Le guide définitif de Red Sift sur la sécurité de l’email
Quelles sont les obligations et recommandations mondiales pour DMARC en 2026 ?
Pour les équipes cybersécurité, sécurité des emails et informatique, comprendre et respecter les exigences mondiales DMARC (Domain-based Message Authentication, Reporting, and Conformance) est indispensable.
Chez Red Sift, nous avons établi une vue d'ensemble sous forme de tableau des obligations et recommandations DMARC appliquées dans différentes régions du monde. Notre objectif est de fournir un guide clair et sans ambiguïté, centralisant les différentes exigences mondiales dans un format accessible à tous.
Que vous soyez professionnel de la sécurité IT, administrateur d'emails ou responsable conformité, ce tableau constitue un outil essentiel pour garantir que la sécurité email de votre organisation soit conforme aux meilleures pratiques et exigences internationales.
Obligations et recommandations mondiales DMARC
Zone concernée | Nom | Description | Type d’obligation | En savoir plus |
Global | Nouvelles exigences pour les expéditeurs en masse | Les entités envoyant plus de 5 000 emails par jour doivent authentifier les domaines d'envoi d'email avec TLS, DKIM, SPF, DKIM ou SPF alignment et disposer d'une politique DMARC de p=none. | Obligation pour le secteur privé | |
Global | PCI DDS v4.0 Exigence 5.4.1 | Des “mécanismes automatisés” doivent être déployés pour détecter et se protéger contre le phishing. Bien que cette exigence vise des “processus et mécanismes” sans désigner de solution précise, les bonnes pratiques recommandent DMARC, SPF et DKIM. | Obligation de conformité | |
Canada | Exigences de configuration des services de gestion de courriels | Veiller à ce que l’expéditeur ou le destinataire de courriels du gouvernement soit vérifiable à l’aide du Sender Policy Framework ; Domain Keys Identified Mail (DKIM) ; et Domain-based Message Authentication, Reporting and Conformance (DMARC). | Obligation pour agences gouvernementales | |
Danemark | Exigences techniques minimales pour les autorités gouvernementales 2023 | Toutes les agences gouvernementales sont tenues de mettre en place une politique DMARC de p=reject sur tous leurs domaines. | Obligation pour agences gouvernementales | |
Nouvelle-Zélande | 2022 New Zealand Information Security Manual, v3.6, section 15.2 | Le futur remplaçant de SEEMail utilisera DMARC ; par conséquent, les fournisseurs et agences devront être conformes : 1. Passage du contrôle de conformité DMARC de SHOULD à MUST [CID:6019] [CID:6021] 2. Passage de la politique DMARC de p=“none” à p=“reject” [CID:6020] 3. Passage du contrôle de conformité DKIM de SHOULD à MUST [CID:1797] [CID:1798] | Obligation pour agences gouvernementales | |
Irlande | Normes de base de cybersécurité pour le secteur public, section 2.9 | Les organismes du secteur public doivent mettre en œuvre TLS, SPF, DKIM et appliquer une politique DMARC sur tous les emails entrants. | Obligation pour agences gouvernementales | |
Pays-Bas | Normes “Comply or Explain” | Des directives obligatoires pour les agences gouvernementales imposent DKIM, SPF, et DMARC ainsi que STARTTLS et DANE. | Obligation pour agences gouvernementales | |
Arabie Saoudite | Guide de mise en œuvre des contrôles essentiels de cybersécurité (ECC), section 2-4-3 | Les organisations nationales doivent mettre en œuvre toutes mesures nécessaires pour analyser et filtrer les messages emails (notamment phishing et spam) par des techniques de protection avancées et à jour. Les approches recommandées incluent DKIM, SPF et DMARC. | Obligation pour agences gouvernementales | |
Royaume-Uni | Manuel de politique de cybersécurité gouvernemental Principe : B3 Sécurité des données | Les départements gouvernementaux doivent avoir des enregistrements DMARC, DKIM et SPF pour leurs domaines. Ceci doit être accompagné du MTA-STS et du TLS Reporting. Cette exigence provient du Minimum Cybersecurity Standard de 2018. | Obligation pour agences gouvernementales | |
