Dernière mise à jour : juillet 2026
En bref : après ce guide, ton domaine chez OVHcloud publie un enregistrement DMARC. Il indique aux serveurs destinataires quoi faire du courrier qui échoue à SPF et DKIM — et t’envoie des rapports sur qui envoie en ton nom.
Prérequis
- Un domaine dont la zone DNS est hébergée chez OVHcloud
- SPF et/ou DKIM déjà configurés
- Accès à l’espace client OVHcloud
Qu’est-ce que DMARC ?
DMARC (Domain-based Message Authentication, Reporting and Compliance) relie SPF et DKIM en une politique. OVHcloud est explicite : il se fonde sur les résultats des contrôles SPF et DKIM — quand les deux échouent, DMARC dit au destinataire quoi faire — livrer, mettre en quarantaine ou rejeter — et peut t’envoyer des rapports agrégés sur qui envoie du courrier avec ton domaine.
D’où l’importance du prérequis. OVHcloud précise qu’au moins l’un de SPF ou DKIM doit être configuré dans la zone DNS du domaine de la solution e-mail avant que DMARC ne serve à quoi que ce soit. Mets d’abord SPF et DKIM en place.
Le point de départ chez OVHcloud
OVHcloud te donne deux voies dans l’assistant de zone DNS : il existe deux façons de configurer DMARC dans ta zone DNS OVHcloud — un enregistrement DMARC simplifié où tu remplis des champs, ou un enregistrement TXT brut où tu écris la chaîne complète toi-même. Les deux finissent en TXT sous _dmarc.
Guide étape par étape
1. Ouvrir la zone DNS et ajouter une entrée
Connecte-toi à l’espace client OVHcloud, clique sur l’onglet Web Cloud, choisis le domaine dans la section Noms de domaine et ouvre l’onglet Zone DNS. Clique sur Ajouter une entrée, puis choisis l’assistant DMARC (« enregistrements Mail »).
2. Remplir les champs
- Sous-domaine : cette entrée doit commencer par
_dmarc. Pour tout le domaine, saisis seulement_dmarc. - Version (
v=) : OVHcloud parle d’un champ obligatoire déterminant la version du protocole DMARC — toujoursDMARC1. - Politique (
p=) : ce que les destinataires doivent faire en cas d’échec.nonesignifie que le titulaire du domaine ne demande aucune action spécifique sur la livraison.quarantinetraite le courrier en échec comme suspect ;rejectrejette les e-mails qui échouent à la vérification DMARC. rua=: les adresses auxquelles les rapports doivent être envoyés — le préfixemailto:est requis.
Cela produit un enregistrement comme :
v=DMARC1; p=none; rua=mailto:dmarc@example.com
3. Démarrer à p=none
Résiste à l’envie de sauter directement à reject. OVHcloud recommande la même chose : configurer p=none et faire une analyse des rapports d’échec pendant plusieurs semaines, afin de résoudre d’abord les anomalies. Pour un déploiement progressif, tu peux aussi utiliser le tag pct= — son but est de permettre aux titulaires de domaines une adoption lente du mécanisme DMARC.
4. Durcir vers quarantine, puis reject
Quand les rapports montrent que toutes tes sources légitimes passent SPF ou DKIM, relève la politique :
v=DMARC1; p=quarantine; pct=100; rua=mailto:dmarc@beispiel.de
et enfin, quand tu es confiant :
v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de
5. Attendre que la modification soit en ligne
Les modifications DNS prennent quelques heures selon le TTL et le cache.
Les tags en détail
| Tag | Signification |
|---|---|
v=DMARC1 | identifiant de version, obligatoire |
p= | politique : none, quarantine ou reject |
pct= | pourcentage du courrier auquel la politique s’applique (0–100, défaut 100) — pour un déploiement progressif |
rua= | adresse pour les rapports agrégés (mailto: requis) |
sp= | politique distincte pour les sous-domaines |
aspf= / adkim= | mode d’alignement SPF/DKIM (r relaxed, s strict) |
Vérifier le résultat
Vérifie ta configuration avec le scanner MXAudit gratuit — il lit ta politique et signale une configuration incohérente. Ou dans le terminal :
dig TXT _dmarc.example.com +short
Erreurs fréquentes
DMARC sans SPF ni DKIM. DMARC évalue les résultats des deux — sans aucun des deux, il n’a rien sur quoi s’appuyer. Mets d’abord SPF et DKIM en place.
Sauter directement à p=reject. Sans phase de rapports, tu ne vois pas quelles sources légitimes échouent encore — et tu rejettes silencieusement ton propre courrier. Démarre à none et lis les rapports.
Enregistrement au mauvais nom. L’enregistrement DMARC vit sur _dmarc.ton-domaine, pas sur le domaine nu. Dans l’assistant OVHcloud, le champ sous-domaine doit commencer par _dmarc.
Pas d’adresse rua. Sans adresse de rapport, tu voles à l’aveugle — tu ne sais jamais qui envoie avec ton domaine ni si des expéditeurs légitimes échouent.
Pour aller plus loin
- OVHcloud : How to improve email security with a DMARC record (consulté le 10 juillet 2026)
- OVHcloud : Editing an OVHcloud DNS zone (consulté le 10 juillet 2026)
- RFC 7489 — Domain-based Message Authentication, Reporting, and Conformance (DMARC)
