Dernière mise à jour : juillet 2026

En bref : après ce guide, ton domaine publie un enregistrement TXT DMARC dans la zone hébergée Route 53 — monté en puissance en toute sécurité, de l’observation à l’application.

Prérequis

  • Une zone hébergée publique dans Amazon Route 53
  • SPF et DKIM doivent être en place — DMARC s’appuie dessus

Qu’est-ce que DMARC ?

DMARC (Domain-based Message Authentication, Reporting & Conformance) s’appuie sur SPF et DKIM et précise comment les serveurs destinataires doivent traiter les e-mails qui échouent à ces contrôles. Il te permet aussi de recevoir des rapports sur les échecs. Tu le configures via un seul enregistrement TXT sur le sous-domaine _dmarc de ta zone.

Les politiques

Il y a trois niveaux d’application, et c’est aussi l’ordre dans lequel on active DMARC :

  • none — livrer normalement et seulement collecter des rapports (observer)
  • quarantine — le courrier en échec peut être traité comme spam
  • reject — le courrier en échec est rejeté d’office

Guide étape par étape

1. Commencer par l’observation

Ouvre ta zone hébergée dans la console Route 53 et choisis Create record :

ChampValeur
Record name_dmarc
Record typeTXT
Value"v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de"

Comme pour l’enregistrement SPF, la règle Route 53 s’applique : la valeur va entre guillemets doubles (un enregistrement TXT contient une ou plusieurs chaînes entourées de guillemets doubles). L’enregistrement lui-même, en termes DNS :

v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de

Analyse au mieux les rapports rua avec un service de monitoring DMARC.

2. Lire les rapports, assainir les sources

Après une à deux semaines, les rapports montrent quelles sources ne passent pas encore SPF/DKIM. Ce n’est qu’une fois tous les expéditeurs légitimes propres que tu durcis.

3. Monter par paliers jusqu’à reject

Édite le même enregistrement _dmarc — d’abord une quarantaine partielle :

v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@beispiel.de

puis, quand les rapports restent propres, le rejet complet :

v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de

(Saisis à nouveau la valeur entre guillemets doubles dans le champ Value de Route 53.)

4. Attendre que la modification soit en ligne

D’après la doc AWS, les modifications se propagent généralement à tous les serveurs de noms Route 53 en 60 secondes — les caches des résolveurs suivent à l’expiration du TTL.

Les tags les plus importants

TagSignification
v=DMARC1version, doit être au début
p=politique : none / quarantine / reject
rua=adresse pour les rapports agrégés
pct=part du courrier à laquelle la politique s’applique
sp=politique pour les sous-domaines
adkim= / aspf=alignement (r relaxed, s strict)

Vérifier le résultat

Vérifie ta configuration avec le scanner MXAudit gratuit — il te montre DMARC, SPF et DKIM d’un coup d’œil.

Erreurs fréquentes

Guillemets oubliés. Dans le champ Value de Route 53, la valeur TXT va entre guillemets doubles.

Directement sur reject. Sans phase none, tu bloques des sources légitimes.

Pas de rua. Sans adresse de rapport, tu voles à l’aveugle.

DMARC sans SPF/DKIM. D’abord SPF et DKIM, ensuite DMARC.

Pour aller plus loin