Royaume-Uni | Sécurisation de l’email gouvernemental | Tous les emails issus d’organisations du secteur public sur Internet doivent être cryptés et authentifiés, au minimum via TLS et DMARC. | Obligation pour agences gouvernementales | |
Royaume-Uni | Actualisation de nos recommandations de sécurité pour les services numériques | Tout service fonctionnant sur service.gov.uk doit publier une politique DMARC. | Obligation pour agences gouvernementales | |
États-Unis | Directive opérationnelle contraignante 18-01 : Renforcer la sécurité email et web | Exige que toutes les agences fédérales renforcent la sécurité web avec STARTTLS, SPF, DKIM et DMARC, avec une politique p=reject. | Obligation pour agences gouvernementales | |
Australie | Recommandations cybersécurité : Directives pour l’email | Recommande la mise en œuvre de SPF, DKIM et DMARC avec une politique p=reject | Recommandation | |
Australie | Comment lutter contre les faux emails | Suggère d’utiliser SPF, DKIM et DMARC pour empêcher l’utilisation des domaines comme source de faux emails. | Recommandation | |
Australie | Stratégies d’atténuation des emails malveillants | Recommande les méthodes les plus efficaces pour protéger les organisations des attaques véhiculées par email, notamment le déploiement de DKIM, SPF et DMARC avec une politique “p=reject”. | Recommandation | |
Canada | Guide de mise en œuvre : protection des domaines email (ITSP.40.065 v1.1) | Pour une protection complète contre l’usurpation, les organisations doivent mettre en œuvre SPF, DKIM et DMARC. | Recommandation | |
UE | Normes de sécurité pour la communication email | Recommande l’usage de STARTTLS, SPF, DKIM, DMARC et DANE pour protéger les communications email. | Recommandation | |
Allemagne | Mesures de défense contre le spam et le phishing, Section 3.1 | Mesures proposées aux fournisseurs d’accès internet pour réduire le problème des malwares et du spam via SPF, DKIM et DMARC. | Recommandation | |
Arabie Saoudite | Campagnes de phishing pour le malware Emotet | Implémentez l’authentification, le reporting et la conformité des messages basés sur le domaine (DMARC) pour détecter l’usurpation d’email à l’aide des enregistrements du Domain Name System (DNS) et de signatures numériques. | Recommandations | |
Ecosse | Une stratégie de cyber-résilience pour l'Écosse : Plan d’action du secteur public 2017-2018, v2 | Les organismes publics devraient bénéficier de la protection anti-usurpation de DMARC. | Recommandations | |
Royaume-Uni | Sécurité de l’email et anti-usurpation v2 | Rendez difficile l’envoi de faux emails depuis les domaines de votre organisation en utilisant SPF, DKIM, et DMARC avec une politique d’au moins p=none, y compris pour les domaines non utilisés. Protégez vos emails en transit avec TLS. | Recommandations | |
Royaume-Uni | Attaques de phishing : défendre votre organisation v1.1 | DMARC, SPF et DKIM sont des défenses de niveau 1 pour stopper les emails usurpés utilisés pour attaquer une organisation. | Recommandations | |
États-Unis | CIS Contrôles de sécurité critiques v8.0, IG2-9.5 | Implémentez la politique et la vérification DMARC, en commençant par Sender Policy Framework (SPF) et les standards DomainKeys Identified Mail (DKIM). | Recommandations | |
États-Unis | CISA INSIGHTS Améliorez la sécurité des emails & du web | Activez DKIM, SPF et DMARC avec une politique p=reject. | Recommandations | |
États-Unis | Guide sur le ransomware du Multi-State Information Sharing and Analysis Center (MS-ISAC) | Pour réduire le risque de courriels usurpés ou modifiés à partir de domaines valides, mettez en œuvre une politique DMARC et sa vérification. | Recommandations | |
États-Unis | NIST 800-53 Catalogue de contrôles de sécurité - Révision 5 : SI-08 | Utilisez des mécanismes de protection anti-spam aux points d’entrée et de sortie du système afin de détecter et d’agir sur les messages non sollicités. DMARC, SPF et DKIM sont l’une des manières d’y parvenir. | Recommandations | |
États-Unis | NIST Special Publication 800-177Révision 1 : Email de confiance | Recommande la mise en œuvre de SPF, DKIM et DMARC, entre autres contrôles, pour renforcer la confiance dans les courriels. | Recommandations |
Où aller à partir d’ici ?
