Dernière mise à jour : juillet 2026
En bref : après ce guide, ton domaine publie un enregistrement DMARC dans le CCP. Comme Netcup n’a pas d’assistant DMARC, tu crées toi-même l’enregistrement TXT
_dmarc— ce guide te mène en toute sécurité de l’observation à l’application.
Ce guide s’applique à l’hébergement web Netcup (CCP). Sur les vServeurs avec ton propre serveur de messagerie (par ex. Mailcow), le même principe DMARC s’applique, tu saisis simplement l’enregistrement dans ta zone DNS respective.
Prérequis
- Un pack d’hébergement web Netcup
- L’accès au Customer Control Panel (CCP)
- SPF et DKIM doivent être en place — DMARC ne fait qu’évaluer leurs résultats
Qu’est-ce que DMARC ?
DMARC (Domain-based Message Authentication, Reporting & Conformance) combine SPF et DKIM en une politique applicable : l’enregistrement TXT _dmarc définit ce qu’un destinataire doit faire des e-mails non authentifiés, et où il envoie les rapports.
Le point de départ chez Netcup
Contrairement à SPF et DKIM (où il existe des spécifications prêtes à l’emploi), Netcup ne documente pas DMARC séparément — il n’y a pas d’assistant DMARC. Ce n’est pas un problème : via la gestion DNS du CCP, tu crées toi-même l’enregistrement TXT _dmarc. Les enregistrements TXT, selon Netcup, sont prévus exactement pour ce type d’« informations textuelles (souvent à des fins de vérification ou de sécurité) ».
Guide étape par étape
1. Ouvrir la gestion DNS dans le CCP
Connecte-toi au CCP, ouvre Domaines, clique sur l’icône de loupe à côté de ton domaine et passe à l’onglet DNS.
2. Commencer par l’observation (p=none)
Crée un enregistrement TXT :
- Hôte :
_dmarc - Type :
TXT - Destination :
v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de
p=none ne bloque rien mais collecte des rapports. L’adresse rua reçoit les rapports agrégés quotidiens — un moniteur DMARC comme MARCo convient bien à l’analyse.
3. Échelonner jusqu’à reject
Quand les rapports montrent que toutes les sources légitimes passent SPF/DKIM, resserre par étapes :
v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@beispiel.de
Puis l’application :
v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de
4. Attendre que la modification soit en ligne
Les modifications DNS prennent du temps — quelques heures selon la mise en cache.
Les balises les plus importantes
| Balise | Signification |
|---|---|
v=DMARC1 | version, doit être au début |
p= | politique : none / quarantine / reject |
rua= | adresse pour les rapports agrégés |
pct= | portion des e-mails à laquelle la politique s’applique |
sp= | politique pour les sous-domaines |
adkim= / aspf= | alignement (r relaxed, s strict) |
Vérifier le résultat
Vérifie ta configuration avec le scanner MXAudit gratuit — il te montre DMARC, SPF et DKIM d’un coup d’œil.
Erreurs fréquentes
Directement à p=reject. Sans phase none, tu bloques des sources légitimes. Observe toujours d’abord, puis resserre.
Hôte mal défini. L’enregistrement doit se trouver à _dmarc, pas à @.
Aucun rua. Sans adresse de rapport, tu ne vois jamais quelles sources échouent.
DMARC sans SPF/DKIM. D’abord SPF et DKIM, puis DMARC.
Pour aller plus loin
- Centre d’aide Netcup : enregistrements DNS (hébergement web) (consulté le 10 juillet 2026)
- RFC 7489 — DMARC
