Aller au contenu principal
CaptainDNS
NOUVEAU·Surveillance sécurité et délivrabilité email. Soyez alerté dès qu'un changement de note ou d'enregistrement DNS menace votre domaine.En savoir plus

DMARC Generator

Créez un enregistrement DMARC et stoppez l'usurpation email en 30 secondes

Vous voulez stopper l'usurpation d'identité email sur votre domaine ? Créez un enregistrement DMARC en 30 secondes. Configurez politique, alignement, rapports, copiez l'enregistrement et publiez. Aucune syntaxe à mémoriser.

1Votre domaine

L'enregistrement sera publié sur _dmarc.votredomaine. Nous vérifions s'il en existe déjà un.

Ce domaine envoie-t-il des emails ?
2Où voulez-vous arriver ?

Choisissez votre objectif. L'outil vous indiquera par où commencer pour l'atteindre sans casser vos emails.

Sans rapports, DMARC est aveugle : impossible de savoir si vous pouvez durcir. C'est le carburant de la transition.

3Options avancéesOptionnel
Sous-domaines, alignement, rapports forensiques, mode test

Sans sp, les sous-domaines héritent de la politique principale. Forcez sp=reject sur les sous-domaines qui n'envoient pas.

np (DMARCbis) protège les sous-domaines qui n'existent pas. np=reject est un gain rapide anti-usurpation sans risque : aucun message légitime ne part d'un sous-domaine inexistant.

Mode test (t)

Surveillance DMARC automatique

Recevez automatiquement les rapports DMARC et surveillez la conformité d'authentification email de vos domaines en temps réel.

Configurer la surveillance DMARC

Politique configurable

Choisissez none (observation), quarantine (mise en quarantaine) ou reject (blocage). Définissez une politique différente pour les sous-domaines si nécessaire.

Alignement SPF et DKIM

Configurez l'alignement relaxed ou strict pour SPF et DKIM. L'alignement strict renforce la protection une fois vos flux stabilisés.

Rapports agrégés RUA

Recevez des rapports quotidiens sur les sources d'envoi, taux de réussite et échecs. Indispensable pour cartographier vos flux avant de durcir.

Rapports forensiques RUF

Obtenez des détails sur chaque échec individuel. Utile pour diagnostiquer des problèmes spécifiques (peu d'opérateurs les envoient).

Déploiement progressif

Montez par étapes DMARCbis : none pour observer, quarantine en mode test (t=y), quarantine appliqué (t=n), puis reject. Limitez les faux positifs.

Pourquoi générer un enregistrement DMARC ?

DMARC (Domain-based Message Authentication, Reporting and Conformance) est le protocole qui complète SPF et DKIM pour protéger votre domaine contre l'usurpation d'identité et l'hameçonnage. Sans politique DMARC, n'importe qui peut envoyer des emails en se faisant passer pour votre domaine.

Trois raisons d'avoir DMARC :

  • Protection de marque → Empêchez les fraudeurs d'utiliser votre domaine pour de l'hameçonnage (vérifiez avec le Phishing URL Checker)
  • Visibilité complète → Recevez des rapports sur qui envoie des emails depuis votre domaine
  • Meilleure délivrabilité → Les fournisseurs (Gmail, Microsoft) favorisent les domaines avec DMARC

Comment utiliser le générateur en 3 étapes

Étape 1 : Entrez votre domaine

Saisissez votre domaine organisationnel exactement comme il apparaît dans vos adresses email (exemple : captaindns.com). L'outil génère automatiquement le nom DNS complet : _dmarc.captaindns.com.

Étape 2 : Configurez les options

Politique principale (p) : Que faire des emails qui échouent ?

  • none : Observer sans bloquer (recommandé au départ)
  • quarantine : Mettre en spam
  • reject : Bloquer complètement

Alignement (adkim, aspf) : Comment vérifier la correspondance des domaines ?

  • relaxed (r) : Sous-domaines acceptés (recommandé)
  • strict (s) : Correspondance exacte exigée

Rapports (rua, ruf) : Où recevoir les statistiques ?

  • Ajoutez mailto:dmarc@votredomaine.com pour les rapports agrégés

Étape 3 : Copiez et publiez

Le générateur produit l'enregistrement DNS complet. Copiez-le dans votre interface de gestion DNS :

  • Nom : _dmarc.votredomaine.com
  • Type : TXT
  • Valeur : L'enregistrement généré

L'approche recommandée reste « voir avant bloquer » : commencez en observation pour cartographier vos flux, puis durcissez la politique sans risquer de bloquer du courrier légitime. L'outil détecte un enregistrement DMARC déjà présent sur votre domaine et vous indique s'il faut l'ajouter, le remplacer, ou s'il est déjà correct (add, replace ou no_change).

