Guide ultime de sécurité du courrier électronique pour les responsables de la cybersécurité

DMARC signifie « Authentification des messages basée sur le domaine, rapports et conformité ». Il s'agit d'un protocole de sécurité email sortant qui permet aux propriétaires de domaine de reprendre le contrôle de leur identité email en indiquant aux boîtes de réception de rejeter les emails usurpés. Il fonctionne conjointement avec SPF et DKIM pour vérifier qu’un email provient d’une source autorisée et que l’adresse « De » visible s’aligne avec le domaine authentifié.

DMARC empêche l’usurpation exacte du domaine en demandant aux serveurs destinataires de ne pas accepter les emails qui n'ont pas été authentifiés comme provenant de vous. Ainsi, les cybercriminels ne peuvent pas utiliser votre domaine pour envoyer des emails de phishing ou commettre des fraudes par compromission d’emails professionnels (BEC). En 2026, DMARC est devenu une exigence standard pour les organisations envoyant des emails en masse.

DMARC est aussi essentiel pour mettre en place BIMI (Brand Indicators for Message Identification), qui nécessite une politique d’au moins p=quarantine, ou idéalement p=reject. Vérifiez si votre marque est prête pour le BIMI avec notre vérificateur gratuit.

DMARC fonctionne en s’appuyant sur les protocoles de sécurité existants SPF et DKIM. Votre enregistrement SPF est une liste blanche des adresses IP autorisées à envoyer des emails depuis votre domaine. DKIM agit comme une signature numérique, indiquant au destinataire que vous êtes bien l’expéditeur réel. Lorsque vous configurez DMARC pour la première fois, vous devrez classer les expéditeurs autorisés à envoyer des emails en votre nom, et ceux qui ne le sont pas.

SPF et DKIM sont indispensables pour sécuriser vos emails, mais aucun ne prévient l’usurpation exacte du domaine. Même si ces protocoles indiquent au destinataire qui est l’expéditeur, ils ne lui disent pas quoi faire de cette information, c’est-à-dire que le destinataire ne sait pas comment agir avec votre email. 

DMARC agit donc en combinant les résultats de SPF et DKIM pour déterminer si votre email est authentique et autorisé. Ensuite, la politique DMARC que vous avez définie indique aux serveurs destinataires quoi faire de ce message. 

Une politique DMARC est l’ensemble de règles publiées dans votre enregistrement DNS DMARC — défini par le tag « p= » — qui indique aux serveurs de messagerie destinataires comment traiter les messages qui échouent à l’authentification DMARC.

Votre politique DMARC correspond essentiellement à l’instruction que vous donnez aux serveurs destinataires, leur disant que faire des emails envoyés depuis votre domaine. Il existe trois politiques parmi lesquelles choisir :

• p=none : cette politique indique au serveur destinataire d’accepter tous les emails de votre domaine, qu’ils réussissent ou échouent à l’authentification.
• p=quarantine : cette politique demande au serveur destinataire d’envoyer en spam tout email de votre domaine qui échoue à l’authentification.
• p=reject : cette politique indique au serveur destinataire de rejeter tout email en provenance de votre domaine qui échoue à l’authentification.

L’adoption de DMARC suit un processus par étapes. Commencer avec « p=none » vous permet de surveiller les flux d’email sans perturber les communications légitimes. Il est important de noter que, si « p=none » fournit des données de surveillance précieuses, elle n’empêche pas la livraison d’emails malveillants. Rester à « p=none » laisse donc votre domaine vulnérable aux abus. Avec l’entrée en vigueur des exigences d’authentification chez les principaux fournisseurs de boîtes de réception, les organisations en 2026 savent que p=reject est la norme de sécurité, non une simple option.

Pendant cette phase, analysez les rapports DMARC pour configurer correctement les enregistrements SPF et DKIM pour toutes les sources emails légitimes. Une fois que vous êtes sûr de votre configuration d’authentification, vous pouvez passer à des politiques d’application comme « p=quarantine » (qui redirige les emails défaillants dans les spams/courriers indésirables), puis à « p=reject » pour une protection complète.

