Dernière mise à jour : juillet 2026

En bref : united-domains contrôle DMARC de façon pratique via des boutons radio dans Sécurité e-mail. Après ce guide, tu passes DMARC en mode applicatif en toute sécurité — et sécurises immédiatement les domaines inutilisés.

Prérequis

Qu’est-ce que DMARC ?

DMARC (Domain-based Message Authentication, Reporting & Conformance) définit comment les serveurs de messagerie traitent les e-mails qui ne respectent pas tes politiques de sécurité : ils peuvent « quand même être distribués (p=none), déplacés vers un dossier de spam (p=quarantine), ou ne plus être distribués du tout (p=reject) ». Techniquement, c’est un enregistrement TXT sous _dmarc.

Deux chemins — selon que le domaine envoie ou non

united-domains sépare proprement deux cas :

Domaines depuis lesquels tu N’envoies PAS d’e-mails (y compris les domaines purs de protection de marque) : ici, tu peux « créer une entrée DMARC avec le paramètre p=reject directement et sans autre vérification ». C’est la meilleure protection contre les abus — et explicitement prévu pour les domaines « qu’ils n’utilisent pas du tout activement et n’ont réservés que pour des raisons de protection de marque ». Fais cela pour chaque domaine parqué.

Domaines depuis lesquels tu envoies : ici, tu ne dois « pas régler l’entrée DMARC directement sur p=reject » — tous les systèmes d’envoi doivent d’abord être proprement authentifiés. Pour cela, le chemin échelonné ci-dessous.

Guide étape par étape (domaines qui envoient)

1. Commencer avec p=none

Ouvre la page Sécurité e-mail (sur la page d’aperçu e-mail via le bouton Sécurité). Dans le bloc Gestion DMARC, mets le bouton radio sur DMARC actif (p=none) et enregistre. p=none ne fait que collecter des rapports (« recommandé pour le début »), ne bloque rien.

2. Enregistrer une adresse rua et analyser les rapports

Sous les boutons radio, saisis une ou plusieurs adresses rua et enregistre. Les rapports agrégés vont à cette adresse. united-domains propose pour cela une gestion DMARC intégrée (outil partenaire) — mais en principe, toute solution de surveillance DMARC qui analyse les rapports rua fonctionne, par ex. MARCo. Au fil des jours suivants, tu verras quels systèmes envoient via ton domaine.

3. Configurer proprement les systèmes d’envoi

Pour chaque système légitime (outil de newsletter, CRM, système de ticketing), tu vérifies si DKIM et SPF sont correctement définis. Soit tu identifies les sources inconnues comme des falsifications, soit tu les reconfigures.

4. Passer à p=reject

Dès que tous les systèmes légitimes sont propres, mets le bouton radio du bloc Gestion DMARC sur DMARC actif et sécurisé (p=reject) et enregistre. Conceptuellement, cela correspond à :

v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de

Vérifier le résultat

Vérifie ta configuration avec le scanner MXAudit gratuit — il te montre la politique DMARC, SPF et DKIM d’un coup d’œil.

Erreurs fréquentes

Laisser les domaines parqués sans protection. Ce sont exactement ceux que les attaquants aiment abuser. Mets les domaines qui n’envoient pas directement sur p=reject.

Domaine qui envoie directement à reject. Sans phase none et analyse des rapports, tu bloques des systèmes légitimes.

Aucune adresse rua. Sans rapports, tu ne vois jamais quelles sources échouent.

DMARC sans SPF/DKIM. Pour les domaines qui envoient, les deux doivent être correctement en place.

Pour aller plus loin