Mettre en œuvre DMARC n’a rien d’insurmontable. Ce guide complet vous accompagne à chaque étape du déploiement de l’authentification DMARC en 2025, de la configuration initiale à l'application totale, en partageant des stratégies éprouvées afin de protéger votre domaine sans compromettre la délivrabilité de vos emails.

Les menaces liées aux emails, comme le phishing et le vol de justificatifs, représentent 44 % des violations de données selon Verizon [1], rendant une authentification robuste des emails essentielle pour la sécurité des organisations. Pourtant, la mise en œuvre de DMARC peut paraître très complexe à cause de conseils contradictoires concernant les enregistrements DNS, les protocoles d’authentification et la configuration correcte de DKIM et SPF.

L’implémentation de DMARC paraît plus complexe qu’elle ne l’est réellement. Avec la bonne approche et un accompagnement adapté, les organisations peuvent déployer une authentification des emails de niveau entreprise stoppant les attaques de spoofing tout en garantissant la livraison des emails légitimes.

Dans le monde, 50,2 % des entreprises cotées ont atteint une application totale de DMARC [2]. Les organisations sans authentification des emails adaptée sont de plus en plus exposées, alors que de grands fournisseurs comme Google et Yahoo exigent désormais DMARC pour les expéditeurs de masse, rendant sa mise en œuvre incontournable pour la délivrabilité. Beaucoup d’organisations hésitent encore à appliquer des politiques fermes : près de 75 % restent en mode surveillance (p=none) au lieu d’appliquer effectivement DMARC [5].

Ce guide vous conduira à travers l’intégralité du processus de mise en œuvre de DMARC, étape par étape, avec des conseils concrets et des stratégies éprouvées. À la fin de votre lecture, vous disposerez d’un système d’authentification robuste pour protéger la réputation de votre marque et sécuriser vos communications.

1. Auditez et préparez : Recensez vos sources d’envoi d’email et vérifiez la configuration correcte de SPF/DKIM
2. Créez votre politique initiale : Commencez en mode surveillance (p=none) pour récolter des informations
3. Déployez et surveillez : Publiez votre enregistrement DMARC et analysez les rapports entrants
4. Identifiez et authentifiez : Ajoutez les sources légitimes et leur authentification dans la zone DNS
5. Faites appliquer progressivement : Passez de la surveillance à la quarantaine, puis au rejet
6. Maintenez et optimisez : Surveillez en continu et ajustez la politique

Résultat attendu : Protection totale contre le spoofing avec un taux de délivrabilité supérieur à 99 % pour les emails légitimes

Ce que vous faites : Publier un premier enregistrement DMARC en mode surveillance afin de collecter des données d’authentification sans impacter la livraison des emails.

Exemple : v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com; ruf=mailto:dmarc-failures@yourdomain.com; pct=100

• Utilisez des adresses capables de traiter un volume important d’emails entrants
• Pensez à un service de gestion des rapports DMARC pour simplifier l’analyse

• Accédez à votre console DNS
• Créez un nouvel enregistrement TXT avec l’hôte : _dmarc.yourdomain.com
• Collez votre enregistrement DMARC dans la valeur
• Réglez le TTL à 3600 secondes (1h) pour faciliter les tests

À quoi ressemble le succès : L’enregistrement DMARC est publié et la propagation DNS est terminée (vérifiez avec les commandes dig ou nslookup).

Dépannage : Si les changements DNS ne se propagent pas, vérifiez les délais de mise à jour auprès de votre prestataire DNS. Certains peuvent mettre jusqu’à 24h pour propager partout.

Ce que vous faites : Constituer l’inventaire complet de votre écosystème email et assurer la bonne configuration des protocoles d’authentification prérequis.

• Incluez votre domaine principal (ex : company.com)
• Listez tous les sous-domaines (ex : marketing.company.com, support.company.com)
• Identifiez les prestataires tiers envoyant des emails pour votre compte

• Plateformes emailing (Mailchimp, Constant Contact, etc.)
• CRM (Salesforce, HubSpot, etc.)
• Services transactionnels (SendGrid, Mailgun, etc.)
• Serveurs et applications internes
• Systèmes automatisés d’envoi de notifications

• Assurez-vous de ne pas avoir de redondance SPF grâce à l’analyse des rapports DMARC
• Confirmez que DKIM est activé sur tous les services d’envoi
• Testez avec des outils comme Red Sift Investigate

À quoi ressemble le succès : Vous possédez l’inventaire complet des sources d’email et la certitude que SPF/DKIM sont bien configurés pour chaque expéditeur légitime.