Atteindre une politique « p=reject » est l’objectif ultime pour sécuriser votre domaine, car cela bloque activement les emails non autorisés. Cette transition doit cependant être soigneusement gérée pour s’assurer que toutes les sources d’emails légitimes sont bien authentifiées, afin de minimiser les perturbations et de passer par l’étape « p=quarantine ».

Pour sécuriser pleinement vos emails, « p=reject » offre une protection stricte face aux menaces toujours plus nombreuses. Commencer avec « p=none » est une excellente base et, avec un plan d’implémentation structuré par Red Sift, vous pouvez renforcer la sécurité email de votre domaine.

SPF (Sender Policy Framework) est un protocole d'authentification email qui valide les adresses IP des serveurs d'envoi par rapport à la politique SPF d’un domaine. DMARC (Domain-based Message Authentication, Reporting, and Conformance) utilise SPF et/ou DKIM pour appliquer l’alignement du domaine, mettre en place des règles de rejet ou de quarantaine, et fournir des rapports pour surveiller l’usurpation et le phishing.

DKIM (DomainKeys Identified Mail) ajoute une signature numérique aux messages sortants, vérifiable via une clé publique dans le DNS, pour garantir l’intégrité du contenu et l’autorisation du domaine. DMARC (Domain-based Message Authentication, Reporting, and Conformance) combine les résultats DKIM et SPF pour appliquer l’alignement, bloquer ou mettre en quarantaine les emails non authentifiés, et produire des rapports détaillés.

SPF, DKIM et DMARC fonctionnent ensemble pour protéger les domaines email : SPF vérifie les IP autorisées à envoyer, DKIM protège l’intégrité des messages par des signatures cryptographiques, et DMARC impose l’alignement des résultats d’authentification et du domaine « De » visible, tout en fournissant le contrôle de la politique et des rapports.

Au-delà d’une posture de sécurité email renforcée, DMARC apporte aussi de vrais bénéfices business. Voici quelques-uns des avantages clés de la mise en place de DMARC.

DMARC fournit des rapports montrant la plupart, voire la totalité, des emails envoyés depuis le domaine de votre organisation. Cela contraste avec les solutions classiques de cybersécurité, qui ne détectent que les emails de phishing entrants. Sans DMARC, les organisations n’ont pas une vision complète du nombre et de l’ampleur des attaques qui les visent.  

Les attaques de phishing par usurpation exacte du domaine peuvent gravement nuire à la réputation. Les arnaques de phishing font l’objet d’une mauvaise presse, la responsabilité étant souvent attribuée à l’organisation usurpée. 

Payer de fausses factures ou effectuer des virements à partir d’emails imitant le PDG d’une entreprise est fréquent. 

BIMI (Brand Indicators for Message Identification) est une norme permettant d’afficher votre logo enregistré dans l’avatar de tout email authentifié via DMARC, à l’aide de certificats Verified Mark. BIMI augmente la visibilité de votre marque ; des études ont montré un impact positif marqué sur la confiance, l’interaction et l’intention d’achat des consommateurs. Être conforme DMARC vous permet de profiter de cet avantage pour votre image.  

Lorsqu’un DMARC est configuré en p=reject, les expéditeurs signalent aux FAI qu'ils s'engagent à authentifier leurs emails et à sécuriser leur domaine. Cela renforce la confiance des FAI et réduit le risque que vos emails légitimes soient classés à tort comme spam ou phishing.

Les organisations qui ne prennent pas les précautions nécessaires pour éviter l’usurpation email sont perçues comme moins fiables. Les clients risquent de ne pas faire confiance aux messages prétendant venir de ces organisations et de délaisser la communication par email, ce qui peut impacter la relation client. Mettre en place DMARC, c’est instaurer une mesure forte prouvant l'identité de votre entreprise. 

