Proton
What is DMARC?

DMARC est une méthode d’authentification d’e-mails qui vérifie qu’un message provient d’un expéditeur légitime. Apprenez comment cela fonctionne et pourquoi vous en avez besoin pour améliorer la délivrabilité de vos e-mails et protéger votre domaine.

S’appuyant sur les protocoles d’authentification DKIM et SPF, DMARC aide à prévenir le détournement de votre domaine de messagerie (usurpation) et son utilisation pour des spams ou des attaques de phishing.

Nous expliquons DMARC, son fonctionnement avec SPF et DKIM, et pourquoi vous en avez besoin pour protéger votre domaine et assurer la délivrabilité de vos e-mails.

Qu’est-ce que DMARC ?
À quoi sert DMARC ?
Comment DMARC fonctionne avec SPF et DKIM
Comment fonctionne DMARC ?
Qu’est-ce qu’une politique DMARC ?
Qu’est-ce qu’un enregistrement DMARC ?
Pourquoi utiliser DMARC ?
Protégez votre domaine
Améliorez la délivrabilité des e-mails
Dépannez les e-mails
Configurez facilement DMARC avec Proton Mail

Bouton Obtenir Proton Mail

Qu’est-ce que DMARC ?

DMARC (Domain-based Message Authentication, Reporting, and Conformance) est une norme ouverte d’authentification de messagerie qui aide à prévenir les fraudeurs de forger (usurper) votre domaine.

Les spammeurs et escrocs peuvent forger l’adresse De des e-mails pour qu’ils semblent provenir d’un expéditeur de votre domaine (par exemple, nom@votredomaine.com).

DMARC vérifie que le champ De correspond au domaine dans les contrôles d’authentification DKIM et SPF, aidant les fournisseurs d’accès internet (FAI) et les fournisseurs de messagerie électronique à repérer les adresses usurpées. DMARC indique également aux serveurs de messagerie comment traiter les messages qui échouent à ces contrôles et permet aux destinataires de recevoir des rapports sur les e-mails qui échouent à l’authentification.

À quoi sert DMARC ?

Les fournisseurs de messagerie électronique et les FAI utilisent DMARC avec SPF et DKIM pour identifier les adresses usurpées, ce qui les aide à repérer et prévenir les spams et les e-mails de phishing. Par exemple, chez Proton Mail, DMARC est un outil que nous utilisons pour la sécurité des comptes et la lutte contre les abus.

Les plateformes de messagerie utilisent également DMARC pour surveiller et dépanner les e-mails. Avec DMARC, vous pouvez demander des rapports sur les messages qui ont échoué aux contrôles SPF et DKIM pour vous aider à identifier pourquoi les e-mails ne sont pas délivrés. Les rapports DMARC montrent également qui envoie des e-mails depuis votre domaine pour vous alerter sur d’éventuels fraudeurs abusant de votre domaine.

Fonctionnement du DMARC avec SPF et DKIM

Le DMARC fonctionne en conjonction avec SPF et DKIM pour vérifier que l’expéditeur d’un e-mail est authentique. Voici comment les trois méthodes d’authentification fonctionnent ensemble :

  • SPF (Sender Policy Framework) vérifie qu’un e-mail a été envoyé depuis une adresse IP autorisée à envoyer des e-mails pour le domaine de l’expéditeur.
  • DKIM (DomainKeys Identified Mail) vérifie de manière cryptographique que l’adresse de l’expéditeur et le contenu du message n’ont pas été modifiés pendant le transit.
  • DMARC (Domain-based Message Authentication, Reporting, and Conformance) s’assure que le domaine dans les vérifications DKIM et SPF correspond au domaine de l’expéditeur dans le champ From. Il spécifie également comment les serveurs de messagerie doivent traiter un message qui échoue aux vérifications DKIM et SPF — accepter, refuser ou le marquer comme spam.

