Le guide définitif de Red Sift sur la sécurité de l’email

DMARC signifie Authentification, Reporting et Conformité des messages basés sur le domaine. Il s’agit d’un protocole de sécurité email sortant qui permet aux propriétaires de domaine de reprendre le contrôle de leur identité email en indiquant aux boîtes de réception de rejeter les emails usurpés. Il fonctionne de concert avec SPF et DKIM pour vérifier qu’un email provient d’une source autorisée et que l’adresse “De” visible correspond bien au domaine authentifié.

DMARC bloque l’usurpation exacte de domaine en indiquant aux serveurs destinataires de ne pas accepter les emails qui ne sont pas authentifiés comme venant de vous. Ainsi, les attaquants ne peuvent pas utiliser votre domaine pour envoyer des emails de phishing ou mener des attaques de type Business Email Compromise (BEC). En 2026, DMARC est devenu une obligation standard pour les organisations qui effectuent des envois d’emails en masse.

DMARC s’appuie sur les protocoles de sécurité existants SPF et DKIM. Votre enregistrement SPF correspond à une liste blanche d’adresses IP autorisées à envoyer des emails au nom de votre domaine. DKIM agit comme une signature numérique, permettant au destinataire de vérifier que l’email vient bien de vous. Lorsque vous configurez DMARC pour la première fois, vous passez du temps à classifier les expéditeurs autorisés à envoyer des emails au nom de votre domaine, et ceux qui ne le sont pas.

SPF et DKIM sont essentiels dans votre configuration de sécurité email, mais aucun n’empêche l’usurpation exacte. Alors que ces protocoles informent le destinataire de l’expéditeur de l’email, ils ne lui donnent aucune instruction sur la marche à suivre ; c’est-à-dire qu’il ne sait pas quoi faire avec votre email. 

Ainsi, DMARC combine les résultats de SPF et DKIM pour déterminer si votre email est authentique et autorisé. Ensuite, la politique DMARC que vous avez définie indique aux serveurs destinataires comment agir. 

Une politique DMARC est l’ensemble de règles publiées dans votre enregistrement DNS DMARC — défini par le tag “p=” — qui indique aux serveurs de messagerie récepteurs comment gérer les messages qui échouent l’authentification DMARC.

Votre politique DMARC correspond à l’instruction que vous donnez aux serveurs destinataires concernant les emails issus de votre domaine. Il existe trois politiques au choix :

• p=none : cette politique indique au serveur destinataire d’accepter tous les emails provenant de votre domaine, qu’ils réussissent ou non l’authentification.
• p=quarantine : cette politique indique au serveur de placer dans les spams tout email échouant l’authentification issu de votre domaine.
• p=reject : cette politique indique au serveur de rejeter tout email venant de votre domaine qui échoue l’authentification.

Adopter DMARC est un processus progressif. Commencer par « p=none » vous permet de surveiller les flux de mails sans perturber les communications légitimes. Il est important de noter que « p=none » fournit des données de surveillance précieuses, mais n’empêche pas la livraison d’emails malveillants. Rester à « p=none » laisse donc votre domaine vulnérable aux abus. Avec les principaux fournisseurs de messagerie appliquant désormais des exigences d’authentification, les organisations en 2026 considèrent que p=reject constitue la norme de sécurité, et non une option facultative.

Pendant cette phase, analysez les rapports DMARC pour correctement configurer vos enregistrements SPF et DKIM sur toutes les sources d’envoi légitimes. Une fois votre configuration d’authentification email fiable, passez à des politiques d’application telles que « p=quarantine » (redirection des emails non conformes vers les courriers indésirables) puis finalement à « p=reject » pour une protection totale.

Atteindre une politique « p=reject » est l’objectif ultime pour sécuriser votre domaine, car cela bloque activement les emails non autorisés. Cependant, cette transition doit être gérée avec précaution pour que toutes vos sources légitimes soient correctement authentifiées, minimisant le risque d’interrompre les communications valides et en passant par l’étape « p=quarantine ».

Pour sécuriser pleinement vos emails, « p=reject » assure une protection stricte face à des menaces grandissantes. Commencer par « p=none » est une excellente base et, avec un plan d’implémentation structuré de Red Sift, vous pouvez renforcer la posture de sécurité email de votre domaine.

SPF (Sender Policy Framework) est un protocole d’authentification email qui valide les adresses IP d’envoi selon la politique SPF du domaine. DMARC (Domain-based Message Authentication, Reporting, and Conformance) utilise SPF et/ou DKIM pour imposer l’alignement de domaine, appliquer des règles de rejet ou de quarantaine, et fournir des rapports de surveillance contre le spoofing et le phishing.