Le « shadow IT » concerne les systèmes ou technologies mis en place par certains départements pour pallier des manques dans l’infrastructure. Il n’est pas toujours facile de les repérer ou de les supprimer. DMARC vous donne la visibilité nécessaire pour identifier et éliminer les systèmes ou logiciels externes, afin qu’aucun email de ces anciens systèmes ne soit envoyé par erreur. DMARC dévoile l’ensemble des services email émettant en votre nom, connus ou non officiellement.

DMARC aide les organisations à se conformer aux recommandations de sécurité email émises par des organismes mondiaux comme le NIST, le NCSC ou la Commission européenne.

La Directive révisée de l’UE sur la sécurité des réseaux et des systèmes d’information (Directive NIS2) a considérablement accru la pression réglementaire sur les organisations, les poussant à agir proactivement contre le phishing grâce à une politique DMARC de « reject ».

La Directive NIS2 est une réglementation de l’UE qui vise à instaurer un niveau élevé de cybersécurité commun à l’échelle européenne. Pour les 'Entités essentielles et importantes', la conformité à cette directive est obligatoire.

Le texte de la directive NIS2 ne mentionne pas explicitement DMARC ni une politique « reject », mais plusieurs de ses exigences sont liées aux principes soutenus par DMARC. Ne pas appliquer une politique DMARC de « reject » pourrait être interprété comme un affaiblissement de la conformité à au moins cinq obligations ou principes de NIS2. 

1. Sécurité dès la conception et par défaut : La NIS2 exige des 'fournisseurs de réseaux électroniques publics ou de services de communications électroniques accessibles au public' d’adopter la sécurité dès la conception et par défaut. En tant que norme mondiale pour empêcher l’usurpation de domaines email, une politique DMARC « reject » fait partie intégrante de cette stratégie. 
2. Mesures de gestion des risques : La NIS2 impose aux « Entités essentielles et importantes » la mise en place de mesures techniques et organisationnelles appropriées et proportionnées afin de gérer les risques pesant sur la sécurité des réseaux et systèmes d’information. Une politique DMARC « reject » répond à cette exigence car elle réduit le risque d'attaque par phishing et usurpation, risques mentionnés dans ce texte.
3. Sécurité de la chaîne d’approvisionnement : NIS2 requiert que les entités assurent la sécurité de leurs réseaux et systèmes, y compris ceux des chaînes d’approvisionnement. Une politique DMARC « reject » garantit que seuls les prestataires tiers autorisés peuvent envoyer des emails en leur nom, ce qui prévient aussi bien les attaques venues de fournisseurs compromis que l’usurpation visant directement ces fournisseurs.
4. Signalement des incidents : Les entités doivent signaler tout incident ayant un impact significatif sur la continuité de leurs services essentiels. Bien que DMARC ne soit pas un mécanisme de signalement d’incident, ses rapports agrégés et de forensic aident à identifier et à répondre aux incidents liés à l’usurpation email.
5. Résilience : Les entités doivent prendre des mesures pour assurer la résilience de leurs systèmes et réseaux. Une politique DMARC « reject » aide à protéger le système de messagerie, élément critique du réseau de l’organisation, contre les expéditeurs non autorisés.

Depuis février 2024, Microsoft, Google et Yahoo ont mis en place de nouvelles exigences pour les expéditeurs en masse, ouvrant une nouvelle ère de conformité email, incluant l’implémentation de DMARC. Ces trois fournisseurs exigent désormais des expéditeurs de gros volumes – ceux qui envoient plus ou autour de 5 000 emails par jour – le respect de mesures d’authentification renforcées pour garantir la livraison sécurisée aux adresses se terminant par gmail.com ou yahoo.com.

