Dernière mise à jour : juillet 2026

En bref : après ce guide, ton domaine publie un enregistrement DMARC qui indique aux serveurs destinataires quoi faire des e-mails non authentifiés — et te montre via des rapports qui envoie en ton nom.

Prérequis

  • Un compte Google Workspace avec ton propre domaine
  • SPF et DKIM doivent être configurés d’abord — DMARC s’appuie sur les deux
  • L’accès à la gestion DNS de ton domaine (chez l’hébergeur du domaine)

Qu’est-ce que DMARC ?

DMARC (Domain-based Message Authentication, Reporting & Conformance) combine SPF et DKIM en une politique applicable. C’est un enregistrement TXT sous le sous-domaine _dmarc. Tu y définis **ce qu’**un destinataire doit faire des e-mails qui échouent à la vérification (la politique p), et il t’envoie des rapports (l’adresse rua).

Pour les gros expéditeurs, DMARC est désormais obligatoire chez Google — avec SPF et DKIM. Les rapports sont la partie astucieuse : via rua, tu reçois quotidiennement des rapports agrégés sur les serveurs qui envoient en ton nom.

Le point de départ chez Google Workspace

Comme pour SPF et DKIM : il n’y a rien à faire pour DMARC dans la console d’administration Google. L’enregistrement se crée chez l’hébergeur du domaine — Google le dit lui-même : « Connecte-toi ensuite à ton hébergeur de domaine et ajoute l’enregistrement DMARC… ». L’endroit exact est montré dans nos guides d’hébergeurs, par ex. IONOS, Strato ou Netcup.

Le chemin sûr : none → quarantine → reject

Tu ne passes pas DMARC en mode applicatif d’emblée — Google aussi recommande de commencer par p=none et de relever la politique « au fil du temps » vers quarantine ou reject :

  1. p=none — observer, ne rien bloquer. L’e-mail est consigné dans le rapport quotidien.
  2. p=quarantine — les e-mails suspects finissent dans les spams.
  3. p=reject — les e-mails non authentifiés sont rejetés : « Le message est rejeté. »

Guide étape par étape

1. Configurer une boîte mail pour les rapports

Crée une boîte mail ou un groupe qui reçoit les rapports agrégés rua (par ex. dmarc@beispiel.de). Pour l’analyse, un moniteur DMARC comme MARCo vaut la peine — il rend lisibles les rapports XML quotidiens et te montre quelles sources ne sont pas encore proprement authentifiées.

2. Commencer avec p=none

v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de

v et p doivent venir en premier — les autres balises dans n’importe quel ordre. rua est facultatif selon Google, mais « Google recommande de toujours l’inclure dans ton enregistrement DMARC ».

3. Créer l’entrée DMARC chez l’hébergeur du domaine

Chez le fournisseur DNS de ton domaine, crée un enregistrement TXT sur l’hôte _dmarc, avec ta valeur DMARC.

4. Analyser les rapports, puis resserrer — avec pct

Après une ou deux semaines, les rapports montrent si toutes les sources sont propres. Resserre alors par étapes. Google recommande d’utiliser la balise pct pendant le déploiement (un nombre entier entre 1 et 100). L’enregistrement cible recommandé par Google, avec alignement strict :

v=DMARC1; p=reject; rua=mailto:postmaster@beispiel.de, mailto:dmarc@beispiel.de; pct=100; adkim=s; aspf=s

5. Attendre que la modification soit en ligne

Les modifications DNS prennent du temps — quelques heures selon la mise en cache.

Les balises les plus importantes

BaliseSignification
v=DMARC1version, doit être au début
p=politique : none (observer), quarantine (spam), reject (rejeter)
pct=pourcentage des e-mails auquel la politique est appliquée (1–100)
rua=adresse pour les rapports d’état agrégés
sp=politique distincte pour les sous-domaines
adkim= / aspf=alignement (r relaxed, s strict) pour DKIM et SPF respectivement

Garder un œil sur BIMI

Si tu veux plus tard utiliser BIMI (ton logo dans Gmail), cela a des conséquences pour DMARC : « BIMI ne prend pas en charge les politiques DMARC où l’option p est réglée sur none » — et pct doit alors être 100. BIMI exige donc l’application de DMARC.

Vérifier le résultat

Vérifie ta configuration avec le scanner MXAudit gratuit — il te montre la politique DMARC, SPF et DKIM d’un coup d’œil.

Erreurs fréquentes

Directement à p=reject. Sans phase none préalable, tu bloques presque à coup sûr des sources légitimes. Commence toujours par p=none et lis les rapports — Google le recommande aussi.

Chercher l’enregistrement dans la console d’administration. DMARC est du DNS pur — l’enregistrement doit se trouver chez l’hébergeur du domaine, pas dans la console d’administration Google.

Aucun rua défini. Sans adresse de rapport, tu voles à l’aveugle. rua doit être présent dès le début.

DMARC sans SPF/DKIM. DMARC vérifie les résultats de SPF et DKIM. D’abord SPF et DKIM, puis DMARC.

Pour aller plus loin