Dernière mise à jour : juillet 2026

En bref : All-Inkl crée par défaut un enregistrement DMARC p=none. Après ce guide, tu l’ajustes dans le KAS — en échelonnant prudemment jusqu’à p=reject, avec des adresses de rapport correctement autorisées.

Prérequis

  • Un pack All-Inkl avec accès au KAS
  • SPF et DKIM doivent être en place — DMARC ne fait qu’évaluer leurs résultats

Qu’est-ce que DMARC ?

DMARC (Domain-based Message Authentication, Reporting & Conformance) donne aux serveurs destinataires une recommandation sur « la manière dont un serveur destinataire doit traiter un e-mail en cas de violations SPF et DKIM » — et te tient informé via des rapports. C’est un enregistrement TXT nommé _dmarc.

Le point de départ chez All-Inkl

Pratique : All-Inkl crée déjà une entrée DMARC par défaut — à savoir v=DMARC1; p=none;. Elle se contente d’observer et ne bloque rien. Ton travail consiste à la resserrer pas à pas et à ajouter une adresse de rapport.

Guide étape par étape

1. Ouvrir les paramètres DNS dans le KAS

Connecte-toi au KAS, clique sur OutilsParamètres DNS et modifie le domaine souhaité. Clique sur Modifier sur l’entrée DMARC existante (ou créer une nouvelle entrée DNS s’il n’y en a pas). Le Nom est toujours _dmarc, le Type TXT.

2. Commencer par l’observation

Ajoute une adresse de rapport à l’entrée p=none existante :

v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de

L’adresse rua reçoit les rapports agrégés quotidiens. Pour l’analyse, un moniteur DMARC comme MARCo convient bien, rendant les rapports XML lisibles.

3. Échelonner jusqu’à reject

Après la phase d’observation, resserre par étapes — pct contrôle la portion :

v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@beispiel.de

Et enfin, avec un alignement strict, l’application. L’enregistrement d’exemple détaillé d’All-Inkl montre la forme :

v=DMARC1; p=reject; rua=mailto:mail@ihre-domain.de; ruf=mailto:mail@ihre-domain.de; adkim=s; aspf=r

Sur la syntaxe : paramètre et valeur sans espace autour du =, séparés par ;.

4. Important avec les adresses de rapport externes

Si ton adresse rua ou ruf pointe vers un domaine différent de celui auquel l’enregistrement DMARC s’applique (par ex. un service de surveillance), cet autre domaine a besoin d’un enregistrement d’autorisation — sinon l’expéditeur des rapports ignore l’adresse. L’exemple d’All-Inkl : si DMARC s’applique à example.com et que l’adresse de rapport est sur ihre-domain.de, alors cet enregistrement doit se trouver sur ihre-domain.de :

example.com._report._dmarc.ihre-domain.de TXT "v=DMARC1"

Presque tout le monde oublie cette étape — c’est la raison pour laquelle les rapports n’arrivent parfois jamais.

Les balises les plus importantes

BaliseSignification
p=politique : none / quarantine / reject
sp=politique pour les sous-domaines
pct=portion des e-mails en pourcentage (par défaut 100)
rua=adresses pour les rapports agrégés
ruf=adresses pour les rapports forensiques
adkim= / aspf=mode d’alignement (r relaxed, s strict)
fo=quand un rapport forensique est généré

Vérifier le résultat

Vérifie ta configuration avec le scanner MXAudit gratuit — il te montre DMARC, SPF et DKIM d’un coup d’œil.

Erreurs fréquentes

Adresse de rapport externe sans autorisation. Les rapports vers un domaine étranger n’arrivent que si ce domaine publie l’enregistrement d’autorisation _report._dmarc.

Rester à p=none. L’entrée par défaut se contente d’observer — elle ne protège pas. Après la phase de test, resserre vers quarantine/reject.

Directement à reject. Sans phase none, tu bloques des sources légitimes.

Espaces autour du =. Paramètre et valeur collés l’un à l’autre, séparés par ;.

Pour aller plus loin