Dernière mise à jour : juillet 2026

En bref : Le tag optionnel pct= dans un enregistrement DMARC déclare le pourcentage exact de messages non authentifiés sur lesquels la politique de filtrage (quarantine ou reject) doit s’appliquer. C’est un mécanisme de sécurité essentiel pour réussir un déploiement progressif et sans risque sur un domaine d’entreprise.

Lorsqu’une organisation passe de la simple surveillance (p=none) à une protection active (p=quarantine ou p=reject), appliquer immédiatement la politique à 100 % du trafic mondial d’e-mails comporte un risque opérationnel. Si un outil de facturation tiers ou un CRM envoie encore des e-mails non alignés, une transition brutale pourrait entraîner de nombreux rejets de messages légitimes. Pour atténuer ce risque, la RFC 7489 a introduit le tag pct= (Percentage).

Comment fonctionne le tag pct= selon la RFC 7489

Le tag pct= accepte tout nombre entier compris entre 0 et 100. S’il est omis de la chaîne TXT publiée, DMARC applique par défaut la valeur 100.

Selon la norme RFC 7489, le protocole spécifie : pct: (plain-text integer between 0 and 100, inclusive; OPTIONAL; default is 100). Percentage of messages from the Domain Owner's mail stream to which the DMARC policy is to be applied.

L’objectif explicite de ce paramètre selon la RFC 7489 est de permettre un déploiement progressif : The purpose of the "pct" tag is to allow Domain Owners to enact a slow rollout enforcement of the DMARC mechanism.

Un enregistrement DMARC utilisant le filtrage par pourcentage ressemble à ceci :

v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc-reports@example.com

Dans ce déploiement, les serveurs de messagerie récepteurs appliquent la politique de mise en quarantaine exactement à 25 % des messages défaillants. Les 75 % restants sont traités comme si le domaine était configuré avec p=none (ils sont livrés normalement tout en étant comptabilisés dans les rapports XML agrégés).

Comment les vérificateurs traitent le pourcentage non sélectionné

Lorsqu’un message échoue à l’évaluation DMARC et tombe dans la tranche de pourcentage non sélectionnée (par exemple, les 75 % restants lorsque pct=25 est actif), les passerelles de réception appliquent une règle de repli déterministe :

  • Sous p=quarantine avec pct=25 : 25 % sont mis en spam/quarantaine, et les 75 % restants reçoivent le traitement p=none (livraison en boîte de réception).
  • Sous p=reject avec pct=25 : 25 % sont purement et simplement rejetés (reject), tandis que les 75 % restants sont rétrogradés au niveau intermédiaire (quarantine).

Étapes pour un déploiement progressif en entreprise

Un plan de déploiement par étapes permet aux administrateurs de vérifier l’alignement en conditions réelles sans provoquer de pannes majeures :

  1. Étape 1 : p=quarantine; pct=10 (Premier test d’application ciblant quelques cas limites avec un impact minimal).
  2. Étape 2 : p=quarantine; pct=50 (Élargissement de la couverture une fois que les rapports confirment un alignement propre).
  3. Étape 3 : p=quarantine (ou pct=100 explicite — mise en quarantaine sur la totalité du trafic).
  4. Étape 4 : p=reject; pct=10 (Entrée prudente dans le mode de rejet strict).
  5. Étape 5 : p=reject (Protection complète contre l’usurpation de domaine exact).

Vérifier ta configuration

Pour vérifier comment ton pourcentage publié affecte les flux d’e-mails entrants et confirmer que la syntaxe de ton enregistrement TXT respecte les normes du protocole, teste ton domaine avec le scanner gratuit MXAudit.

Pour explorer d’autres concepts techniques et suivre des tutoriels par fournisseur, consulte le guide complet DMARC et des tutoriels comme configurer DMARC chez IONOS.

Pour aller plus loin