Dernière mise à jour : juillet 2026
En bref : après ce guide, ton domaine publie un enregistrement DMARC qui indique aux serveurs destinataires quoi faire des e-mails non authentifiés — et te montre via des rapports qui envoie en ton nom.
Prérequis
- Un serveur Mailcow en fonctionnement
- SPF et DKIM doivent être configurés d’abord — la documentation de Mailcow qualifie explicitement DMARC de « dernière étape », après SPF et DKIM
- L’accès à la gestion DNS de ton domaine
Qu’est-ce que DMARC ?
DMARC (Domain-based Message Authentication, Reporting & Conformance) combine SPF et DKIM en une politique applicable. C’est un enregistrement TXT sous le sous-domaine _dmarc. Tu y définis **ce qu’**un destinataire doit faire des e-mails qui échouent à la vérification (la politique p), et où il t’envoie des rapports (l’adresse rua).
En auto-hébergement, DMARC boucle la boucle : SPF autorise ton serveur, DKIM signe le message, et DMARC transforme les deux en une règle que les serveurs destinataires appliquent.
Le point de départ chez Mailcow
Mailcow ne définit pas lui-même l’enregistrement DMARC — ta zone DNS est chez ton fournisseur DNS. Mais la documentation de Mailcow décrit exactement ce qui doit y figurer, et renvoie vers un Assistant DMARC pour le créer. Leur enregistrement d’exemple est déjà en mode applicatif :
_dmarc IN TXT "v=DMARC1; p=reject; rua=mailto:mailauth-reports@example.org"
Pour un auto-hébergeur proprement configuré, p=reject est le bon objectif — mais atteins-le par la rampe, pas d’emblée.
Le chemin sûr : none → quarantine → reject
p=none— observer, ne rien bloquer. Tu commences ici et collectes des rapports :
v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de
p=quarantine— les e-mails suspects finissent dans les spams, éventuellement échelonnés avecpct:
v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@beispiel.de
p=reject— l’application, éventuellement avec un alignement strict et une politique de sous-domaine :
v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de; sp=reject; adkim=s; aspf=s
Ne passe à l’étape suivante que lorsque les rapports montrent que toutes tes sources d’envoi légitimes passent SPF/DKIM.
Guide étape par étape
1. Définir l’adresse de rapport
L’adresse rua reçoit les rapports agrégés. Pour l’analyse, un moniteur DMARC comme MARCo vaut la peine — il rend lisibles les rapports XML quotidiens et te montre quelles sources ne sont pas encore proprement authentifiées.
2. Créer l’enregistrement TXT _dmarc chez le fournisseur DNS
Crée un enregistrement TXT sur l’hôte _dmarc. L’endroit exact dépend du fournisseur DNS — voir nos guides pour IONOS, Strato, Netcup ou Hetzner DNS (chez Hetzner, la valeur TXT doit être entre guillemets).
3. Lire les rapports et resserrer la politique
Commence par p=none, passe par quarantine jusqu’à reject une fois que les rapports sont propres.
4. Attendre que la modification soit en ligne
Les modifications DNS prennent quelques heures selon la mise en cache.
Les balises les plus importantes
| Balise | Signification |
|---|---|
v=DMARC1 | version, doit être au début |
p= | politique : none (observer), quarantine (spam), reject (rejeter) |
rua= | adresse pour les rapports d’état agrégés |
ruf= | adresse pour les rapports d’échec forensiques |
sp= | politique distincte pour les sous-domaines |
adkim= / aspf= | alignement (r relaxed, s strict) pour DKIM et SPF respectivement |
Vérifier le résultat
Vérifie ta configuration avec le scanner MXAudit gratuit — il te montre la politique DMARC, SPF et DKIM d’un coup d’œil.
Erreurs fréquentes
Copier l’exemple p=reject de Mailcow tel quel. L’exemple de la documentation est en mode applicatif. Si tu l’adoptes avant que tes sources s’authentifient proprement, tu bloques tes propres e-mails. D’abord p=none, lis les rapports, puis resserre.
Aucun rua défini. Sans adresse de rapport, tu ne vois jamais quelles sources échouent.
DMARC sans SPF/DKIM. DMARC vérifie les résultats de SPF et DKIM. D’abord SPF et DKIM, puis DMARC.
Mauvais nom d’hôte. L’enregistrement doit se trouver à _dmarc — pas à @ ni au domaine nu.
Pour aller plus loin
- Docs Mailcow : configuration DNS (consulté le 10 juillet 2026)
- RFC 7489 — DMARC