Bien que le DMARC nécessite seulement soit SPF soit DKIM pour fonctionner, nous recommandons fortement à tous ceux qui utilisent un domaine personnalisé de configurer à la fois SPF et DKIM avec DMARC pour assurer une bonne livraison de vos e-mails.

Apprenez à configurer SPF, DKIM et DMARC avec Proton Mail

Comment fonctionne le DMARC ?

Le DMARC travaille avec SPF et/ou DKIM pour authentifier l’expéditeur d’un e-mail (champ From) et indique aux serveurs de messagerie comment acheminer les messages qui échouent à ces deux vérifications. Voici son fonctionnement :

Après avoir configuré SPF et/ou DKIM, vous devez publier un enregistrement DMARC, qui contient une politique DMARC. La politique DMARC indique aux serveurs de messagerie quelle action entreprendre avec les messages qui échouent aux vérifications SPF et DKIM. Il y a trois options :

Politique DMARCAction du serveur
AucuneNe prendre aucune action — le message continue vers la boîte de réception du destinataire.
QuarantaineDéplacer le message vers le dossier spam ou un autre dossier au lieu de la boîte de réception.
RefuserBloquer le message — le message n’est pas livré
Options de politique DMARC

Quelle que soit la politique DMARC que vous établissez, les services de messagerie peuvent adapter leurs actions pour optimiser la délivrabilité. Par exemple, comme il existe encore des cas où des e-mails légitimes échouent au DMARC, chez Proton Mail, nous ne bloquons pas les messages avec une politique DMARC « refuser » mais les envoyons vers le dossier spam avec un avertissement à l’utilisateur.

Une fois que vous avez publié votre enregistrement DMARC, vous êtes prêt à envoyer des e-mails avec DMARC comme suit :

  1. Vous envoyez un e-mail, par exemple, depuis l’adresse vous@votredomaine.com.
  2. Le serveur de messagerie destinataire recherche la politique DMARC de votre domaine dans votre enregistrement DMARC sur le serveur DNS.
Fonctionnement de DMARC (partie 1), illustrant comment un serveur de messagerie récepteur consulte votre enregistrement DMARC sur le serveur DNS
Fonctionnement du DMARC (1)
  1. Selon la politique DMARC, le serveur de messagerie récepteur effectue les tests d’authentification DMARC, SPF et DKIM, en vérifiant que le domaine dans le champ De du message est « aligné avec » (correspond au) domaine dans SPF et DKIM.
    • Pour SPF, le champ De doit s’aligner avec le domaine dans le champ Chemin de retour dans l’en-tête d’e-mail.
    • Pour DKIM, le champ De doit s’aligner avec le domaine (d) dans la signature DKIM.
  2. Si le message réussit à la fois l’authentification et le test d’alignement pour SPF ou DKIM, alors il passe DMARC. S’il échoue à l’authentification ou au test d’alignement pour SPF et DKIM, il échoue DMARC.
Fonctionnement de DMARC (partie 2), montrant comment DMARC vérifie à la fois l'authentification et l'alignement du domaine pour SPF et DKIM
Fonctionnement de DMARC (2)
  1. Lorsqu’un message échoue DMARC, le serveur de messagerie le dirige selon la politique DMARC (aucune/quarantaine/rejet).
  2. Les serveurs de messagerie recevant des messages de votre domaine envoient régulièrement des e-mails avec les résultats d’authentification à vous, le propriétaire du domaine (en supposant que vous avez inclus une adresse de rapport dans votre enregistrement DMARC et que le serveur de messagerie est configuré pour envoyer des rapports DMARC).
Fonctionnement de DMARC (partie 3), illustrant comment DMARC dirige le courrier selon les options de politique DMARC (aucune/quarantaine/rejet)
Fonctionnement de DMARC (3)

Qu’est-ce qu’une politique DMARC ?

Une politique DMARC permet au propriétaire d’un domaine de spécifier ce qu’un serveur de messagerie récepteur doit faire avec les e-mails qui échouent DMARC, en d’autres termes, échouent à la fois SPF et DKIM.

