Aller au contenu principal

Nouveau

Testez la délivrabilité de vos e-mails

Envoyez un e-mail de test et obtenez un diagnostic complet de votre authentification SPF, DKIM et DMARC en quelques secondes.

  • Test réel par envoi
  • Diagnostic instantané
  • Sans inscription
Lancer le test

DMARC Generator

Créez un enregistrement DMARC et stoppez le spoofing email en 30 secondes

Vous voulez stopper l'usurpation d'identité email sur votre domaine ? Créez un enregistrement DMARC en 30 secondes. Configurez politique, alignement, rapports - copiez l'enregistrement et publiez. Aucune syntaxe à mémoriser.

Le domaine organisationnel pour lequel générer l'enregistrement DMARC.

Action à appliquer aux messages qui échouent aux vérifications DMARC.

Fortement recommandé. Adresses email pour recevoir les rapports agrégés DMARC. Plusieurs adresses séparées par des virgules.

Politique spécifique pour les sous-domaines. Si non définie, hérite de la politique principale.

Pourcentage de messages auxquels appliquer la politique (1-100). Défaut : 100.

Adresses email pour recevoir les rapports d'échec détaillés. Plusieurs adresses séparées par des virgules.

Mode d'alignement requis pour DKIM.

Mode d'alignement requis pour SPF.

Quand générer des rapports d'échec (RUF). Défaut : 0.

Intervalle de génération des rapports en secondes. Défaut : 86400 (24h).

Politique configurable

Choisissez none (observation), quarantine (mise en quarantaine) ou reject (blocage). Définissez une politique différente pour les sous-domaines si nécessaire.

Alignement SPF et DKIM

Configurez l'alignement relaxed ou strict pour SPF et DKIM. L'alignement strict renforce la protection une fois vos flux stabilisés.

Rapports agrégés RUA

Recevez des rapports quotidiens sur les sources d'envoi, taux de réussite et échecs. Indispensable pour cartographier vos flux avant de durcir.

Rapports forensiques RUF

Obtenez des détails sur chaque échec individuel. Utile pour diagnostiquer des problèmes spécifiques (peu d'opérateurs les envoient).

Déploiement progressif

Utilisez le pourcentage (pct) pour appliquer la politique graduellement : 10%, puis 50%, puis 100%. Limitez les risques de faux positifs.

Pourquoi générer un enregistrement DMARC ?

DMARC (Domain-based Message Authentication, Reporting and Conformance) est le protocole qui complète SPF et DKIM pour protéger votre domaine contre l'usurpation d'identité (spoofing) et le phishing. Sans politique DMARC, n'importe qui peut envoyer des emails en se faisant passer pour votre domaine.

Trois raisons d'avoir DMARC :

  • Protection de marque → Empêchez les fraudeurs d'utiliser votre domaine pour du phishing
  • Visibilité complète → Recevez des rapports sur qui envoie des emails depuis votre domaine
  • Meilleure délivrabilité → Les fournisseurs (Gmail, Microsoft) favorisent les domaines avec DMARC

Comment utiliser le générateur en 3 étapes

Étape 1 : Entrez votre domaine

Saisissez votre domaine organisationnel exactement comme il apparaît dans vos adresses email (exemple : captaindns.com). L'outil génère automatiquement le nom DNS complet : _dmarc.captaindns.com.

Étape 2 : Configurez les options

Politique principale (p) : Que faire des emails qui échouent ?

  • none : Observer sans bloquer (recommandé au départ)
  • quarantine : Mettre en spam
  • reject : Bloquer complètement

Alignement (adkim, aspf) : Comment vérifier la correspondance des domaines ?

  • relaxed (r) : Sous-domaines acceptés (recommandé)
  • strict (s) : Correspondance exacte exigée

Rapports (rua, ruf) : Où recevoir les statistiques ?

  • Ajoutez mailto:dmarc@votredomaine.com pour les rapports agrégés

Étape 3 : Copiez et publiez

Le générateur produit l'enregistrement DNS complet. Copiez-le dans votre interface de gestion DNS :

  • Nom : _dmarc.votredomaine.com
  • Type : TXT
  • Valeur : L'enregistrement généré

Qu'est-ce que DMARC exactement ?

DMARC est une politique DNS qui indique aux serveurs de messagerie :

  1. Quoi vérifier : Est-ce que SPF ou DKIM passe ET est aligné avec le domaine visible ?
  2. Quoi faire si échec : Observer (none), mettre en spam (quarantine), ou bloquer (reject)
  3. Où rapporter : Adresses email pour recevoir les statistiques

Exemple d'enregistrement DMARC :

_dmarc.exemple.com. IN TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@exemple.com; adkim=r; aspf=r; pct=100"

Décodage :

  • v=DMARC1 : Version du protocole (obligatoire)
  • p=quarantine : Politique = mettre en spam
  • rua=mailto:... : Adresse pour rapports agrégés
  • adkim=r : Alignement DKIM relaxed
  • aspf=r : Alignement SPF relaxed
  • pct=100 : Appliquer à 100% des emails

Toutes les balises DMARC expliquées

Balises obligatoires

BaliseValeursDescription
vDMARC1Version du protocole. Toujours DMARC1.
pnone / quarantine / rejectPolitique pour le domaine principal.

Balises optionnelles courantes

BaliseValeursDescription
spnone / quarantine / rejectPolitique pour les sous-domaines. Hérite de p si absent.
ruamailto:adresseAdresses pour rapports agrégés (quotidiens).
rufmailto:adresseAdresses pour rapports forensiques (par échec).
adkimr (relaxed) / s (strict)Mode d'alignement DKIM.
aspfr (relaxed) / s (strict)Mode d'alignement SPF.
pct1-100Pourcentage d'emails soumis à la politique.