Dépannage : Si vous découvrez des sources sans SPF/DKIM, configurez ces protocoles avant d’aller plus loin. Sans authentification, vos emails légitimes échoueront les contrôles DMARC.

Ce que vous faites : Collecter et analyser les rapports DMARC pour comprendre votre paysage d’authentification et détecter d’éventuels problèmes.

• Laissez le temps aux fournisseurs d’envoyer les rapports
• Les principaux opérateurs envoient généralement chaque jour
• Les plus petits envoient moins souvent

• Téléchargez les rapports XML depuis votre boîte dédiée
• Utilisez des outils DMARC pour lire les XML ou, si vous avez un service de rapport, consultez leur console
• Repérez les tendances entre passages et échecs d’authentification

• Examinez les sources échouant l’alignement SPF
• Vérifiez les problèmes de signature DKIM
• Notez les adresses IP ou expéditeurs inattendus

Concentrez-vous en priorité sur les gros volumes. Une seule plateforme marketing mal configurée peut générer des milliers d’échecs DMARC, alors qu’un système très rarement utilisé en créera très peu.

À quoi ressemble le succès : Vous recevez les rapports régulièrement et identifiez les sources qui passent ou échouent les contrôles d’authentification.

Dépannage : Si vous ne recevez pas de rapports, vérifiez l’exactitude des adresses rua/ruf et que vos serveurs ne bloquent pas les rapports entrants en spam.

Ce que vous faites : Mettez à jour les enregistrements SPF et DKIM pour garantir que toutes les sources légitimes réussissent l’authentification DMARC.

• Ajoutez les adresses IP manquantes dans SPF, uniquement si le return-path correspond
• Modifiez les instructions include pour les services tiers
• Le SPF ne doit pas dépasser la limite de 10 consultations DNS*

*Optez de préférence pour un prestataire DMARC éliminant la limite de 10 requêtes, comme Red Sift OnDMARC

• Activez la signature DKIM là où elle ne l’était pas
• Modifiez les sélecteurs et clés publiques au besoin
• Vérifiez que DKIM est bien aligné avec votre domaine

• Configurez SRS (Sender Rewriting Scheme) ou ARC (Authenticated Received Chain) pour les emails transférés
• Pensez à d’autres approches pour les routages complexes
• Tenez la liste des sources légitimes impossibles à authentifier

Lors de la mise à jour SPF, utilisez « include » pour les services tiers plutôt que lister chaque IP. Cela permet de bénéficier des mises à jour de leur infrastructure automatiquement.

À quoi ressemble le succès : Vos rapports DMARC montrent un taux de réussite de plus de 95 % pour les sources légitimes, seuls les messages suspects ou frauduleux échouant.

Dépannage : Si des emails légitimes échouent toujours, vérifiez l’existence de redirections, de modifications par des listes de diffusion ou d’intermédiaires modifiant les messages. Il se peut que vous ne puissiez rien faire pour certaines nouveautés techniques.

Red Sift OnDMARC transforme un déploiement DMARC complexe et chronophage en une expérience fluide et accompagnée. Solution DMARC n°1 en EMEA avec une note de 4.9 étoiles sur G2, Red Sift a aidé plus de 1 200 organisations à obtenir une protection DMARC totale en 6 à 8 semaines.