Il existe trois options pour les politiques DMARC, qui sont indiquées par la balise « p= » dans un enregistrement DMARC :

  • p=aucune : Ne prendre aucune mesure, donc tous les messages qui échouent à l’authentification seront livrés.
  • p=quarantaine : Envoyer les messages ayant échoué dans le dossier spam.
  • p=rejet : Bloquer les messages échoués, ils ne seront donc pas livrés.

p=aucune peut être utile lorsque vous avez un nouveau domaine et souhaitez vérifier que vos e-mails légitimes sont livrés. Avec p=aucune, tous les messages sont livrés indépendamment de l’authentification, et vous recevez des rapports par e-mail que vous pouvez utiliser pour repérer les problèmes d’authentification.

Cependant, une fois que vous êtes confiant que votre e-mail est correctement configuré, nous recommandons de passer à p=quarantaine, qui envoie les messages échoués dans le dossier spam.

Si vous pensez être susceptible d’être la cible de usurpation d’e-mail, réglez p=rejet. Par exemple, des sites comme PayPal et eBay utilisent p=rejet car ils sont ciblés par des spammeurs et des escrocs qui imitent leurs domaines.

Qu’est-ce qu’un enregistrement DMARC ?

Un enregistrement DMARC est un type d’enregistrement texte DNS(nouvelle fenêtre) qui indique aux serveurs de messagerie récepteurs qu’un domaine est protégé par l’authentification DMARC. Typiquement, les enregistrements DMARC incluent :

  • Une politique DMARC, qui indique aux serveurs de messagerie récepteurs quoi faire lorsqu’un e-mail échoue aux authentifications SPF et DKIM
  • Une adresse e-mail optionnelle où les serveurs de messagerie peuvent envoyer des rapports DMARC concernant l’authentification des e-mails envoyés depuis ce domaine.

Un enregistrement DMARC se compose d’une série de balises, comme v=DMARC1, p=quarantaine, etc.

Exemple d’enregistrement DMARC

Voici un exemple d’enregistrement DMARC avec une explication des balises ci-dessous :

Exemple d’enregistrement DMARC chez le registraire de domaines Namecheap
  • v=DMARC1 : Le numéro de version DMARC. Chaque enregistrement DMARC doit commencer par cette balise.
  • p=quarantine : La politique DMARC, qui indique au serveur de messagerie destinataire d’envoyer les messages qui échouent au DMARC dans le dossier des spams. Cette valeur peut également être p=none ou p=reject (en savoir plus sur les politiques DMARC ci-dessus).
  • rua=votre@votredomaine.com : Spécifie l’adresse pour recevoir les rapports d’agrégation DMARC, qui vous donnent un aperçu statistique de tout le trafic d’e-mails de votre domaine. Vous pouvez également utiliser la balise ruf= (par exemple, ruf=votre@votredomaine.com) pour recevoir des rapports DMARC forensiques plus détaillés sur le statut d’authentification de vos e-mails.

Il existe 11 balises différentes qui peuvent être ajoutées à un enregistrement DMARC, mais seules v et p sont obligatoires.

D’autres balises courantes sont adkim et aspf, qui spécifient la rigueur avec laquelle le domaine du champ De doit correspondre au domaine dans les contrôles DKIM et SPF (voir comment fonctionne DMARC ci-dessus pour plus de détails). La valeur peut être soit « strict » (s), nécessitant une correspondance exacte, soit « relaxé » (r), permettant les sous-domaines.

Par exemple, si vous définissez la valeur adkim=s pour votre domaine (votredomaine.com), seuls les e-mails envoyés depuis @votredomaine.com passeront le DMARC. Mais si vous changez cette valeur en adkim=r, les e-mails envoyés depuis des sous-domaines, comme @news.votredomaine.com ou @info.votredomaine.com, passeront également.

