DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance) est le protocole qui orchestre [SPF](/glossaire/spf-sender-policy-framework) et [DKIM](/glossaire/dkim-domainkeys-identified-mail) en publiant une politique claire : que faire si l'un de ces deux protocoles échoue ? Accepter, marquer comme suspect ou rejeter ? DMARC ajoute aussi un canal de reporting qui remonte chaque jour les emails envoyés sous votre domaine, légitimes ou usurpés. Depuis février 2024, DMARC en mode au moins `none` (mode reporting) est exigé par Gmail et Yahoo pour tout expéditeur de plus de 5 000 emails/jour.

Structure d'un enregistrement DMARC

DMARC est publié dans le DNS sur le sous-domaine _dmarc :

_dmarc.prospkt.fr.   TXT   "v=DMARC1; p=quarantine; rua=mailto:[email protected]; ruf=mailto:[email protected]; pct=100; aspf=s; adkim=s"

Lecture champ par champ :

  • p=quarantine : politique appliquée si SPF/DKIM échoue → mettre en spam.
  • rua= : adresse qui reçoit les rapports agrégés (un par jour, par destinataire).
  • ruf= : rapports forensiques email par email (rarement supporté, optionnel).
  • pct=100 : pourcentage du trafic auquel appliquer la politique. pct=10 permet de monter en charge graduellement.
  • aspf=s / adkim=s : mode d'alignement strict (le domaine SPF/DKIM doit correspondre exactement au From). r = relaxed.

Les 3 politiques DMARC

PolitiqueEffetQuand l'utiliser
p=noneAucune action, seulement reportingPhase de découverte (2-4 semaines)
p=quarantineEmail suspect → spamUne fois 100 % du trafic légitime aligné
p=rejectEmail rejeté à la sourceCible finale, anti-phishing maximal

La notion d'alignement

DMARC ne vérifie pas seulement que SPF et DKIM passent. Il vérifie aussi qu'ils sont alignés avec le domaine du champ From visible par l'utilisateur. Exemple : un email signé pour mail.prospkt.fr (DKIM) mais affichant From: [email protected] est aligné en mode relaxed, pas en strict.

Cet alignement bloque le phishing par usurpation du champ From, là où SPF + DKIM seuls ne le couvrent pas.

Le piège du mode none permanent

Beaucoup de domaines restent bloqués en p=none pendant des années par peur de casser quelque chose. Conséquence : DMARC ne joue plus son rôle protecteur. Un domaine en p=none peut être usurpé par n'importe quel attaquant sans conséquence visible.

La progression standard recommandée :

  1. p=none pendant 2-4 semaines → analyser les rapports rua.
  2. Identifier tous les flux légitimes et leur conformité SPF/DKIM.
  3. Corriger les sources non alignées.
  4. Passer à p=quarantine avec pct=10, puis 25, puis 50, puis 100.
  5. Migrer vers p=reject une fois stable.

Durée totale typique : 2 à 4 mois.

Application concrète

Démarrer DMARC sans casser la production :

  1. Publier un enregistrement minimal en mode reporting : v=DMARC1; p=none; rua=mailto:[email protected].
  2. Souscrire à un service d'analyse de rapports DMARC (Dmarcian, Postmark, EasyDMARC — versions gratuites disponibles jusqu'à 100k emails/mois).
  3. Pendant 14 à 21 jours, observer quels flux échouent à SPF ou DKIM. Identifier les sources légitimes oubliées (Stripe, Mailchimp, outil RH, etc.) et corriger leur authentification.
  4. Quand 100 % du trafic légitime est aligné, passer à p=quarantine pct=25. Surveiller 7 jours.
  5. Augmenter à pct=100 puis p=reject.

Anti-pattern à éviter : passer directement à p=reject sans phase d'observation. Risque garanti de bloquer des emails légitimes (factures, transactionnels, notifications) que vous ne saviez pas envoyer depuis ce domaine.

