Dernière mise à jour : juillet 2026

En bref : Les tags optionnels adkim= et aspf= dictent la rigueur avec laquelle Domain-based Message Authentication, Reporting, and Conformance (DMARC) vérifie l’alignement des identifiants. Ils déterminent si les domaines SPF et DKIM sous-jacents doivent correspondre exactement au domaine visible de l’en-tête From (strict) ou si les sous-domaines sont tolérés (relaxed).

Pour qu’un e-mail réussisse l’évaluation DMARC, il ne suffit pas que SPF et DKIM soient techniquement valides sur n’importe quel domaine. DMARC exige qu’au moins un mécanisme d’authentification valide corresponde au domaine visible par le destinataire (Header-From). Ce lien est appelé l’alignement des identifiants (Identifier Alignment).

En configurant les tags adkim= (alignement DKIM) et aspf= (alignement SPF), les administrateurs définissent la souplesse exacte autorisée lors de la comparaison de ces noms de domaine.

Exigences du protocole selon la RFC 7489

Les deux tags d’alignement acceptent deux valeurs : r pour le mode souple (relaxed) et s pour le mode strict. S’ils sont omis de l’enregistrement DNS publié, DMARC applique automatiquement l’alignement souple (r).

Selon la norme RFC 7489, pour l’alignement DKIM : adkim: (plain-text; OPTIONAL; default is "r".) Indicates whether strict or relaxed DKIM Identifier Alignment mode is required by the Domain Owner.

Et de manière similaire pour l’alignement SPF : aspf: (plain-text; OPTIONAL; default is "r".) Indicates whether strict or relaxed SPF Identifier Alignment mode is required by the Domain Owner.

Un enregistrement de politique DMARC appliquant un alignement strict sur les deux mécanismes ressemble à ceci :

v=DMARC1; p=reject; adkim=s; aspf=s; rua=mailto:dmarc-reports@example.com

Alignement souple (r) : flexibilité organisationnelle

En mode souple (r), DMARC autorise les relations de sous-domaines organisationnels :

  • Si l’adresse visible dans l’en-tête Header-From est user@example.com, le domaine spécifié dans la signature DKIM (d=) ou le Return-Path de l’enveloppe (Mail-From) peut être un sous-domaine comme mail.example.com ou bounce.example.com.
  • Même si les chaînes ne sont pas identiques caractère par caractère, DMARC considère l’alignement réussi car les deux appartiennent au même domaine racine organisationnel.

Le mode souple est le standard recommandé pour la grande majorité des organisations, car les plateformes tierces (services d’e-mails transactionnels, outils CRM ou helpdesks) acheminent presques toutes leurs messages via des sous-domaines de rebond ou de signature dédiés.

Alignement strict (s) : correspondance exacte des chaînes

En mode strict (s), DMARC exige une correspondance exacte et caractère par caractère du domaine :

  • Si un e-mail affiche user@example.com dans l’en-tête From, le tag DKIM d= doit être exactement example.com, et le Return-Path SPF doit se terminer précisément par @example.com.
  • Si une plateforme tierce signe le message en utilisant mail.example.com, l’alignement strict échoue immédiatement — même si la signature cryptographique en elle-même est valide.

L’alignement strict est généralement réservé aux environnements B2B à haute sécurité, aux institutions gouvernementales et aux banques, où les administrateurs doivent empêcher que des sous-domaines compromis ne puissent authentifier du trafic pour le domaine racine.

Vérifier ta configuration

Pour vérifier si ton enregistrement DMARC actuel applique un alignement souple ou strict sur l’ensemble de tes outils d’envoi tiers, audite ton domaine avec le scanner gratuit MXAudit.

Pour explorer les concepts techniques complets et suivre des tutoriels par fournisseur, consulte le guide complet DMARC et des guides comme configurer DMARC chez IONOS.

Pour aller plus loin