Si vous souhaitez maintenir une stricte correspondance et autoriser les sous-domaines, vous pouvez simplement ajouter un enregistrement DMARC séparé pour chaque sous-domaine.

Pourquoi utiliser DMARC ?

Si vous possédez votre propre domaine, nous vous recommandons fortement de mettre en place DMARC, conjointement avec SPF et DKIM. Voici pourquoi :

Protégez votre domaine

DMARC authentifie l’adresse de l’expéditeur dans vos e-mails, rendant plus difficile pour les fraudeurs d’usurper votre domaine. Ainsi, la mise en œuvre de DMARC aide à prévenir les attaquants d’utiliser votre domaine pour des attaques de spam ou de phishing.

Améliorez la délivrabilité des e-mails

Les e-mails envoyés avec DMARC paraissent légitimes et peuvent être facilement vérifiés. Ainsi, la mise en œuvre de DMARC réduit les chances que vos e-mails finissent dans le dossier des spams. Et plus vous envoyez d’e-mails authentifiés, plus vous construisez la réputation d’envoi de votre domaine auprès des fournisseurs de services d’e-mail à long terme.

Dépannage des e-mails

Avec DMARC, vous pouvez recevoir des rapports réguliers vous permettant de surveiller l’authentification de vos e-mails et de suivre qui envoie des e-mails. De cette façon, vous pouvez résoudre tout problème d’authentification et repérer les spammeurs ou fraudeurs abusant de votre domaine.

Configurez facilement DMARC avec Proton Mail

Utiliser DMARC avec SPF et DKIM est le moyen le plus efficace de prévenir l’abus de votre domaine pour des attaques de spam ou de phishing. Cependant, la configuration de DMARC peut être complexe, car elle dépend de la mise en œuvre réussie de SPF et/ou DKIM pour fonctionner.

C’est pourquoi nous avons créé un assistant simple pour vous montrer comment faire. Souscrivez à un abonnement payant Proton Mail, et nous vous guiderons étape par étape dans la configuration de votre domaine personnalisé et le paramétrage correct de SPF, DKIM et DMARC.

Optez pour Proton Mail Plus pour un domaine unique ou pour Proton Unlimited avec prise en charge de trois domaines, 15 adresses, 500 Go de stockage et plus encore.

Si vous avez une entreprise, vous pouvez facilement configurer DMARC pour protéger le domaine de votre marque avec Proton for Business. Ou si vous souhaitez simplement essayer une boite mail sécurisée et privée, obtenez gratuitement Proton Mail.

Tous les abonnements Proton incluent Proton Mail chiffré de bout en bout, Proton Calendar, Proton Drive et Proton VPN(nouvelle fenêtre). Alors rejoignez-nous et restez en sécurité !

Articles similaires

Proton Lifetime Fundraiser 7th edition
en
Learn how to join our 2024 Lifetime Account Charity Fundraiser, your chance to win our most exclusive plan and fight for a better internet.
The cover image for a Proton Pass blog about zero trust security showing a dial marked 'zero trust' turned all the way to the right
en
Cybersecurity for businesses is harder than ever: find out how zero trust security can prevent data breaches within your business.
How to protect your inbox from an email extractor
en
Learn how an email extractor works, why your email address is valuable, how to protect your inbox, and what to do if your email address is exposed.
How to whitelist an email address and keep important messages in your inbox
en
Find out what email whitelisting is, why it’s useful, how to whitelist email addresses on different platforms, and how Proton Mail can help.
The cover image for Proton blog about cyberthreats businesses will face in 2025, showing a webpage, a mask, and an error message hanging on a fishing hook
en
Thousands of businesses of all sizes were impacted by cybercrime in 2024. Here are the top cybersecurity threats we expect companies to face in 2025—and how Proton Pass can protect your business.
A graphic interpretation of a block of how many gigabytes in a terabyte
en
Learn how many GB are in a TB and discover the best way to securely store and share your files — no matter their size.