont pas été authentifiés.
  • noneN'effectuer aucune action sur le message, qui est transmis au destinataire souhaité. Les messages sont consignés dans un rapport quotidien. Le rapport est envoyé à l'adresse e-mail spécifiée à l'aide de l'option rua dans l'enregistrement.
  • quarantine— : les messages sont marqués comme spam et placés dans le dossier "Spam" du destinataire. Les destinataires peuvent examiner les spams afin d'identifier les messages légitimes.
  • reject—Rejeter le message. Avec cette option, le serveur de réception envoie généralement un message d'erreur automatique au serveur d'envoi.

Remarque sur le BIMI : Si votre domaine utilise la norme BIMI, l'option p DMARC doit être définie surquarantine (quarantaine) ou reject (rejeter). BIMI n'est pas compatible avec les règles DMARC si l'option p est définie sur none (aucun).

pct

Le tag pct est facultatif, mais Google vous recommande de l'inclure dans votre enregistrement DMARC lors du déploiement de DMARC afin de pouvoir gérer le pourcentage d'e-mails auxquels votre règle DMARC s'applique.

Indique le pourcentage de messages non authentifiés soumis à la règle DMARC. Lorsque vous déployez progressivement DMARC, vous pouvez commencer par appliquer un petit pourcentage de messages. À mesure que les messages de votre domaine réussissent l'authentification auprès des serveurs de réception, modifiez votre enregistrement en lui appliquant un pourcentage plus élevé, jusqu'à atteindre 100 %.

La valeur doit être un nombre entier compris entre 1 et 100. Si vous n'incluez pas cette option dans l'enregistrement, votre règle DMARC est appliquée à 100 % des messages envoyés depuis votre domaine.

Remarque sur le BIMI : Si votre domaine utilise la norme BIMI, la valeur pct de votre règle DMARC doit être 100. BIMI n'est pas compatible avec les règles DMARC si la valeur pct est définie sur moins de 100.

rua

Le tag rua est facultatif, mais Google vous recommande de toujours l'inclure dans votre enregistrement DMARC.

Envoyez les rapports DMARC à une adresse e-mail. L'adresse e-mail doit inclure mailto:.
Par exemple : mailto:dmarc-reports@example.com (remplacez example.com par votre domaine).

  • Pour envoyer des rapports DMARC à plusieurs adresses e-mail, séparez ces adresses par des virgules et ajoutez le préfixe mailto: avant chacune d'elles. Par exemple : mailto:dmarc-reports@example.com, mailto:dmarc-admin@example.com (remplacez example.com par votre domaine).
  • Cette option peut générer un grand nombre de rapports envoyés par e-mail. Nous vous déconseillons d'utiliser votre propre adresse e-mail. Privilégiez l'utilisation d'une boîte aux lettres ou d'un groupe dédié, ou d'un service tiers spécialisé dans les rapports DMARC.
  • Pour envoyer des rapports DMARC à une adresse e-mail appartenant à un domaine différent de celui qui héberge votre enregistrement DMARC, ajoutez un enregistrement TXT au DNS du domaine de messagerie. Pour en savoir plus, consultez Envoyer des rapports à une adresse e-mail appartenant à un autre domaine sur la page Rapports DMARC.
ruf

(Non compatible) Gmail n'est pas compatible avec le tag ruf permettant d'envoyer des rapports d'échec. Les rapports d'échec sont également appelés "rapports d'analyse".

sp (Facultatif) Définit la règle correspondant aux messages provenant des sous-domaines de votre domaine principal. Choisissez cette option si vous souhaitez utiliser une autre règle DMARC pour vos sous-domaines.
  • noneTake no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy.
  • quarantineMarquer les messages comme spam et les placer dans le dossier de spam du destinataire. Les destinataires peuvent examiner les spams afin d'identifier les messages légitimes.
  • rejectRejeter le message. Avec cette option, le serveur de réception doit envoyer un message d'erreur automatique au serveur d'envoi.

Si vous n'utilisez pas cette option dans l'enregistrement, les sous-domaines héritent de la règle DMARC définie pour le domaine parent.

adkim (Facultatif) Définit la règle d'alignement pour DKIM, qui détermine à quel point les informations des messages doivent correspondre aux signatures DKIM. Découvrez comment fonctionne l'alignement (plus loin sur cette page).
  • sAlignement strict. Le nom de domaine de l'expéditeur doit correspondre exactement au d=domainname associé dans les en-têtes de message DKIM.
  • rRelaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain in the DKIM mail headers is accepted.
aspf (Facultatif) Définit la règle d'alignement pour SPF, qui détermine à quel point les informations des messages doivent correspondre aux signatures SPF. Découvrez comment fonctionne l'alignement (plus loin sur cette page).
  • s : alignement strict. L'en-tête "De" du message doit correspondre exactement au nom de domaine de la commande SMTP "MAIL FROM".
  • rAlignement souple (option par défaut). Autorise les correspondances partielles. Tout sous-domaine valide du nom de domaine est accepté.

Alignement DMARC

Les contrôles DMARC valident ou non un message en fonction du degré de correspondance entre le domaine figurant dans l'en-tête De et le domaine d'envoi spécifié par SPF ou DKIM. C'est ce que l'on appelle l'alignement.

Vous avez le choix entre deux modes d'alignement : strict et souple. Vous définissez le mode d'alignement pour SPF et DKIM dans l'enregistrement DMARC à l'aide des balises d'enregistrement DMARC aspf et adkim.

