Dernière mise à jour : juillet 2026
En bref : Le tag
p=(Policy) est le paramètre requis central dans un enregistrement DMARC. Il indique aux serveurs de messagerie récepteurs quelle action d’application adopter contre les messages qui échouent aux authentifications SPF et DKIM.
Lors du déploiement de Domain-based Message Authentication, Reporting, and Conformance (DMARC), le tag p= définit ton niveau d’application de politique. Ce paramètre s’applique à l’ensemble de ton domaine et détermine si les e-mails non authentifiés sont simplement surveillés, filtrés ou totalement bloqués.
Les spécifications du tag p=
Selon la norme RFC 7489, le tag p= est obligatoire pour les enregistrements de politique et couvre automatiquement à la fois le domaine principal et tous ses sous-domaines, sauf si une politique distincte pour les sous-domaines est spécifiée avec le tag sp= :
p: Requested Mail Receiver policy (plain-text; REQUIRED for policy records). Indicates the policy to be enacted by the Receiver at the request of the Domain Owner. Policy applies to the domain queried and to subdomains, unless subdomain policy is explicitly described using the "sp" tag.
Le protocole définit trois modes de politique distincts :
1. Mode surveillance (p=none)
Un enregistrement configuré avec p=none demande qu’aucune intervention ne soit faite sur la livraison du courrier :
v=DMARC1; p=none; rua=mailto:dmarc-reports@example.com
Selon la RFC 7489, ce mode signifie : none: The Domain Owner requests no specific action be taken regarding delivery of messages.
Dans cet état, les serveurs récepteurs livrent normalement les messages même s’ils échouent à l’alignement SPF et DKIM. L’objectif principal de p=none est la visibilidad : associé à une adresse de rapport (rua=), les fournisseurs de messagerie envoient des rapports XML quotidiens listant tous les serveurs expédiant des messages au nom de ton domaine. Cela te permet d’identifier tes expéditeurs légitimes et de corriger les problèmes d’authentification sans risquer le rejet d’e-mails.
2. Mode quarantaine (p=quarantine)
Une fois tous les flux légitimes vérifiés, l’étape suivante est p=quarantine :
v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@example.com
Dans ce mode d’application, les messages non authentifiés sont traités avec suspicion plutôt qu’être livrés en boîte de réception. Selon la RFC 7489 : quarantine: The Domain Owner wishes to have email that fails the DMARC mechanism check be treated by Mail Receivers as suspicious. Depending on the capabilities of the Mail Receiver, this can mean "place into spam folder", "scrutinize with additional intensity", and/or "flag as suspicious".
Dans la pratique, les serveurs de messagerie récepteurs acheminent généralement les e-mails défaillants directement vers le dossier spam ou courrier indésirable du destinataire.
3. Protection stricte (p=reject)
L’objectif ultime de tout déploiement DMARC est la protection complète sous p=reject :
v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.com
Selon la RFC 7489, cette politique demande aux récepteurs de rejeter purement et simplement les messages non authentifiés dès la connexion initiale : reject: The Domain Owner wishes for Mail Receivers to reject email that fails the DMARC mechanism check. Rejection SHOULD occur during the SMTP transaction.
Enforcer p=reject bloque efficacement le spoofing de domaine exact et les attaques de hameçonnage. Si un serveur non autorisé tente d’envoyer un e-mail en utilisant ton nom de domaine, les serveurs récepteurs mettent fin immédiatement à la transaction SMTP et rejettent le message.
Progression recommandée pour le déploiement
Un déploiement DMARC sécurisé suit une approche par étapes :
- Publier
p=nonependant au moins deux à quatre semaines et analyser les rapports agrégés pour découvrir tous les outils d’envoi légitimes. - Passer à
p=quarantinepour intercepter les erreurs de configuration mineures tout en veillant à ce que les messages restent accessibles dans les dossiers de spam si nécessaire. - Appliquer
p=rejectune fois que les contrôles d’authentification réussissent systématiquement sur tous les flux légitimes.
Vérifier ta configuration
Pour vérifier quel mode de politique ton domaine applique actuellement et confirmer que ta syntaxe respecte les spécifications RFC, teste ton domaine avec le scanner gratuit MXAudit.
Pour approfondir les concepts techniques et consulter des guides de configuration spécifiques par fournisseur, explore le guide complet DMARC et des tutoriels comme configurer DMARC chez IONOS.
Pour aller plus loin
- RFC 7489 — Domain-based Message Authentication, Reporting, and Conformance (DMARC) (consulté le 17 juillet 2026)