DKIM (DomainKeys Identified Mail) ajoute une signature numérique aux messages sortants, vérifiée via une clé publique DNS pour confirmer l’intégrité du contenu et l’autorisation du domaine. DMARC (Domain-based Message Authentication, Reporting, and Conformance) combine les résultats de DKIM et SPF pour imposer l’alignement, bloquer ou mettre en quarantaine les emails non authentifiés, et produire des rapports détaillés.

SPF, DKIM et DMARC fonctionnent ensemble pour protéger les domaines email : SPF vérifie les IP d’envoi autorisées, DKIM garantit l’intégrité du message via des signatures cryptographiques, et DMARC impose l’alignement entre les résultats d’authentification et le domaine “De” visible, tout en offrant un contrôle de politique et du reporting.

En plus d’apporter une véritable posture de sécurité email, DMARC offre aussi des avantages métiers. Voici quelques-uns des principaux bénéfices liés à son déploiement.

DMARC génère des rapports listant la plupart, voire la totalité, des emails envoyés depuis le domaine de votre organisation. Cela contraste avec les solutions de cybersécurité traditionnelles qui ne détectent que les tentatives de phishing à l’entrée. Sans DMARC, les entreprises n’ont pas réellement conscience du nombre ni de la nature des attaques les visant.  

Les attaques de phishing par usurpation exacte peuvent causer de lourds dégâts réputationnels. Les escroqueries par phishing suscitent une mauvaise presse, la responsabilité étant souvent attribuée à l’organisation usurpée. 

Payer de fausses factures ou effectuer des virements sur la base d’emails usurpant la direction d’une entreprise est fréquent. 

BIMI (Brand Indicators for Message Identification) est une norme permettant d’afficher votre logo dans le champ avatar des emails DMARC authentifiés envoyés, via des Verified Mark Certificates. BIMI renforce la notoriété de votre marque ; des études ont montré un réel impact positif sur la confiance, l’engagement et les décisions d’achat des consommateurs. Être conforme à DMARC vous rend éligible à cet avantage de valorisation de marque.  

Lorsqu’une politique DMARC de p=reject est correctement configurée, les expéditeurs informent les FAI qu’ils prennent des mesures actives d’authentification et renforcent la sécurité de leur domaine. Ceci établit la confiance auprès des FAI, réduisant les risques que des emails légitimes soient marqués à tort comme indésirables ou tentatives de phishing.

Les organisations qui ne prennent pas de précautions pour empêcher l’usurpation sont moins dignes de confiance. Les clients risquent de ne pas croire aux emails censés provenir d’elles et pourront éviter les échanges électroniques, réduisant l’efficacité de la communication avec la clientèle. En mettant en place DMARC, vous instaurez une protection robuste garantissant l’identité de votre organisation. 

Le shadow IT désigne les systèmes ou technologies hérités ou mis en place par divers services pour pallier un manque, et ils ne sont pas toujours identifiables ni supprimés aisément. DMARC vous donne la visibilité nécessaire pour repérer et corriger ces logiciels ou systèmes à la marge, de sorte qu’aucun email ne soit envoyé à votre insu depuis un service inconnu. Mettre en place DMARC permet de cartographier tous les services email utilisés par votre domaine, officiels ou non.

DMARC aide les organisations à se conformer aux recommandations des institutions gouvernementales internationales en matière de sécurité email, telles que NIST, NCSC et la Commission Européenne.

La directive révisée de l’UE sur la sécurité des réseaux et des systèmes d’information (Directive NIS2) a considérablement renforcé la pression réglementaire pour que les organisations luttent contre le phishing via une politique DMARC de « reject ».

La directive NIS2 est une réglementation européenne imposant un niveau élevé de cybersécurité au sein de l’UE. Pour les 'Entités Essentielles et Importantes', le respect de cette directive est obligatoire.

Même si le texte de la directive NIS2 ne cite pas explicitement DMARC ou une politique « reject », plusieurs de ses exigences relèvent des principes portés par DMARC, et l’absence d’une politique DMARC « reject » pourrait affaiblir la conformité à au moins cinq exigences ou principes NIS2.