Méthode d'authentification Alignement strict Alignement souple
SPF Correspondance exacte entre le domaine figurant dans l'adresse de l'expéditeur de l'enveloppe (également appelée adresse "Return-Path" ou adresse de renvoi) et le domaine figurant dans l'en-tête De Le domaine indiqué dans l'en-tête De doit correspondre au domaine figurant dans l'adresse de l'expéditeur de l'enveloppe (également appelée adresse "Return-Path" ou adresse de renvoi) ou en être un sous-domaine.
DKIM Correspondance exacte entre le domaine DKIM concerné et le domaine figurant dans l'en-tête De

Dans certains cas, Google vous recommande d'opter pour un alignement strict afin de renforcer la protection contre le spoofing :

  • Des messages envoyés à votre domaine proviennent d'un sous-domaine que vous ne contrôlez pas.
  • Certains de vos sous-domaines sont gérés par une autre entité.
Important : En règle générale, un alignement souple suffit à la protection contre le spoofing. Un alignement strict peut entraîner le rejet ou l'envoi vers le dossier "Spam" de messages provenant de sous-domaines associés.

Pour passer les contrôles DMARC, un message doit passer au moins l'un des contrôles suivants :

  • Authentification et alignement SPF 
  • Authentification et alignement DKIM

Un message n'est pas validé par le contrôle DMARC s'il échoue aux deux contrôles suivants :

  • SPF, ou alignement SPF
  • DKIM, ou alignement DKIM

Étape 6 : Ajoutez votre enregistrement DMARC

Après avoir préparé le texte de votre enregistrement DMARC, ajoutez ou modifiez l'enregistrement TXT DNS DMARC auprès de votre fournisseur de domaine. Chaque fois que vous modifiez vos règles DMARC et votre enregistrement, vous devez également modifier l'enregistrement TXT DMARC auprès de votre fournisseur de domaine.

Ajouter ou modifier un enregistrement

Important : Assurez-vous de configurer DKIM et SPF avant de configurer DMARC. DKIM et SPF doivent authentifier les messages pendant au moins 48 heures avant l'activation de DMARC.

  1. Préparez le fichier texte ou la ligne de votre enregistrement DMARC.
  2. Connectez-vous à l'hébergeur de votre domaine. En général, il s'agit de l'entreprise qui vous a vendu le nom du domaine. Si vous ne savez pas qui est l'hébergeur de votre domaine, consultez Identifier le bureau d'enregistrement de votre domaine.
  3. Accédez à la page vous permettant de mettre à jour les enregistrements TXT DNS de votre domaine. Pour savoir comment trouver cette page, consultez la documentation de votre domaine.
  4. Ajoutez ou mettez à jour l'enregistrement TXT avec ces informations (reportez-vous à la documentation pour votre domaine) :

    Nom du champ Valeur à saisir
    Type Le type d'enregistrement est TXT.
    Hôte (nom, nom d'hôte, alias) Cette valeur doit être _dmarc.example.com (remplacez example.com par votre nom de domaine).
    Valeur Chaîne qui compose l'enregistrement TXT. Par exemple : v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s. Pour en savoir plus, consultez Préparer votre enregistrement DMARC (plus haut sur cette page).
    Remarque : Certains hébergeurs de domaine ajoutent automatiquement le nom de domaine. Une fois l'enregistrement TXT ajouté ou modifié, vérifiez le nom de domaine dans l'enregistrement DMARC pour vous assurer que le format est correct.
  5. Enregistrez les modifications.
  6. Si vous configurez DMARC pour plusieurs domaines, procédez comme suit pour chacun d'entre eux. Chaque domaine peut être associé à une règle différente et à différentes options de rapport (définies dans l'enregistrement).

Étape 7 : Validez votre enregistrement DMARC

Important : Les domaines utilisés dans les étapes ci-dessous ne sont que des exemples. Remplacez ces exemples de domaines par vos propres domaines.

Certains hébergeurs de domaine ajoutent automatiquement votre nom de domaine à la fin du nom de l'enregistrement TXT. Pour cette raison, le nom de l'enregistrement TXT DMARC peut ne pas présenter le bon format. Par exemple, si vous saisissez _dmarc.example.com et que votre hébergeur de domaine ajoute automatiquement votre nom de domaine, le nom de l'enregistrement TXT présentera le format incorrect suivant : _dmarc.example.com.example.com.

Après avoir ajouté l'enregistrement TXT DMARC en suivant les étapes décrites dans Ajouter ou modifier un enregistrement, vérifiez le nom de l'enregistrement TXT pour vous assurer que le format est correct.

Dans Google Admin Toolbox, vous pouvez utiliser la fonctionnalité Dig pour consulter et valider votre enregistrement TXT DMARC :

  1. Accédez à la Google Admin Toolbox, puis sélectionnez la fonctionnalité Dig.
  2. Dans le champ Nom, saisissez _dmarc. suivi de votre nom de domaine complet. Par exemple, si votre nom de domaine est example.com, saisissez _dmarc.example.com.
  3. Sous le champ Nom, cliquez sur TXT.
  4. Vérifiez le nom de votre enregistrement TXT DMARC dans les résultats. Recherchez la ligne de texte commençant par _dmarc.

Articles associés


Google, Google Workspace et les marques et logos associés sont des marques de Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?
Recherche
Effacer la recherche
Fermer le champ de recherche
Applications Google
Menu principal