Comment Prospkt utilise ce concept

Prospkt ne s'insère pas dans votre chaîne d'envoi : nous fournissons la donnée prospect (emails vérifiés, signaux d'intention, scoring) que votre outil d'emailing consommera. Votre configuration DMARC reste sous votre contrôle et celui de votre Founding Engineer. En revanche, la qualité des emails que nous vous livrons impacte directement votre conformité DMARC indirecte : moins de rebonds, moins de plaintes spam, donc moins de raisons pour les destinataires de signaler vos messages, donc une politique DMARC stricte qui peut être maintenue sans casse.

Voir en action sur Prospkt

Définitions associées

Cold email B2B

Le cold email B2B est un email de prospection envoyé à un contact professionnel sans interaction préalable, dans le but d'initier une conversation commerciale et de générer des opportunités de vente.

Lire la définition →

Délivrabilité email

La délivrabilité email désigne la capacité d'un email à atteindre la boîte de réception principale du destinataire — et non l'onglet Promotions, l'onglet Spam ou un rejet pur et simple. C'est l'indicateur composite qui résulte de l'authentification du domaine (SPF, DKIM, DMARC), de la réputation de l'IP et du domaine expéditeur, de la qualité de la liste, du contenu de l'email et du comportement des destinataires. En cold email B2B, une délivrabilité inférieure à 85 % rend toute campagne non viable, peu importe la qualité du copywriting.

Lire la définition →

DKIM (DomainKeys Identified Mail)

DKIM (DomainKeys Identified Mail) est un protocole d'authentification email qui ajoute une signature cryptographique à chaque message envoyé. Cette signature, calculée à partir d'une clé privée détenue par l'expéditeur, est vérifiée côté destinataire à l'aide d'une clé publique publiée dans le DNS du domaine. DKIM prouve deux choses : l'email provient bien du domaine prétendu, et son contenu n'a pas été altéré en transit. C'est le deuxième pilier d'authentification après [SPF](/glossaire/spf-sender-policy-framework) et un prérequis pour DMARC en mode `reject`.

Lire la définition →

Sender reputation

La sender reputation (réputation expéditeur) est un score implicite attribué par chaque fournisseur de messagerie (Gmail, Outlook, Office 365, Yahoo) à votre IP d'envoi et à votre domaine. Plus ce score est élevé, plus vos emails atteignent la boîte de réception principale ; plus il est bas, plus ils partent en spam ou sont rejetés. Le score n'est jamais communiqué directement, mais s'estime via des outils tiers (SenderScore.org, Google Postmaster Tools, Microsoft SNDS) et se mesure dans son effet (taux d'inbox placement). C'est la métrique la plus structurante de la délivrabilité cold email B2B.

Lire la définition →

Questions fréquentes

DMARC est-il vraiment obligatoire en 2026 ?
Pour les expéditeurs de plus de 5 000 emails/jour vers Gmail ou Yahoo, oui — depuis février 2024. Pour les volumes plus faibles, DMARC n'est pas obligatoire au sens strict, mais son absence devient un signal négatif fort pour les filtres anti-spam.
Combien de temps faut-il pour passer de p=none à p=reject ?
Comptez 2 à 4 mois pour un déploiement propre. La phase d'observation initiale prend 2-4 semaines, la correction des flux non alignés autant, puis la montée progressive en `quarantine` et `reject` un mois ou deux.
Que faire si je reçois beaucoup d'échecs DMARC dans les rapports ?
Trois causes possibles : (1) un flux légitime mal configuré (à corriger côté SPF/DKIM), (2) une usurpation par phishing (à signaler), (3) des forwards qui cassent SPF (DKIM doit rattraper). Un service comme Dmarcian rend ces causes lisibles.
Faut-il configurer DMARC sur les sous-domaines ?
DMARC s'applique au domaine et à ses sous-domaines par défaut. Pour une politique différente sur les sous-domaines, utiliser la directive `sp=` (subdomain policy). Bonne pratique : publier `_dmarc` aussi sur chaque domaine d'envoi secondaire utilisé pour le cold email.

Sur le même sujet

Cold email B2BDélivrabilité emailDKIM (DomainKeys Identified Mail)Sender reputationFonctionnalité : Enrichissement de données

Prêt à transformer votre prospection ?

Découvrez comment Prospkt peut vous aider à identifier et contacter vos futurs clients plus efficacement.

Commencer gratuitement