Le paysage de la sécurité et de l’authentification des emails évolue en permanence.
Chez Red Sift, nous comprenons les complexités liées à la mise en œuvre et à la gestion de DMARC. Notre solution Red Sift OnDMARC, primée, est conçue pour simplifier l’application de DMARC, en vous offrant une technologie de pointe et une expertise reconnue.
Questions fréquentes : Guide de la sécurité de l’email
Toutes les mesures de sécurité des emails (à l’exception de DMARC) sont inefficaces pour détecter un email malveillant lorsqu’il semble provenir d’un domaine légitime. Cela s’explique par une faille dans le Simple Mail Transfer Protocol (SMTP). En octobre 2008, le Network Working Group l’a officiellement qualifié « d’intrinsèquement non sécurisé », indiquant que quiconque pouvait usurper un domaine et l’utiliser pour envoyer des emails frauduleux en se faisant passer pour le propriétaire du domaine.
Quiconque possède quelques connaissances de base en codage peut apprendre, en quelques recherches sur Google, les étapes nécessaires pour usurper l’identité d’un email. Le résultat est un email qui semble légitime sans les indicateurs typiques de phishing. Avec 3,4 milliards d’emails de phishing envoyés chaque jour, les systèmes de messagerie restent la cible privilégiée des cybercriminels.
SPF (Sender Policy Framework) vérifie qu’un email est envoyé à partir d’une adresse IP autorisée par l’enregistrement SPF du domaine expéditeur, via un enregistrement TXT DNS qui liste les serveurs de messagerie autorisés.
DKIM (DomainKeys Identified Mail) utilise une signature cryptographique, validée par une clé publique dans le DNS, pour confirmer que le contenu de l’email n’a pas été modifié et provient d’un domaine autorisé. Tous deux sont essentiels à la sécurité de l’email, mais aucun ne prévient l’usurpation exacte d’un domaine.
Si ces protocoles informent le destinataire de l’origine d’un email, celui-ci n’a aucune instruction sur la façon d’agir sur cette information. Les principaux fournisseurs de messagerie exigent désormais SPF et DKIM pour les expéditeurs d’emails en masse en 2026.
DMARC signifie Domain-based Message Authentication, Reporting, and Conformance. C’est un protocole de sécurité sortante de l’email qui permet aux propriétaires de domaines d’indiquer aux boîtes de réception de rejeter les emails usurpés. DMARC fonctionne en combinant les résultats de SPF et DKIM pour déterminer si votre email est authentique et autorisé.
La politique DMARC (définie par le tag « p= » dans votre enregistrement DNS) indique ensuite aux serveurs destinataires ce qu’ils doivent en faire. DMARC empêche l’usurpation exacte d’un domaine en demandant aux serveurs destinataires de ne pas accepter les emails qui ne sont pas authentifiés. En 2026, DMARC est devenu une exigence standard pour les organisations envoyant des emails en masse.
La spécification SPF limite les recherches DNS à 10. Si votre enregistrement SPF dépasse cette limite, le SPF échouera. Les mécanismes SPF comptabilisés sont : a, ptr, mx, include, redirect et exists. En réalité, 10 recherches ne suffisent pas car la plupart des entreprises utilisent plusieurs outils d’envoi d’emails.
