Dernière mise à jour : juillet 2026

En bref : après ce guide, ton domaine publie un enregistrement DMARC dans le CCP. Comme Netcup n’a pas d’assistant DMARC, tu crées toi-même l’enregistrement TXT _dmarc — ce guide te mène en toute sécurité de l’observation à l’application.

Ce guide s’applique à l’hébergement web Netcup (CCP). Sur les vServeurs avec ton propre serveur de messagerie (par ex. Mailcow), le même principe DMARC s’applique, tu saisis simplement l’enregistrement dans ta zone DNS respective.

Prérequis

Qu’est-ce que DMARC ?

DMARC (Domain-based Message Authentication, Reporting & Conformance) combine SPF et DKIM en une politique applicable : l’enregistrement TXT _dmarc définit ce qu’un destinataire doit faire des e-mails non authentifiés, et où il envoie les rapports.

Le point de départ chez Netcup

Contrairement à SPF et DKIM (où il existe des spécifications prêtes à l’emploi), Netcup ne documente pas DMARC séparément — il n’y a pas d’assistant DMARC. Ce n’est pas un problème : via la gestion DNS du CCP, tu crées toi-même l’enregistrement TXT _dmarc. Les enregistrements TXT, selon Netcup, sont prévus exactement pour ce type d’« informations textuelles (souvent à des fins de vérification ou de sécurité) ».

Guide étape par étape

1. Ouvrir la gestion DNS dans le CCP

Connecte-toi au CCP, ouvre Domaines, clique sur l’icône de loupe à côté de ton domaine et passe à l’onglet DNS.

2. Commencer par l’observation (p=none)

Crée un enregistrement TXT :

  • Hôte : _dmarc
  • Type : TXT
  • Destination :
v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de

p=none ne bloque rien mais collecte des rapports. L’adresse rua reçoit les rapports agrégés quotidiens — un moniteur DMARC comme MARCo convient bien à l’analyse.

3. Échelonner jusqu’à reject

Quand les rapports montrent que toutes les sources légitimes passent SPF/DKIM, resserre par étapes :

v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@beispiel.de

Puis l’application :

v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de

4. Attendre que la modification soit en ligne

Les modifications DNS prennent du temps — quelques heures selon la mise en cache.

Les balises les plus importantes

BaliseSignification
v=DMARC1version, doit être au début
p=politique : none / quarantine / reject
rua=adresse pour les rapports agrégés
pct=portion des e-mails à laquelle la politique s’applique
sp=politique pour les sous-domaines
adkim= / aspf=alignement (r relaxed, s strict)

Vérifier le résultat

Vérifie ta configuration avec le scanner MXAudit gratuit — il te montre DMARC, SPF et DKIM d’un coup d’œil.

Erreurs fréquentes

Directement à p=reject. Sans phase none, tu bloques des sources légitimes. Observe toujours d’abord, puis resserre.

Hôte mal défini. L’enregistrement doit se trouver à _dmarc, pas à @.

Aucun rua. Sans adresse de rapport, tu ne vois jamais quelles sources échouent.

DMARC sans SPF/DKIM. D’abord SPF et DKIM, puis DMARC.

Pour aller plus loin