Dernière mise à jour : juillet 2026

En bref : Les tags rua= et ruf= contrôlent les retours de rapports DMARC. Alors que rua= demande des résumés XML quotidiens montrant les tendances d’authentification sur l’ensemble de ton domaine, ruf= demande des rapports d’échec détaillés par message pour résoudre les erreurs de livraison spécifiques.

L’une des fonctionnalités architecturales les plus puissantes de Domain-based Message Authentication, Reporting, and Conformance (DMARC) est sa boucle de rapports. Lorsque tu publies une politique DMARC dans ton DNS, tu utilises les tags rua= et ruf= pour indiquer où les serveurs de messagerie récepteurs doivent envoyer leurs rapports d’analyse.

Selon la norme RFC 7489, les deux tags acceptent une liste d’URI DMARC séparés par des virgules (généralement des adresses mailto:). Cependant, les données qu’ils fournissent répondent à des objectifs de diagnostic totalement différents.

Le tag rua= : résumés XML agrégés (la base de la surveillance)

Le tag rua= demande l’envoi de rapports agrégés quotidiens. Selon la RFC 7489 : rua: Addresses to which aggregate feedback is to be sent (comma-separated plain-text list of DMARC URIs; OPTIONAL).

Un enregistrement DMARC standard demandant des rapports agrégés ressemble à ceci :

v=DMARC1; p=none; rua=mailto:dmarc-reports@example.com

Les fournisseurs de messagerie récepteurs (comme Gmail, Yahoo et Microsoft 365) collectent les données de trafic sur tous les e-mails entrants prétendant provenir de ton domaine et expédient un fichier XML consolidé à l’adresse spécifiée — généralement une fois par cycle de 24 heures. Ce rapport XML offre une visibilité globale :

  • Chaque adresse IP tentant d’envoyer des e-mails au nom de ton domaine.
  • Les volumes totaux de messages livrés par chaque IP.
  • Les résultats d’alignement SPF et DKIM pour chaque source d’envoi.
  • La décision finale appliquée par le récepteur (none, quarantine ou reject).

Le tag rua= est essentiel à chaque étape du déploiement. Il permet aux administrateurs d’identifier les outils cloud légitimes et de vérifier l’alignement avant de passer à une protection stricte (p=reject).

Le tag ruf= : rapports d’échec forensiques (dépannage granulaire)

Le tag ruf= demande des rapports d’échec détaillés message par message (souvent appelés rapports forensiques). Selon la RFC 7489 : ruf: Addresses to which message-specific failure information is to be reported (comma-separated plain-text list of DMARC URIs; OPTIONAL). If present, the Domain Owner is requesting Mail Receivers to send detailed failure reports about messages that fail the DMARC evaluation in specific ways

Combiné avec les options d’échec (fo=), un enregistrement complet s’écrit ainsi :

v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.com; ruf=mailto:dmarc-failures@example.com; fo=1

Contrairement aux résumés quotidiens rua=, les rapports ruf= sont générés presque immédiatement lorsqu’un e-mail individuel échoue à l’évaluation DMARC. Ils contiennent des extraits de diagnostic précis, y compris les en-têtes du message, les paramètres d’enveloppe et parfois l’explication exacte de l’échec, permettant aux équipes de sécurité d’enquêter sur des tentatives d’usurpation actives ou des pipelines de signature défaillants.

Pourquoi les rapports ruf= sont rarement livrés aujourd’hui

Si les rapports agrégés rua= sont pris en charge et envoyés de manière fiable par la quasi-totalité des grands fournisseurs mondiaux, les rapports ruf= sont aujourd’hui rarement envoyés par les fournisseurs grand public. La principale raison est la confidentialité des données : comme les rapports forensiques incluent des en-têtes exacts, les objets et parfois des extraits du corps des messages échoués, les fournisseurs refusent souvent de les générer afin d’éviter d’exposer des données personnelles conformément à des réglementations comme le RGPD.

Toutefois, ruf= reste très utile dans les environnements B2B d’entreprise ou les réseaux internes spécialisés où une visibilité granulaire sur les e-mails usurpés ou mal configurés est requise.

Vérifier ta configuration

Pour vérifier que tes URI de rapport sont correctement formatés sans erreurs de syntaxe ou schémas invalides, audite ton domaine avec le scanner gratuit MXAudit.

Pour des concepts techniques approfondis et des guides de configuration par fournisseur, explore le guide complet DMARC et des tutoriels comme configurer DMARC chez IONOS.

Pour aller plus loin