G Suite utilise à lui seul 4 recherches DNS. Ajoutez HubSpot pour le marketing, qui en utilise 7, et vous dépassez déjà la limite. Dès que vous dépassez les 10 recherches SPF, votre trafic d’emails commencera à échouer aléatoirement à la validation. C’est pourquoi les organisations en 2026 passent à une gestion dynamique du SPF plutôt que de tenter de maintenir manuellement des enregistrements aplanis.
Mail Transfer Agent Strict Transport Security (MTA-STS) est une norme qui permet de chiffrer les messages envoyés entre deux serveurs de messagerie. Elle spécifie que les emails ne peuvent être envoyés que via une connexion chiffrée Transport Layer Security (TLS), ce qui empêche l’interception par des cybercriminels. SMTP seul ne fournit aucune sécurité, ce qui le rend vulnérable aux attaques de type man-in-the-middle où les communications sont interceptées et potentiellement modifiées.
De plus, le chiffrement est optionnel dans SMTP, ce qui signifie que les emails peuvent être envoyés en clair. Sans MTA-STS, un attaquant peut intercepter la communication et forcer l’envoi du message en texte clair. En 2026, MTA-STS est devenu un contrôle de sécurité standard pour les organisations traitant des communications sensibles.
En mettant en place DMARC, vous bénéficiez de l’arrêt des tentatives de phishing paraissant provenir de votre domaine, d’une confiance renforcée de vos clients, d’un risque cyber réduit ainsi que du respect des exigences des plateformes d’envoi en masse, comme Google, Yahoo et Microsoft.
DMARC renforce la conformité avec PCI DSS 4.0 et améliore la résilience globale de l’organisation face à l’évolution des menaces cyber. Une fois la politique en p=reject (application), DMARC bloque la fraude fournisseurs, la prise de contrôle de comptes et l’usurpation d’identité par email en empêchant les acteurs malveillants d’utiliser votre domaine pour envoyer des emails de phishing ou réaliser des attaques de fraude au Président (BEC). Selon le rapport Data Breach Investigations Report de Verizon 2025, les attaques BEC constituent plus de 17 à 22% de tous les incidents d’ingénierie sociale.
Red Sift OnDMARC accélère le parcours DMARC grâce à la découverte automatisée des expéditeurs, à des corrections préconisées, à la détection des anomalies et à des accès par rôle pour les équipes globales. À partir de 2026, les principales plateformes permettent aux entreprises d’atteindre l’application p=reject (enforcement) en 6 à 8 semaines, contre six mois auparavant.
L’un des bénéfices les plus fréquemment rapportés d’OnDMARC est le délai moyen de 6 à 8 semaines pour atteindre l’application totale. La puissante automatisation de la plateforme analyse en continu ce qui se passe sur votre domaine, mettant en avant des alertes précises sur les changements à effectuer et où. En 24 heures après l’ajout de votre enregistrement DMARC spécifique dans le DNS, OnDMARC commence à analyser et afficher les rapports DMARC dans des tableaux de bord clairs.
Les principaux fournisseurs d’email, dont Microsoft, Google et Yahoo, exigent désormais la mise en place de DMARC pour les expéditeurs d’emails en masse (organisations envoyant plus de 5 000 emails par jour) depuis 2024-2025, et ces exigences sont devenues standard en 2026.
En plus des exigences des fournisseurs de boîtes de réception, certains secteurs et réglementations gouvernementales tendent vers l’obligation de DMARC. Les agences fédérales américaines sont tenues d’utiliser DMARC, tout comme les établissements de paiement réglementés par DORA. De plus, la mise en œuvre de DMARC renforce la conformité avec PCI DSS 4.0, le RGPD, et NIS2. Pour la cybersécurité, la sécurité des emails et les équipes IT, s’assurer que la sécurité des emails de votre organisation soit conforme aux bonnes pratiques internationales et aux exigences en vigueur est essentiel.