1. Sécurité dès la conception et par défaut : La directive NIS2 impose aux « fournisseurs de réseaux ou de services électroniques publics disponibles » d’appliquer la sécurité dès la conception et par défaut. DMARC avec une politique « reject » constitue un socle important de cette approche, étant une norme mondiale pour prévenir l’usurpation de domaine email. 
2. Mesures de gestion des risques : La directive oblige les « Entités Essentielles et Importantes » à adopter des mesures techniques et organisationnelles adéquates et proportionnées pour gérer les risques pesant sur la sécurité des réseaux et SI. Une politique DMARC « reject » répond à cette exigence en luttant contre le phishing et le spoofing pouvant engendrer ces risques.
3. Sécurité de la chaîne d’approvisionnement : NIS2 impose aux entités de sécuriser leurs systèmes, y compris ceux de leur chaîne d’approvisionnement. La politique DMARC « reject » garantit que seuls les prestataires tiers autorisés peuvent envoyer des emails au nom de l’entité et protège leur propre marque contre l’usurpation.
4. Signalement des incidents : Les entités doivent signaler les incidents ayant un impact important sur la continuité des services essentiels. Bien que DMARC ne soit pas un mécanisme de reporting d’incident, ses rapports agrégés et forensiques peuvent aider à détecter et répondre aux incidents liés à l’usurpation email.
5. Résilience : Les entités sont tenues d’assurer la résilience de leurs systèmes et réseaux. Une politique DMARC « reject » contribue à protéger la messagerie, élément critique du réseau, contre les envois non autorisés.

Depuis février 2024, Microsoft, Google et Yahoo ont déployé de nouvelles exigences pour les expéditeurs en masse, marquant une nouvelle ère de conformité email impliquant notamment DMARC. Ces entreprises exigent désormais des expéditeurs de plus de 5 000 emails par jour un ensemble de mesures d’authentification pour garantir la bonne livraison vers les adresses en gmail.com ou yahoo.com.

Les exigences s’appliquent depuis le 1er février 2024 et incluent :

• Configuration d’un SPF et DKIM pour chaque domaine émetteur
• Envoi avec un domaine ‘De’ aligné dans SPF ou DKIM
• Publication d’une politique DMARC avec au moins “p=none” pour chaque domaine émetteur
• Veiller à ce que les domaines ou IP d’envoi disposent du FcrDNS
• Utilisation de TLS pour la transmission des emails
• Activation de la désinscription en un clic pour les emails promotionnels
• Maintenir un taux de spam inférieur à 0,10 % selon Google Postmaster Tools

Le Digital Operational Resilience Act (DORA) est un cadre réglementaire européen visant à assurer la résilience opérationnelle numérique du secteur financier. Il impose des règles strictes et harmonisées sur la résilience opérationnelle, notamment la gestion des risques TIC, le reporting des incidents, les tests de résilience, etc. 

Même une organisation non financière peut être concernée si elle fournit des services critiques à une institution financière selon les seuils DORA. Dans ce contexte, les institutions financières exigeront probablement de leurs prestataires des contrôles drastiques tels qu’une politique DMARC « reject ».

DORA ne prescrit pas de détails techniques, mais impose trois axes où DMARC « reject » apporte une contribution pertinente :

1. ​​Gestion des risques TIC : DORA exige une gestion efficace des risques TIC. La mise en place d’une politique DMARC « reject » aide à prévenir phishing, spoofing et menaces email, sécurisant ainsi tout l’écosystème TIC conformément à DORA.
2. Risques tiers : DORA demande aux institutions financières de réduire les risques liés à leurs prestataires – dont les prestataires de communication. Une politique DMARC « reject » réduit ces risques et renforce la sécurité de leurs clients.
3. Résilience opérationnelle : DORA met l’accent sur la résilience opérationnelle des prestataires financiers. Une politique DMARC « reject » protège l’authenticité des communications email, limitant l’impact des attaques et incidents email.

Le Payment Card Industry Data Security Standard (PCI DSS) est un référentiel mondial assurant à toutes les entreprises manipulant des informations bancaires un environnement sécurisé. L’implémentation de DMARC est devenue un volet indispensable à ce respect. En authentifiant tous les emails envoyés via SPF et DKIM et en offrant une visibilité sur les usages non autorisés du domaine, DMARC s’aligne sur PCI DSS 4.0.1 pour la protection des données des porteurs de carte et la réduction du risque de phishing.