• Analyse automatisée des rapports : Plutôt que de décoder des fichiers XML, OnDMARC fournit des tableaux de bord clairs et exploitables, même sur des données d’authentification complexes
• Progression guidée de la politique : La plateforme recommande automatiquement quand passer de la surveillance à la quarantaine, puis au rejet, selon vos taux de succès
• Découverte intelligente des sources : OnDMARC identifie toutes les sources émettant depuis votre domaine, y compris celles de shadow IT non documentées
• Authentification en un clic : Configuration SPF et DKIM facilitée, avec mises à jour automatiques en cas de changement chez vos prestataires
• Support expert : Accès à l’équipe primée Customer Success de Red Sift, pour un accompagnement même dans les scénarios complexes

• Sécurité essentielle : DMARC n’est plus une option, mais une prévention devenant indispensable contre le phishing et le spoofing
• Environnements email complexes : Entreprises gérant de multiples domaines, sous-domaines et prestataires
• Besoins de déploiement rapide : Conformité DMARC urgente pour exigences réglementaires ou business
• Ressources internes limitées : Bénéficier de la protection d’entreprise sans monopoliser les ressources techniques internes
• Gestion continue : Organisations souhaitant une surveillance active et non une configuration unique

Ce que vous faites : Passer du mode surveillance à l’application active, en commençant par la quarantaine puis en passant au rejet.

1. Transition vers la politique de quarantaine

Exemple : v=DMARC1; p=quarantine; pct=25;rua=mailto:dmarc-reports@yourdomain.com;ruf=mailto:dmarc-failures@yourdomain.com

• Commencez avec 25 % des messages non conformes concernés
• Surveillez si des emails légitimes sont mis en quarantaine
• Augmentez progressivement la valeur pct : 25 % → 50 % → 75 % → 100 %

1. Surveillez l’impact de la quarantaine

• Vérifiez auprès des utilisateurs si des mails manquent
• Regardez dans les spams pour détecter les messages légitimes
• Analysez les rapports pour tout nouvel échec d’authentification

1. Passez à la politique de rejet

Exemple : v=DMARC1; p=reject; pct=25;rua=mailto:dmarc-reports@yourdomain.com;ruf=mailto:dmarc-failures@yourdomain.com

• Démarrez à 25 % puis augmentez progressivement
• C’est le plus haut niveau de sécurité pour votre domaine
• Les emails frauduleux sont complètement bloqués

Progressez lentement : une semaine de plus en mode quarantaine est préférable à un blocage accidentel de communications d’affaires légitimes.

À quoi ressemble le succès : Vous atteignez p=reject et pct=100, vos rapports DMARC montrent des taux de réussite stables pour les sources légitimes, et le spoofing est bloqué.

Dépannage : Si des emails légitimes sont rejetés, baissez immédiatement la valeur pct et examinez la cause de l’échec. Ne précipitez jamais la progression car la délivrabilité est essentielle à l’activité.

Ce que vous faites : Mettre en place une surveillance continue et un processus d’optimisation des politiques pour garantir la sécurité email sur le long terme.

• Analyse hebdomadaire des rapports DMARC agrégés
• Révision mensuelle des tendances et des nouveaux expéditeurs
• Évaluation trimestrielle de l’efficacité des politiques

• Surveillez toute hausse subite des échecs DMARC
• Détectez l’apparition de nouvelles sources d’envoi
• Suivez l’évolution du taux de réussite

• Mettez à jour SPF lors de l’ajout de nouveaux services
• Faites tourner vos clés DKIM selon les meilleures pratiques
• Révisez et mettez à jour les politiques DMARC en fonction de l’évolution de votre infrastructure email

Documentez votre configuration et vos procédures. En cas de changement d’équipe ou d’ajout de service, une documentation claire garantit la robustesse de votre authentification.

À quoi ressemble le succès : Vous avez des processus établis qui maintiennent un taux de réussite >99 % tout en détectant et traitant rapidement nouvelles menaces ou problèmes de configuration.

Dépannage : Si le taux de réussite baisse, vérifiez en priorité les changements récents sur vos services ou DNS. La plupart des soucis DMARC viennent d’une évolution non coordonnée.

