Dernière mise à jour : juillet 2026
En bref : après ce guide, ton domaine publie un enregistrement TXT DMARC dans le LiveDNS de Gandi — monté en puissance en toute sécurité, de l’observation à l’application.
Prérequis
- Un domaine chez Gandi utilisant Gandi LiveDNS
- SPF et DKIM doivent être en place — DMARC s’appuie dessus
Qu’est-ce que DMARC ?
DMARC (Domain-based Message Authentication, Reporting & Conformance) s’appuie sur SPF et DKIM et, comme le dit la doc de Gandi, fournit une recommandation sur ce qu’il faut faire d’un e-mail qui échoue à ces contrôles. Il te permet aussi de recevoir des rapports sur les échecs. Tu le configures via un enregistrement TXT sous le sous-domaine _dmarc.
Les politiques
Gandi nomme les trois niveaux de façon concise et juste :
none— aucune action n’est entreprise, mais tu reçois quand même des rapports (observer)quarantine— l’e-mail est traité comme suspect, c’est-à-dire qu’il peut atterrir dans un dossier spam ou être marqué comme non fiablereject— l’e-mail est rejeté et non livré
C’est aussi l’ordre dans lequel on active DMARC. L’exemple de Gandi saute directement à p=reject — il est plus sûr de commencer à none.
Guide étape par étape
1. Commencer par l’observation
Dans LiveDNS, ouvre l’onglet DNS Records de ton domaine et clique sur le bouton vert Add au-dessus du tableau. Crée un enregistrement TXT _dmarc avec une adresse de rapport :
| Champ | Valeur |
|---|---|
| Type | TXT |
| Name | _dmarc |
| Value | v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de |
Remplace l’adresse par celle où tu veux recevoir les rapports des serveurs destinataires. Analyse au mieux les rapports rua avec un outil de monitoring DMARC.
2. Lire les rapports, assainir les sources
Après une à deux semaines, les rapports montrent quelles sources ne passent pas encore SPF/DKIM. Ce n’est qu’une fois tous les expéditeurs légitimes propres que tu durcis.
3. Monter par paliers jusqu’à reject
v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@beispiel.de
v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de
Attention avec reject : Gandi avertit que tu risques que le courrier transféré ne soit pas livré — une liste de diffusion ou une règle de transfert peut trébucher sur une politique stricte. Ne passe à reject que lorsque tes rapports sont propres.
4. Attendre que la modification soit en ligne
Dans LiveDNS, un nouvel enregistrement s’applique en temps réel, mais la propagation peut prendre jusqu’à 72 heures partout.
Les tags les plus importants
| Tag | Signification |
|---|---|
v=DMARC1 | version, doit être au début |
p= | politique : none / quarantine / reject |
rua= | adresse pour les rapports agrégés |
pct= | part du courrier à laquelle la politique s’applique |
sp= | politique pour les sous-domaines |
adkim= / aspf= | alignement (r relaxed, s strict) |
Vérifier le résultat
Vérifie ta configuration avec le scanner MXAudit gratuit — il te montre DMARC, SPF et DKIM d’un coup d’œil.
Erreurs fréquentes
Directement sur reject. L’exemple de Gandi utilise p=reject, mais sans phase none tu bloques des sources légitimes. Monte par paliers.
Pas de rua. Sans adresse de rapport, tu voles à l’aveugle.
DMARC sans SPF/DKIM. D’abord SPF et DKIM, ensuite DMARC.
Mauvais nom. L’enregistrement s’appelle _dmarc, pas le domaine nu — un enregistrement DMARC sur @ ne fait rien.
Pour aller plus loin
- Docs Gandi : How To Protect Your Email Against Being Spoofed (consulté le 10 juillet 2026)
- RFC 7489 — DMARC
