Dernière mise à jour : juillet 2026

En bref : après ce guide, ton domaine publie un enregistrement TXT DMARC dans la zone DNS Cloudflare — monté en puissance en toute sécurité, de l’observation à l’application.

Prérequis

  • Un domaine dont le DNS est géré chez Cloudflare (DNS > Records)
  • SPF et DKIM doivent être en place — DMARC s’appuie dessus

Qu’est-ce que DMARC ?

DMARC (Domain-based Message Authentication, Reporting & Conformance) relie SPF et DKIM. Comme le dit la doc de Cloudflare, DMARC garantit que les e-mails prétendant venir de ton domaine passent réellement les contrôles SPF et DKIM, et indique aux destinataires quoi faire des e-mails qui échouent à l’authentification. Il te permet aussi de recevoir des rapports agrégés. Tu le configures via un enregistrement TXT dans ta zone DNS. Ce n’est pas obligatoire, mais Cloudflare note que DMARC améliore nettement la délivrabilité.

Les politiques

Cloudflare nomme les trois niveaux de façon concise :

  • none — surveiller uniquement (recommandé pour commencer)
  • quarantine — mettre en quarantaine les e-mails suspects
  • reject — rejeter les e-mails non authentifiés

C’est aussi l’ordre de déploiement : commence à none, et ne passe à p=reject qu’après avoir confirmé que le courrier légitime s’authentifie.

Guide étape par étape

1. Commencer par l’observation

Va dans DNS > Records, choisis Add record et crée :

ChampValeur
TypeTXT
Name_dmarc
Contentv=DMARC1; p=none; rua=mailto:dmarc@beispiel.de
TTLAuto

L’exemple de Cloudflare est v=DMARC1; p=quarantine; rua=mailto:dmarc@yourdomain.com — pour un premier déploiement, tu démarres à p=none pour ne rien bloquer pendant que tu lis les rapports. Analyse les rapports rua avec un outil de monitoring DMARC.

Rapports sur un autre domaine ? Si ton adresse rua vit sur un autre domaine (courant avec un agrégateur DMARC), Cloudflare précise que le domaine destinataire doit publier un enregistrement TXT _report._dmarc.tondomaine.com pour autoriser les rapports.

2. Lire les rapports, assainir les sources

Surveille les rapports DMARC pendant plusieurs semaines. Ils montrent quelles sources ne passent pas encore SPF/DKIM. Ce n’est qu’une fois tous les expéditeurs légitimes propres que tu durcis.

3. Monter par paliers jusqu’à reject

v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@beispiel.de
v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de

4. Attendre que la modification soit en ligne

Les modifications DNS prennent un moment selon le cache.

Les tags les plus importants

TagSignification
v=DMARC1version, doit être au début
p=politique : none / quarantine / reject
rua=adresse pour les rapports agrégés
pct=part du courrier à laquelle la politique s’applique
sp=politique pour les sous-domaines
adkim= / aspf=alignement (r relaxed, s strict)

Vérifier le résultat

Vérifie ta configuration avec le scanner MXAudit gratuit — il te montre DMARC, SPF et DKIM d’un coup d’œil.

Ou directement :

dig TXT _dmarc.example.com +short

Erreurs fréquentes

Directement sur reject. Sans phase none, tu bloques des sources légitimes — Cloudflare recommande de commencer par p=none.

Pas de rua. Sans adresse de rapport, tu voles à l’aveugle.

DMARC sans SPF/DKIM. D’abord SPF et DKIM, ensuite DMARC.

Deux enregistrements _dmarc. Un seul enregistrement DMARC par domaine — un deuxième invalide la politique.

Pour aller plus loin