Dernière mise à jour : juillet 2026
En bref : après ce guide, ton domaine publie un enregistrement DMARC qui indique aux serveurs destinataires quoi faire des e-mails non authentifiés — et te montre via des rapports qui envoie en ton nom.
Prérequis
- Un compte IONOS avec accès à la gestion DNS
- SPF et DKIM doivent être configurés d’abord — DMARC s’appuie sur eux et ne fonctionne pas sans cette base
Qu’est-ce que DMARC ?
DMARC (Domain-based Message Authentication, Reporting & Conformance) combine SPF et DKIM en une politique applicable. C’est un enregistrement TXT que IONOS crée sous le sous-domaine _dmarc (par ex. _dmarc.example.com). Tu y définis deux choses : **ce qu’**un destinataire doit faire des e-mails qui échouent à la vérification (la politique p), et où il t’envoie des rapports (l’adresse rua).
Les rapports sont la partie astucieuse : via rua, tu reçois quotidiennement des rapports agrégés sur les serveurs qui envoient en ton nom — légitimes comme falsifiés. C’est précisément ce qui rend possible le chemin vers une application sûre.
Le chemin sûr : none → quarantine → reject
Tu ne passes pas DMARC en mode applicatif d’emblée. Les trois niveaux de politique sont une rampe :
p=none— observer, ne rien bloquer. Selon IONOS, cela « n’a aucun effet sur la distribution des e-mails et convient particulièrement aux tests ». Tu commences ici et collectes des rapports.p=quarantine— les e-mails suspects finissent dans les spams. Éventuellement avecpct=pour une partie seulement, afin de tester prudemment.p=reject— les e-mails non authentifiés sont rejetés. L’objectif.
Ne passe à l’étape suivante que lorsque les rapports montrent que toutes tes sources d’envoi légitimes passent SPF/DKIM. Sinon, tu bloques tes propres e-mails.
Guide étape par étape
1. Commencer avec p=none
Commence par l’enregistrement d’observation :
v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de
L’adresse rua est la boîte mail (ou le service) qui reçoit les rapports agrégés. Pour l’analyse, un moniteur DMARC comme MARCo vaut la peine — il rend lisibles les rapports XML quotidiens et te montre quelles sources ne sont pas encore proprement authentifiées.
2. Créer l’entrée DNS dans ton compte IONOS
Pour ton domaine, sous Actions, clique sur l’icône à trois points, puis DNS. Choisis Ajouter un enregistrement → type TXT. Dans le champ Nom d’hôte, saisis _dmarc — le sous-domaine _dmarc.example.com est créé automatiquement. Dans Valeur, tu saisis l’enregistrement (balises séparées par des points-virgules).
3. Analyser les rapports, puis resserrer
Après une ou deux semaines de p=none, les rapports montrent si toutes les sources sont propres. Passe alors à quarantine — n’hésite pas à échelonner avec pct :
v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@beispiel.de
pct=25 applique la politique à 25 % des e-mails — augmente pas à pas jusqu’à 100.
4. Passer à reject
Quand quarantine fonctionne proprement, l’application suit — éventuellement avec un alignement strict et une politique de sous-domaine :
v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de; sp=reject; adkim=s; aspf=s
5. Attendre que la modification soit en ligne
Les modifications DNS prennent du temps — quelques heures selon la mise en cache.
Les balises les plus importantes
| Balise | Signification |
|---|---|
v=DMARC1 | version, doit être au début |
p= | politique : none (observer), quarantine (spam), reject (rejeter) |
rua= | adresse pour les rapports d’état agrégés |
ruf= | adresse pour les rapports d’échec forensiques |
sp= | politique distincte pour les sous-domaines |
adkim= / aspf= | alignement (r relaxed, s strict) pour DKIM et SPF respectivement |
Sur adkim=s : « L’en-tête des e-mails doit correspondre exactement à la valeur d=nom dans les en-têtes e-mail DKIM » — strict, mais le plus sûr quand tes configurations sont propres.
Vérifier le résultat
Vérifie ta configuration avec le scanner MXAudit gratuit — il te montre la politique DMARC, SPF et DKIM d’un coup d’œil.
Erreurs fréquentes
Directement à p=reject. Sans phase none préalable, tu bloques presque à coup sûr des sources légitimes (newsletter, CRM, outil de facturation) qui ne sont pas encore proprement authentifiées. Commence toujours par p=none et lis les rapports.
Aucun rua défini. Sans adresse de rapport, tu voles à l’aveugle — tu ne vois jamais quelles sources échouent. rua doit être présent dès le début.
DMARC sans SPF/DKIM. DMARC évalue les résultats de SPF et DKIM. Si les deux manquent, aucun e-mail ne passe la vérification. D’abord SPF et DKIM, puis DMARC.
Mauvais nom d’hôte. L’enregistrement doit se trouver à _dmarc — pas à @ ni au domaine nu.
Pour aller plus loin
- Aide IONOS : configurer un enregistrement DMARC pour un domaine (consulté le 10 juillet 2026)
- RFC 7489 — DMARC