Les exigences sont effectives depuis le 1er février 2024, et incluent : 

• Déployer un SPF et un DKIM pour chaque domaine d’envoi 
• Utiliser un domaine « De » aligné soit dans SPF, soit dans DKIM 
• Publier une politique DMARC pour chaque domaine d’envoi, d’au moins « p=none »
• Assurer que les domaines ou IPs d’envoi disposent d’un FcrDNS configuré
• Utiliser une connexion TLS pour transmettre les emails 
• Activer le désabonnement en un clic pour les emails promotionnels
• Maintenir un taux de spam inférieur à 0,10 % selon Google Postmaster Tools

Le Digital Operational Resilience Act (DORA) est un cadre réglementaire de l’Union européenne visant la résilience opérationnelle numérique du secteur financier. Il vise à établir des règles strictes et harmonisées couvrant notamment la gestion des risques informatiques, le signalement d’incidents, les tests de résilience opérationnelle, etc. 

Même si une organisation n’est pas elle-même une institution financière, DORA définit des seuils de criticité pour les prestataires de services. Si une organisation fournit directement un service important à une institution financière et que ses services dépassent ces seuils, l’entreprise est soumise à DORA. De plus, il est probable qu’avec DORA, ces institutions imposent à leurs fournisseurs des contrôles de sécurité renforcés, dont DMARC en « reject ».

DORA ne donne pas de détails techniques spécifiques, mais insiste sur trois aspects pertinents pour DMARC en « reject » :

1. Gestion des risques TIC : Un point clé de DORA est d’assurer une gestion efficace des risques technologiques. Mettre en place une politique DMARC « reject » y contribue directement en bloquant les tentatives de phishing, l’usurpation et les autres menaces par email. Cela renforce la sécurité de l’écosystème TIC, conforme aux objectifs de DORA.
2. Risques liés aux tiers : DORA impose aux institutions financières de gérer et de limiter les risques provenant de leurs fournisseurs externes, notamment de services de communication. Mettre en oeuvre DMARC « reject » aide à limiter les menaces par email et renforce la posture de sécurité de l’institution comme de ses fournisseurs.
3. Résilience opérationnelle : DORA met l’accent sur la résilience des services financiers. DMARC « reject » y contribue en garantissant l’intégrité et l’authenticité des communications email et en limitant le risque d’incidents provoqués par le phishing ou l’usurpation par email.

Le Payment Card Industry Data Security Standard (PCI DSS) est un cadre mondialement reconnu qui vise à sécuriser tout environnement traitant des paiements par carte bancaire. Intégrer DMARC est considéré comme essentiel pour satisfaire ces exigences. L’authentification par SPF et DKIM pour chaque email envoyé, assortie d’une visibilité sur les usages non autorisés, soutient l’objectif du PCI DSS 4.0.1 : protéger les données des détenteurs de carte. Cela réduit les risques de phishing susceptibles de causer des violations de données, inspire confiance et améliore la sécurité.

PCI DSS 4.0.1 exige une démarche proactive et fondée sur l’analyse des risques. DMARC s’intègre parfaitement à ce cadre. Le fait d’imposer une politique « reject » pour les emails non authentifiés prévient activement la livraison d’emails malveillants, ce qui répond aux principales exigences de conformité en matière de réduction des risques. Les capacités de reporting offrent des informations utiles pour identifier les failles et assurer une amélioration continue. DMARC renforce ainsi non seulement la conformité au PCI DSS 4.0, mais aussi la résilience globale de l’organisation face aux menaces cyber.

Les organisations en préparation de la conformité PCI DSS 4.0.1 doivent commencer par une analyse de l’écart pour cibler les améliorations à apporter. Prioriser le déploiement d’outils de gestion automatisée des certificats peut les aider dans la gestion de la validation et du renouvellement de certificats, comme Red Sift Certificates. Il est également conseillé de s’appuyer sur des QSAs (Qualified Security Assessors) pour garantir des stratégies de conformité solides.