• Pourquoi : Pression pour atteindre rapidement la conformité ou la sécurité
• Comment l’éviter : Passez toujours au moins 2-3 semaines en mode surveillance pour analyser
• Si cela arrive : Revenez immédiatement à p=none et recommencez la surveillance

• Pourquoi : Émissions par des services shadow IT ou systèmes automatisés oubliés
• Comment l’éviter : Audit complet, incluant tous services/départements et systèmes historiques
• Si cela arrive : Ajoutez les sources détectées dans SPF/DKIM et surveillez l’apparition d’autres inconnues

• Pourquoi : Supposition que le DMARC du domaine principal suffit
• Comment l’éviter : Configurez explicitement chaque sous-domaine utilisé
• Si cela arrive : Créez des enregistrements DMARC distincts ou assurez l’héritage approprié

Pour les organisations débutantes : Commencez par un sous-domaine à faible volume pour vous entraîner avant d’appliquer la méthode à votre domaine principal. Cela réduit le risque et vous fait gagner en expertise.

Pour les utilisateurs avancés : Dès l’atteinte de p=reject, envisagez la mise en œuvre du BIMI (Brand Indicators for Message Identification) : votre logo s’affichera alors dans les clients email compatibles pour plus de confiance et de visibilité.

• Analyse des rapports légistes : Utilisez les rapports ruf pour détailler les échecs et détecter des tentatives de spoofing avancées
• Héritage de politique sur sous-domaines : Utilisez intelligemment l’attribut sp= pour centraliser ou différencier l’application sur chaque sous-domaine
• Déploiement progressif par pourcentage : Testez les changements de politique (pct=) pour mesurer l’impact avant un déploiement total

• Taux de réussite d’authentification : >95 % des emails légitimes passent DMARC
• Conformité politique : Opérer en p=reject avec pct=100
• Blocage des menaces : Baisse attestée du spoofing et du phishing
• Délivrabilité : Maintien ou amélioration du taux en boîte de réception
• Couverture des rapports : Réception régulière des rapports DMARC des principaux fournisseurs

• Semaine 1-2 : Surveillance initiale, collecte des rapports, identification des failles
• Semaine 3-4 : Correction des authentifications, passage en quarantaine
• Semaine 5-6 : Progression vers l’application stricte, obtention du p=reject
• Pérenne : Suivi continu avec >99 % de réussite

La recherche sur les indicateurs d'impact business montre que DMARC a permis d'importants progrès pour la sécurité email : Google constate une baisse de 75 % des messages non authentifiés après avoir imposé l’authentification aux expéditeurs de masse en 2024 [3].

Les protocoles d’authentification SPF, DKIM et DMARC sont aussi essentiels pour assurer la réception en boîte, leur adoption augmentant de 11 % en 2024, la preuve de l’importance reconnue de l’authentification [4].

• Documentez vos réglages DMARC pour les équipes futures
• Établissez le suivi régulier et désignez les responsables de l’analyse
• Songez à ajouter d’autres mesures comme BIMI pour valoriser votre marque

• Implémentez SPF, DKIM, et DMARC sur tous vos domaines/sous-domaines
• Adoptez des solutions avancées de protection contre les attaques entrantes
• Pensez au chiffrement d’emails pour les communications sensibles

• Révision trimestrielle des performances d’authentification et de l’efficacité des politiques
• Mises à jour régulières SPF lors de l’ajout de nouveaux services
• Audit de sécurité annuel incluant SPF/DKIM/DMARC

Le paysage des menaces email évolue sans cesse. Mais, avec une bonne mise en œuvre DMARC et un contrôle permanent, vous posez les fondations pour protéger la communication et la réputation de votre organisation.

L’application DMARC suppose un engagement permanent : ce n’est pas un projet ponctuel, mais une pratique continue de sécurité. L’investissement dans une authentification robuste paie en incidents évités, en confiance préservée et en fiabilité des échanges au service de vos objectifs business.

[1] Verizon. « 2025 Data Breach Investigations Report. » https://www.verizon.com/business/resources/reports/dbir/ 

[2] Red Sift. « Red Sift's guide to global DMARC adoption » https://redsift.com/guides/red-sifts-guide-to-global-dmarc-adoption 

[3] Google. « New Gmail protections for a safer, less spammy inbox » https://powerdmarc.com/email-phishing-dmarc-statistics/

[4] Mailgun. « Email Authentication Requirements in 2025. » https://www.mailgun.com/state-of-email-deliverability/chapter/email-authentication-requirements/

[5] Red Sift. BIMI Radar. https://bimiradar.com/glob