Dernière mise à jour : juillet 2026
En bref : après ce guide, ton domaine publie un enregistrement TXT DMARC dans la zone Hetzner DNS — échelonné en toute sécurité de l’observation à l’application.
Prérequis
- Une zone DNS chez Hetzner (Hetzner Console) ou un hébergement web konsoleH
- SPF et DKIM doivent être en place — DMARC s’appuie sur eux
Qu’est-ce que DMARC ?
DMARC (Domain-based Message Authentication, Reporting & Conformance) s’appuie, comme le formule proprement la documentation de Hetzner, sur SPF et DKIM « et précise comment les serveurs de messagerie destinataires doivent traiter les e-mails qui échouent à ces vérifications ». Il te permet aussi de recevoir des rapports sur les vérifications échouées. Tu le configures via un enregistrement TXT dans ta zone DNS.
Les politiques
Hetzner nomme les trois niveaux de façon concise et correcte :
none— « distribue l’e-mail et effectue seulement une évaluation » (observer)quarantine— « peut traiter l’e-mail comme du spam »reject— « rejette l’e-mail »
C’est aussi l’ordre dans lequel tu passes DMARC en mode applicatif.
Guide étape par étape
1. Commencer par l’observation
L’enregistrement d’exemple typique de Hetzner se lit _dmarc.example.com IN TXT "v=DMARC1; p=none". Pour démarrer, tu ajoutes une adresse de rapport. Dans ta zone DNS, crée :
| Champ | Valeur |
|---|---|
| Type | TXT |
| Nom | _dmarc |
| Valeur | "v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de" |
Comme pour l’enregistrement SPF, la particularité Hetzner s’applique : la valeur TXT doit être entre guillemets. Tu analyses au mieux les rapports rua avec un moniteur DMARC comme MARCo.
2. Lire les rapports, nettoyer les sources
Après une ou deux semaines, les rapports montrent quelles sources ne passent pas encore SPF/DKIM. Ce n’est qu’une fois tous les expéditeurs légitimes propres que tu resserres.
3. Échelonner jusqu’à reject
v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@beispiel.de
v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de
(À saisir de nouveau entre guillemets dans la Hetzner Console.)
4. Attendre que la modification soit en ligne
Les modifications DNS prennent du temps — quelques heures selon la mise en cache.
Les balises les plus importantes
| Balise | Signification |
|---|---|
v=DMARC1 | version, doit être au début |
p= | politique : none / quarantine / reject |
rua= | adresse pour les rapports agrégés |
pct= | portion des e-mails à laquelle la politique s’applique |
sp= | politique pour les sous-domaines |
adkim= / aspf= | alignement (r relaxed, s strict) |
Vérifier le résultat
Vérifie ta configuration avec le scanner MXAudit gratuit — il te montre DMARC, SPF et DKIM d’un coup d’œil.
Erreurs fréquentes
Guillemets oubliés. Dans la Hetzner Console, la valeur TXT va entre guillemets.
Directement à reject. Sans phase none, tu bloques des sources légitimes.
Aucun rua. Sans adresse de rapport, tu voles à l’aveugle.
DMARC sans SPF/DKIM. D’abord SPF et DKIM, puis DMARC.
Pour aller plus loin
- Docs Hetzner : sécurité e-mail avec DKIM, SPF et DMARC (consulté le 10 juillet 2026)
- RFC 7489 — DMARC
