Dernière mise à jour : juillet 2026

En bref : DMARC indique aux serveurs de messagerie comment traiter les e-mails qui échouent aux contrôles d’authentification. Sur ton hébergement LWS, tu peux facilement activer cette protection en ajoutant un enregistrement TXT sur le sous-domaine _dmarc depuis ton LWS Panel.

Prérequis

  • Un nom de domaine géré chez LWS (ou utilisant la zone DNS de LWS)
  • Accès à l’espace client LWS Panel
  • SPF et DKIM préalablement configurés et pleinement fonctionnels

Qu’est-ce que DMARC ?

DMARC (Domain-based Message Authentication, Reporting, and Conformance) est un protocole qui unifie SPF et DKIM. Il s’assure que le domaine affiché dans le champ From de ton e-mail correspond au domaine qui a validé l’authentification technique.

Grâce à un enregistrement DNS de type TXT publié sur le sous-domaine _dmarc, tu définis une politique claire (p=) indiquant aux fournisseurs de messagerie (Gmail, Outlook, Yahoo) la conduite à tenir si un message falsifié usurpe ton identité :

  • p=none : simple surveillance et envoi de rapports (aucune action sur la livraison)
  • p=quarantine : mise en dossier spam/quarantaine des messages non conformes
  • p=reject : rejet pur et simple avant livraison

Le point de départ chez LWS

La configuration de DMARC s’effectue dans l’outil de gestion de la zone DNS du LWS Panel, en créant un enregistrement textuel personnalisé.

La documentation des tutoriels LWS donne les consignes exactes de création et la valeur de départ recommandée pour débuter en toute sécurité : Pour créer la DMARC, ajoutez un enregistrement TXT : _dmarc.votredomaine.com v=DMARC1; p=none; rua=mailto:postmaster@votredomaine.com

Une fois cette surveillance active, LWS conseille d’analyser les retours techniques avant d’augmenter le niveau de protection : Après réception des premiers rapports, durcissez la politique ( quarantine puis reject ).

Guide étape par étape

1. Vérifier si un enregistrement DMARC existe déjà

Avant de créer une nouvelle entrée dans le LWS Panel, vérifie l’état de ton domaine depuis ton terminal :

dig TXT _dmarc.example.com +short

Si une ligne commençant par v=DMARC1 est renvoyée, un enregistrement est déjà actif. Sinon, procède à son installation en suivant les étapes ci-dessous.

2. Accéder à la zone DNS dans le LWS Panel

Connecte-toi à ton interface LWS Panel. Sélectionne le nom de domaine concerné puis clique sur la rubrique de gestion de la zone DNS (Zone DNS > Ajouter un enregistrement TXT).

3. Publier l’enregistrement DMARC initial (surveillance)

Pour créer ta politique DMARC de départ, ajoute un nouvel enregistrement TXT avec les valeurs suivantes :

  • Nom / Hôte : _dmarc (ou _dmarc.votredomaine.com. selon ce que demande le champ)
  • Type : TXT
  • TTL : Par défaut (ex. 3600)
  • Valeur / Contenu :
    v=DMARC1; p=none; rua=mailto:postmaster@votredomaine.com

(Remplace postmaster@votredomaine.com par l’adresse e-mail où tu souhaites recevoir les rapports XML quotidiens).

4. Durcir la politique après analyse des rapports

Après quelques semaines de surveillance sous p=none, et une fois que tu as confirmé via les rapports que tous tes flux légitimes (webmail, formulaires, newsletter) passent l’authentification avec succès, passe au niveau supérieur comme le recommande LWS :

Pour une mise en quarantaine (dossier spam des destinataires en cas d’échec) :

v=DMARC1; p=quarantine; rua=mailto:postmaster@votredomaine.com

Puis, à terme, pour un blocage strict de toute tentative d’usurpation, tu modifieras le paramètre de politique sur p=reject (v=DMARC1; p=reject; rua=mailto:postmaster@votredomaine.com).

Les composants en détail

ComposantSignification
_dmarcLe sous-domaine technique normalisé où doit impérativement être publié l’enregistrement DMARC
v=DMARC1Version du protocole, obligatoire et devant obligatoirement se trouver au tout début de la chaîne
p=nonePolitique d’action (none pour la surveillance, quarantine pour le spam, reject pour le rejet total)
rua=mailto:...L’URL de destination des rapports agrégés contenant les statistiques de validation de ton domaine

Vérifier le résultat

Après avoir enregistré ton entrée dans le LWS Panel, patiente quelques minutes puis vérifie la conformité de ta politique avec le scanner MXAudit gratuit — il analyse instantanément l’alignement entre ton DMARC, ton SPF et ton DKIM.

Tu peux aussi vérifier que ton enregistrement est bien visible dans le terminal :

dig TXT _dmarc.example.com +short

La sortie doit retourner exactement ta chaîne "v=DMARC1; p=none; rua=mailto:postmaster@votredomaine.com".

Erreurs fréquentes

  • Oublier le préfixe mailto: dans rua : Saisir directement l’adresse e-mail sans le protocole mailto: (par exemple rua=postmaster@votredomaine.com) rend le paramètre invalide et empêche l’envoi des rapports.
  • Créer l’enregistrement sur la racine (@) : DMARC recherche exclusivement le sous-domaine _dmarc. Si tu publies l’enregistrement TXT sur le domaine racine ou sur un autre sous-domaine, la politique ne s’appliquera pas.
  • Durcir trop vite (passer directement à reject) : Appliquer p=reject dès le premier jour sans avoir vérifié tes flux secondaires peut bloquer tes propres e-mails légitimes envoyés depuis des outils externes.

Pour aller plus loin