Le Règlement général sur la protection des données (RGPD) est en vigueur depuis mai 2018 et exige la signature d’accords de traitement des données (DPA) avec chaque fournisseur cloud traitant des données de consommateurs européens pour votre compte. Grâce à DMARC, si un fournisseur utilise votre nom de domaine dans le champ « De » de l’email, DMARC vous le révélera. Bien qu’une politique DMARC « reject » ne soit pas explicitement requise par le RGPD.

Oui. DMARC est indispensable pour les grandes organisations afin de stopper l’usurpation à grande échelle. Pour les entreprises mondiales opérant au Royaume-Uni, dans l’UE ou aux États-Unis, c’est la base pour se protéger du phishing, du BEC, préserver leur marque, respecter les obligations de conformité et garantir la fiabilité des livraisons dans Microsoft 365 et Google Workspace.

Les grands environnements n’ont quasiment jamais un seul expéditeur. Vous gérez plusieurs marques, régions, filiales, plateformes marketing, CRM ou systèmes de billetterie. Fusions et acquisitions ajoutent des domaines hérités. Sans inventaire précis et contrôles progressifs, les déploiements DMARC stagnent et des emails légitimes échouent l’alignement.

1. Identifiez chaque expéditeur pour tous les domaines principaux et secondaires. Séparez le trafic critique des flux marketing ou régionaux.
2. Stabilisez à p=none, analysez les rapports agrégés et corrigez l’alignement SPF ou DKIM. La délégation de sous-domaines réduit le risque.
3. Passez à p=quarantine pour les flux à faible risque, puis élargissez aux flux à forte valeur lorsque l’alignement est stable.
4. Atteignez p=reject quand les taux d’échec sont faibles et connus. Maintenez des alertes pour les nouvelles sources ou événements inattendus.
5. Opérez et auditez avec rotation des clés, suivi des changements et reporting de direction pour satisfaire aux exigences UK, UE et US.

Une plateforme DMARC de niveau entreprise, telle que Red Sift OnDMARC, accélère ce parcours grâce à la découverte automatisée des expéditeurs, des corrections prescriptives, la détection d’anomalies, et une gestion des accès par rôles pour des équipes globales. Elle met en lumière les quelques actions qui font avancer votre projet, transforme les données XML en informations utiles, et gère la politique multi-domaine à grande échelle. D’ici 2026, les meilleures plateformes permettent aux entreprises d’atteindre le niveau p=reject en 6 à 8 semaines, alors que cela prenait auparavant six mois. Résultat : une mise en conformité plus rapide, moins d’angles morts et une gouvernance constante sur toutes les entités.

Oui. Les PME sont souvent la cible d’usurpation et de fraude à la facture. Avec DMARC, vous bloquez les tentatives de phishing qui imitent votre identité, vous renforcez la confiance de vos clients, vous diminuez le risque cyber, et vous êtes conforme aux nouvelles exigences Bulk Senders de Google, Yahoo et Microsoft.

Vous vous appuyez sur quelques outils simples, bien souvent sans équipe sécurité dédiée. Vos principaux freins sont la peur de casser vos emails, le manque de temps et l’incapacité à lire les rapports XML. Il vous faut un guide avec des étapes claires et des alertes précises sur ce qu’il faut modifier.

1. Configurez SPF, DKIM et DMARC pour votre domaine principal et tous vos outils, puis démarrez en p=none.
2. Surveillez quelques semaines, corrigez l’alignement des newsletters, factures ou CRM.
3. Passez à p=quarantine dès que le taux d’échec est faible. Vérifiez les rebonds ou les problèmes d’alignement.
4. Progressez vers p=reject une fois l’alignement stable.
5. Surveillez grâce à des alertes légères, des vérifications trimestrielles et une rotation régulière des clés DKIM.

Une plateforme DMARC guidée, comme Red Sift OnDMARC, identifie qui envoie en votre nom, précise les modifications exactes à apporter à SPF et DKIM, et conseille quand changer de politique. Les tableaux de bord rendent évident tout nouvel outil expéditeur ou échec d’alignement, ce qui vous permet de corriger rapidement sans expertise email avancée.