Dernière mise à jour : juillet 2026
En bref : après ce guide, ton domaine publie un enregistrement TXT DMARC dans la zone hébergée Route 53 — monté en puissance en toute sécurité, de l’observation à l’application.
Prérequis
- Une zone hébergée publique dans Amazon Route 53
- SPF et DKIM doivent être en place — DMARC s’appuie dessus
Qu’est-ce que DMARC ?
DMARC (Domain-based Message Authentication, Reporting & Conformance) s’appuie sur SPF et DKIM et précise comment les serveurs destinataires doivent traiter les e-mails qui échouent à ces contrôles. Il te permet aussi de recevoir des rapports sur les échecs. Tu le configures via un seul enregistrement TXT sur le sous-domaine _dmarc de ta zone.
Les politiques
Il y a trois niveaux d’application, et c’est aussi l’ordre dans lequel on active DMARC :
none— livrer normalement et seulement collecter des rapports (observer)quarantine— le courrier en échec peut être traité comme spamreject— le courrier en échec est rejeté d’office
Guide étape par étape
1. Commencer par l’observation
Ouvre ta zone hébergée dans la console Route 53 et choisis Create record :
| Champ | Valeur |
|---|---|
| Record name | _dmarc |
| Record type | TXT |
| Value | "v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de" |
Comme pour l’enregistrement SPF, la règle Route 53 s’applique : la valeur va entre guillemets doubles (un enregistrement TXT contient une ou plusieurs chaînes entourées de guillemets doubles). L’enregistrement lui-même, en termes DNS :
v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de
Analyse au mieux les rapports rua avec un service de monitoring DMARC.
2. Lire les rapports, assainir les sources
Après une à deux semaines, les rapports montrent quelles sources ne passent pas encore SPF/DKIM. Ce n’est qu’une fois tous les expéditeurs légitimes propres que tu durcis.
3. Monter par paliers jusqu’à reject
Édite le même enregistrement _dmarc — d’abord une quarantaine partielle :
v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@beispiel.de
puis, quand les rapports restent propres, le rejet complet :
v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de
(Saisis à nouveau la valeur entre guillemets doubles dans le champ Value de Route 53.)
4. Attendre que la modification soit en ligne
D’après la doc AWS, les modifications se propagent généralement à tous les serveurs de noms Route 53 en 60 secondes — les caches des résolveurs suivent à l’expiration du TTL.
Les tags les plus importants
| Tag | Signification |
|---|---|
v=DMARC1 | version, doit être au début |
p= | politique : none / quarantine / reject |
rua= | adresse pour les rapports agrégés |
pct= | part du courrier à laquelle la politique s’applique |
sp= | politique pour les sous-domaines |
adkim= / aspf= | alignement (r relaxed, s strict) |
Vérifier le résultat
Vérifie ta configuration avec le scanner MXAudit gratuit — il te montre DMARC, SPF et DKIM d’un coup d’œil.
Erreurs fréquentes
Guillemets oubliés. Dans le champ Value de Route 53, la valeur TXT va entre guillemets doubles.
Directement sur reject. Sans phase none, tu bloques des sources légitimes.
Pas de rua. Sans adresse de rapport, tu voles à l’aveugle.
DMARC sans SPF/DKIM. D’abord SPF et DKIM, ensuite DMARC.
Pour aller plus loin
- Guide développeur Amazon Route 53 : Supported DNS record types (consulté le 10 juillet 2026)
- Guide développeur Amazon Route 53 : Creating records using the console (consulté le 10 juillet 2026)
- RFC 7489 — DMARC
