Dernière mise à jour : juillet 2026

En bref : DMARC protège ton nom de domaine contre l’usurpation en vérifiant l’alignement de tes flux e-mail. Sur le Manager Infomaniak, tu peux configurer ton enregistrement TXT sur le sous-domaine _dmarc et ajuster ta politique en douceur grâce aux pourcentages (pct), ou opter pour le rejet strict (Reject à 100%).

Prérequis

  • Un nom de domaine relié à un Service Mail ou géré chez Infomaniak
  • Accès au Manager Infomaniak (https://manager.infomaniak.com)
  • SPF et DKIM préalablement configurés et opérationnels

Qu’est-ce que DMARC ?

DMARC (Domain-based Message Authentication, Reporting, and Conformance) est la couche de contrôle finale de l’authentification e-mail. Il s’assure que le domaine visible dans le champ From d’un e-mail correspond aux vérifications techniques validées par SPF et DKIM.

Via un enregistrement DNS de type TXT publié sur _dmarc, tu donnes des instructions aux serveurs destinataires (Gmail, Outlook, Apple) sur la manière de traiter un e-mail qui échoue à ces contrôles d’authenticité.

Le point de départ chez Infomaniak

Dans sa documentation technique officielle, Infomaniak détaille les options de contrôle dont dispose l’administrateur et la manière d’en graduer l’application : 3 politiques ( p = policy) existent et peuvent être affinées avec un pourcentage ( pct ):

Chaque politique correspond à une réaction précise : Avec " p=none ", aucun e-mail n'est rejeté ou placé en quarantaine en fonction de la vérification DMARC.

Pour une transition progressive vers le durcissement, le pourcentage (pct) permet de filtrer une partie seulement du flux : Avec " p=quarantine ", les e-mails non authentifiés peuvent être placés en quarantaine, mais le pourcentage de réception détermine la proportion réellement soumise à cette politique.

Puis, pour une interdiction ferme : Avec " p=reject ", les e-mails non authentifiés sont rejetés.

Enfin, concernant les domaines suisses et liechtensteinois (.ch et .li) pour lesquels Infomaniak renforce activement la sécurité e-mail, la documentation définit précisément le comportement d’une politique de blocage maximal : Lorsque vous configurez une politique DMARC "Reject" à 100%, cela signifie que tout e-mail qui échoue aux vérifications SPF ou DKIM doit être rejeté, c'est-à-dire bloqué, par le serveur de réception.

Guide étape par étape

1. Vérifier la configuration actuelle dans le terminal

Avant d’ajouter ou modifier une entrée, interroge ta zone DNS pour vérifier si une politique DMARC est en place :

dig TXT _dmarc.example.com +short

Si le résultat retourne une chaîne commençant par v=DMARC1, un enregistrement est déjà actif. S’il est vide, procède à la création dans ton Manager.

2. Accéder à la zone DNS dans le Manager Infomaniak

Connecte-toi à ton Manager Infomaniak. Ouvre le menu Domaines, sélectionne ton nom de domaine puis clique sur l’onglet Zone DNS.

3. Publier l’enregistrement TXT _dmarc

Clique sur Ajouter un enregistrement et choisis le type TXT. Configure les champs comme suit :

  • Source / Hôte : _dmarc (le Manager ajoutera automatiquement .tondomaine.ch.)
  • Type : TXT
  • Cible / Valeur (pour une surveillance avec rapports) :
    v=DMARC1; p=reject; rua=mailto:dmarc@example.com

(Remplace dmarc@example.com par l’adresse e-mail ou le service de monitoring qui collectera tes rapports XML quotidiens).

4. Affiner avec le paramètre de pourcentage (pct)

Si tu souhaites tester une politique sur une fraction de tes e-mails (comme l’explique la documentation d’Infomaniak), tu peux utiliser des exemples de transition combinant p= et pct= :

Pour observer sans risque sur 10% du trafic :

v=DMARC1; p=none; pct=10

Pour mettre en quarantaine la moitié des messages suspects :

v=DMARC1; p=quarantine; pct=50

Et pour rejeter 20% des messages illégitimes avant le passage au blocage total à 100% :

v=DMARC1; p=reject; pct=20

Les composants en détail

ComposantSignification
_dmarcLe sous-domaine obligatoire sur lequel l’enregistrement DMARC doit être publié dans le DNS
v=DMARC1Déclaration de version du protocole (doit impérativement être en première position)
p=La politique applicable aux e-mails non conformes (none, quarantine ou reject)
pct=Le pourcentage du trafic suspect sur lequel s’applique la politique (100 par défaut si omis)
rua=mailto:...L’adresse e-mail de réception des rapports d’activité agrégés (au format XML)

Vérifier le résultat

Après avoir enregistré la règle dans le Manager Infomaniak, vérifie immédiatement sa validité avec le scanner MXAudit gratuit — il contrôle en quelques secondes l’alignement de tes enregistrements et la syntaxe de ta politique DMARC.

Tu peux aussi vérifier en ligne de commande que la règle est active :

dig TXT _dmarc.example.com +short

La sortie doit retourner exactement ta chaîne "v=DMARC1; ...".

Erreurs fréquentes

  • Publier sur le domaine racine (@) au lieu de _dmarc : Un enregistrement DMARC placé sur la racine de ton domaine sera totalement invisible pour les serveurs destinataires.
  • Oublier le préfixe mailto: dans l’URL de rapport : Le paramètre rua exige l’indication explicite du protocole mailto: devant l’adresse e-mail. Mettre uniquement l’adresse invalide l’envoi des rapports.
  • Rester éternellement sur p=none : Si la surveillance sous p=none est une excellente première étape pour auditer ses flux, elle ne protège nullement ton domaine contre l’usurpation d’identité. N’oublie pas de durcir vers quarantine ou reject.

Pour aller plus loin