Balises avancées

BaliseValeursDescription
fo0 / 1 / d / sOptions de génération de rapports forensiques.
risecondesIntervalle de rapports agrégés (défaut 86400 = 24h).

Cas d'usage concrets

Cas 1 : Nouveau domaine sans historique

Objectif : Protéger un domaine qui commence à envoyer des emails.

Configuration recommandée :

v=DMARC1; p=none; rua=mailto:dmarc@exemple.com; adkim=r; aspf=r

Étapes suivantes :

  1. Surveillez les rapports pendant 2-4 semaines
  2. Identifiez toutes les sources légitimes
  3. Passez à p=quarantine; pct=25
  4. Augmentez progressivement jusqu'à p=reject

Cas 2 : Domaine avec multiples services (CRM, newsletter, transactionnel)

Objectif : Protéger sans casser les flux existants.

Configuration initiale :

v=DMARC1; p=none; sp=none; rua=mailto:dmarc@exemple.com; adkim=r; aspf=r

Diagnostic via rapports RUA :

  • Listez toutes les IP/domaines qui envoient
  • Vérifiez que chaque source a SPF et DKIM configurés
  • Identifiez les sources non autorisées (spoofing potentiel)

Montée progressive :

v=DMARC1; p=quarantine; pct=10; rua=mailto:dmarc@exemple.com

Puis 25%, 50%, 100%, et enfin p=reject.

Cas 3 : Domaine qui n'envoie pas d'emails

Objectif : Empêcher tout usage frauduleux d'un domaine "parking".

Configuration stricte directe :

v=DMARC1; p=reject; sp=reject; adkim=s; aspf=s

Pas besoin de phase d'observation si le domaine ne doit jamais envoyer d'emails légitimes.

Erreurs fréquentes à éviter

ErreurProblèmeSolution
Deux enregistrements DMARCConflit, politique ignoréeUn seul enregistrement par domaine
Oublier mailto:Rapports non envoyésrua=mailto:adresse@domaine.com
Passer directement en rejectBlocage d'emails légitimesCommencer par p=none, puis quarantine
Ignorer les rapportsPas de visibilité sur les problèmesAnalyser les RUA chaque semaine
Alignement strict trop tôtÉchecs si sous-domaines ou services tiersGarder r (relaxed) jusqu'à inventaire complet

Bonnes pratiques de déploiement

Phase 1 : Observation (2-4 semaines)

v=DMARC1; p=none; rua=mailto:dmarc@exemple.com
  • Collectez les rapports
  • Identifiez toutes les sources légitimes
  • Corrigez SPF/DKIM des sources non alignées

Phase 2 : Quarantaine progressive

v=DMARC1; p=quarantine; pct=10; rua=mailto:dmarc@exemple.com
  • Montez de 10% → 25% → 50% → 100%
  • Surveillez les plaintes utilisateurs
  • Ajustez si nécessaire

Phase 3 : Rejet

v=DMARC1; p=reject; rua=mailto:dmarc@exemple.com; adkim=r; aspf=r
  • Protection maximale
  • Optionnellement passez en alignement strict (adkim=s; aspf=s)

FAQ - Questions fréquentes

Q : Qu'est-ce qu'un enregistrement DMARC ?

R : DMARC (Domain-based Message Authentication, Reporting and Conformance) est un enregistrement DNS TXT qui indique aux serveurs de messagerie comment traiter les emails qui échouent aux vérifications SPF et DKIM. Il protège votre domaine contre le spoofing et le phishing.

Q : Quelle politique DMARC choisir pour commencer ?

R : Commencez toujours par p=none. Cette politique n'impacte pas la livraison mais vous envoie des rapports. Analysez ces rapports pendant 2-4 semaines pour identifier tous vos flux légitimes avant de passer à quarantine puis reject.

Q : Quelle est la différence entre RUA et RUF ?

R :

  • RUA (Reporting URI for Aggregate) : Rapports agrégés quotidiens avec statistiques globales
  • RUF (Reporting URI for Forensic) : Rapports détaillés par échec individuel

RUA est essentiel et supporté par tous. RUF est optionnel et peu supporté par les fournisseurs.

Q : Comment fonctionne l'alignement DMARC ?

R : L'alignement vérifie que le domaine visible (From:) correspond au domaine authentifié par SPF ou DKIM :

  • Relaxed (r) : mail.exemple.com est aligné avec exemple.com
  • Strict (s) : Correspondance exacte exigée

Q : Puis-je avoir plusieurs enregistrements DMARC ?

R : Non. Un seul enregistrement DMARC est autorisé par domaine. Plusieurs enregistrements causent des erreurs. Modifiez l'existant plutôt que d'en ajouter un nouveau.

Q : Combien de temps avant que DMARC soit actif ?

R : L'enregistrement est actif dès propagation DNS (minutes à 48h). Les premiers rapports RUA arrivent sous 24-48h après envoi d'emails depuis votre domaine.

Q : Comment recevoir des rapports pour un domaine externe ?

R : Si votre adresse RUA est sur un autre domaine, ce domaine doit vous autoriser avec :

votredomaine._report._dmarc.domaine-rapport.com TXT "v=DMARC1"

Outils complémentaires

OutilUtilité
DMARC Record CheckVérifiez votre enregistrement DMARC existant
SPF GeneratorCréez un enregistrement SPF valide
DKIM GeneratorCréez vos clés DKIM (RSA/Ed25519)
DKIM Record CheckVérifiez votre signature DKIM
Mail TesterTestez la délivrabilité de vos emails

Ressources utiles