PCI DSS 4.0.1 impose une démarche proactive et basée sur le risque en cybersécurité, ce à quoi DMARC répond parfaitement. Appliquer une politique « reject » pour les emails non authentifiés est un levier direct de prévention de risques, tandis que les capacités de reporting offrent une visibilité accrue, permettant d’identifier les failles et d’améliorer continuellement la sécurité. DMARC s’intègre ainsi comme une couche clé de conformité PCI DSS 4.0 et renforce globalement la résilience de l’organisation face aux cybermenaces émergentes.

Les organisations se préparant à la conformité PCI DSS 4.0.1 devraient commencer par un état des lieux (gap analysis), puis prioriser l’automatisation de la gestion des certificats, par exemple avec Red Sift Certificates. Enfin, il est recommandé de consulter des Qualified Security Assessors (QSAs) pour valider leur stratégie de conformité.

Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur en mai 2018, vous imposant de disposer d’accords de traitement des données (DPA) avec chaque fournisseur cloud manipulant des données européennes pour votre compte. DMARC permet d’identifier si un fournisseur cloud expédie des emails utilisant le domaine de votre entreprise dans le champ ‘De’. Une politique DMARC « reject » n’est toutefois pas explicitement exigée par le RGPD.

Oui. DMARC est essentiel pour les grandes entreprises afin d’empêcher l’usurpation de domaine à grande échelle. Pour les groupes mondiaux présents au Royaume-Uni, en Europe ou aux États-Unis, cela est fondamental pour bloquer phishing et BEC, protéger la marque, respecter la conformité et assurer la délivrabilité via Microsoft 365 et Google Workspace.

Les environnements complexes impliquent rarement un expéditeur unique. Vous gérez des marques, filiales, régions, plateformes marketing, CRM, billetteries... Les fusions-acquisitions ajoutent des domaines anciens. Sans inventaire précis ni contrôle par étapes, le déploiement de DMARC stagne et des emails légitimes peuvent échouer l’alignement.

1. Identifiez tous les expéditeurs sur vos domaines principaux comme secondaires. Séparez le trafic critique des campagnes marketing ou locales.
2. Stabilisez-vous à p=none, analysez les rapports agrégés, corrigez les alignements SPF et DKIM. La délégation par sous-domaine permet de réduire les risques.
3. Passez à p=quarantine pour les flux moins sensibles d’abord, puis ouvrez aux flux stratégiques une fois les alignements stables.
4. Progressez jusqu’à p=reject quand les taux d’échec sont faibles et connus. Maintenez la surveillance sur toute nouvelle source inattendue.
5. Opérez et auditez avec rotation des clés, suivi des modifications et reporting à la direction, conformément aux normes RU, UE et US.

Une plateforme DMARC « enterprise grade » telle que Red Sift OnDMARC accélère ce processus : découverte automatique des expéditeurs, corrections prescrites, détection des anomalies, gestion des accès par rôles pour des équipes mondiales. Elle vous signale les actions prioritaires, convertit les données XML en analyses claires et pilote une politique multi-domaines à grande échelle. D’ici 2026, les meilleures plateformes permettront d’atteindre l’application p=reject en 6 à 8 semaines, contre six mois auparavant. Résultat : application plus rapide, moins de zones d’ombre et gouvernance homogène entre entités.

Oui. Les PME sont fréquemment ciblées par l’usurpation et la fraude à la facture. En déployant DMARC, vous stoppez le phishing qui semblerait venir de votre nom, inspirez confiance à vos clients, réduisez le risque cyber et respectez les nouvelles exigences Google, Yahoo et Microsoft sur les envois massifs.

Vous utilisez quelques outils, souvent sans équipe dédiée à la sécurité. Les blocages habituels : peur de casser l’email, peu de temps, rapports XML incompréhensibles. Il vous faut un parcours guidé, des étapes claires, et des alertes ciblées.

1. Configurez SPF, DKIM et DMARC sur votre domaine principal et vos outils d’envoi, puis commencez en p=none.
2. Surveillez quelques semaines, corrigez les alignements pour les newsletters, factures et messages CRM.
3. Passez à p=quarantine une fois les taux d’échec bas. Surveillez les rebonds et éventuels problèmes d’alignement.
4. Passez à p=reject en cas de résultats stables et maîtrisés.
5. Continuez la surveillance avec des alertes légères, des contrôles trimestriels et la rotation des clés DKIM.

Une plateforme DMARC guidée comme Red Sift OnDMARC détecte les expéditeurs pour vous, recommande des changements précis SPF/DKIM, et vous suggère le moment propice au changement de politique. Les tableaux de bord mettent en évidence toute nouvelle source ou tout échec d’alignement, vous permettant de corriger rapidement, sans expertise technique pointue.