Dernière mise à jour : juillet 2026
En bref : après ce guide, ton domaine publie un enregistrement TXT DMARC dans la zone DNS Cloudflare — monté en puissance en toute sécurité, de l’observation à l’application.
Prérequis
- Un domaine dont le DNS est géré chez Cloudflare (DNS > Records)
- SPF et DKIM doivent être en place — DMARC s’appuie dessus
Qu’est-ce que DMARC ?
DMARC (Domain-based Message Authentication, Reporting & Conformance) relie SPF et DKIM. Comme le dit la doc de Cloudflare, DMARC garantit que les e-mails prétendant venir de ton domaine passent réellement les contrôles SPF et DKIM, et indique aux destinataires quoi faire des e-mails qui échouent à l’authentification. Il te permet aussi de recevoir des rapports agrégés. Tu le configures via un enregistrement TXT dans ta zone DNS. Ce n’est pas obligatoire, mais Cloudflare note que DMARC améliore nettement la délivrabilité.
Les politiques
Cloudflare nomme les trois niveaux de façon concise :
none— surveiller uniquement (recommandé pour commencer)quarantine— mettre en quarantaine les e-mails suspectsreject— rejeter les e-mails non authentifiés
C’est aussi l’ordre de déploiement : commence à none, et ne passe à p=reject qu’après avoir confirmé que le courrier légitime s’authentifie.
Guide étape par étape
1. Commencer par l’observation
Va dans DNS > Records, choisis Add record et crée :
| Champ | Valeur |
|---|---|
| Type | TXT |
| Name | _dmarc |
| Content | v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de |
| TTL | Auto |
L’exemple de Cloudflare est v=DMARC1; p=quarantine; rua=mailto:dmarc@yourdomain.com — pour un premier déploiement, tu démarres à p=none pour ne rien bloquer pendant que tu lis les rapports. Analyse les rapports rua avec un outil de monitoring DMARC.
Rapports sur un autre domaine ? Si ton adresse
ruavit sur un autre domaine (courant avec un agrégateur DMARC), Cloudflare précise que le domaine destinataire doit publier un enregistrement TXT_report._dmarc.tondomaine.compour autoriser les rapports.
2. Lire les rapports, assainir les sources
Surveille les rapports DMARC pendant plusieurs semaines. Ils montrent quelles sources ne passent pas encore SPF/DKIM. Ce n’est qu’une fois tous les expéditeurs légitimes propres que tu durcis.
3. Monter par paliers jusqu’à reject
v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@beispiel.de
v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de
4. Attendre que la modification soit en ligne
Les modifications DNS prennent un moment selon le cache.
Les tags les plus importants
| Tag | Signification |
|---|---|
v=DMARC1 | version, doit être au début |
p= | politique : none / quarantine / reject |
rua= | adresse pour les rapports agrégés |
pct= | part du courrier à laquelle la politique s’applique |
sp= | politique pour les sous-domaines |
adkim= / aspf= | alignement (r relaxed, s strict) |
Vérifier le résultat
Vérifie ta configuration avec le scanner MXAudit gratuit — il te montre DMARC, SPF et DKIM d’un coup d’œil.
Ou directement :
dig TXT _dmarc.example.com +short
Erreurs fréquentes
Directement sur reject. Sans phase none, tu bloques des sources légitimes — Cloudflare recommande de commencer par p=none.
Pas de rua. Sans adresse de rapport, tu voles à l’aveugle.
DMARC sans SPF/DKIM. D’abord SPF et DKIM, ensuite DMARC.
Deux enregistrements _dmarc. Un seul enregistrement DMARC par domaine — un deuxième invalide la politique.
Pour aller plus loin
- Docs Cloudflare : Email authentication (SPF, DKIM, DMARC) (consulté le 10 juillet 2026)
- Docs Cloudflare : Email Service troubleshooting (consulté le 10 juillet 2026)
- RFC 7489 — DMARC