Qu'est-ce que DMARC exactement ?

DMARC est une politique DNS qui indique aux serveurs de messagerie :

  1. Quoi vérifier : Est-ce que SPF ou DKIM passe ET est aligné avec le domaine visible ?
  2. Quoi faire si échec : Observer (none), mettre en spam (quarantine), ou bloquer (reject)
  3. Où rapporter : Adresses email pour recevoir les statistiques

Exemple d'enregistrement DMARC :

_dmarc.captaindns.com. IN TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@captaindns.com; adkim=r; aspf=r"

Décodage :

  • v=DMARC1 : Version du protocole (obligatoire)
  • p=quarantine : Politique = mettre en spam
  • rua=mailto:... : Adresse pour rapports agrégés
  • adkim=r : Alignement DKIM relaxed
  • aspf=r : Alignement SPF relaxed

Toutes les balises DMARC expliquées

Balises obligatoires

BaliseValeursDescription
vDMARC1Version du protocole. Toujours DMARC1.
pnone / quarantine / rejectPolitique pour le domaine principal.

Balises optionnelles courantes

BaliseValeursDescription
spnone / quarantine / rejectPolitique pour les sous-domaines existants. Hérite de p si absent.
npnone / quarantine / rejectPolitique pour les sous-domaines inexistants (DMARCbis). Sans valeur par défaut, à définir explicitement.
ruamailto:adresseAdresses pour rapports agrégés (quotidiens).
rufmailto:adresseAdresses pour rapports forensiques (par échec).
adkimr (relaxed) / s (strict)Mode d'alignement DKIM. Par défaut r.
aspfr (relaxed) / s (strict)Mode d'alignement SPF. Par défaut r.

Balises avancées

BaliseValeursDescription
fo0 / 1 / d / sOptions de génération de rapports forensiques. Par défaut 0.
ty / nMode test DMARCbis. t=y signale aux destinataires de ne pas appliquer la politique pendant l'observation. Par défaut n.

Balises dépréciées par DMARCbis

Ces balises sont retirées par DMARCbis et ne doivent plus être configurées dans un nouvel enregistrement :

BaliseStatutRemplacement
pctDépréciéeUtilisez la transition par phases (none, quarantine avec t=y, quarantine, reject).
riDépréciéeIntervalle de rapport fixé à 24h, plus de réglage.
rfDépréciéeFormat de rapport forensique, sans usage pratique aujourd'hui.

Cas d'usage concrets

Cas 1 : Nouveau domaine sans historique

Objectif : Protéger un domaine qui commence à envoyer des emails.

Configuration recommandée :

v=DMARC1; p=none; rua=mailto:dmarc@captaindns.com; adkim=r; aspf=r

Étapes suivantes :

  1. Surveillez les rapports pendant 2-4 semaines
  2. Identifiez toutes les sources légitimes
  3. Passez à p=quarantine; t=y (test, non appliqué), puis retirez t=y une fois les rapports propres
  4. Terminez par p=reject

Cas 2 : Domaine avec multiples services (CRM, newsletter, transactionnel)

Objectif : Protéger sans casser les flux existants.

Configuration initiale :

v=DMARC1; p=none; sp=none; rua=mailto:dmarc@captaindns.com; adkim=r; aspf=r

Diagnostic via rapports RUA :

  • Listez toutes les IP/domaines qui envoient
  • Vérifiez que chaque source a SPF et DKIM configurés
  • Identifiez les sources non autorisées (usurpation potentielle)

Montée progressive :

v=DMARC1; p=quarantine; t=y; rua=mailto:dmarc@captaindns.com

Quand les rapports ne montrent plus d'échec légitime, retirez t=y pour appliquer la quarantaine, puis passez à p=reject.

Cas 3 : Domaine qui n'envoie pas d'emails

Objectif : Empêcher tout usage frauduleux d'un domaine "parking".

Configuration stricte directe :

v=DMARC1; p=reject; sp=reject; np=reject; adkim=s; aspf=s

Pas besoin de phase d'observation si le domaine ne doit jamais envoyer d'emails légitimes. np=reject bloque aussi tout sous-domaine inexistant.

Erreurs fréquentes à éviter

ErreurProblèmeSolution
Deux enregistrements DMARCConflit, politique ignoréeUn seul enregistrement par domaine
Oublier mailto:Rapports non envoyésrua=mailto:adresse@domaine.com
Passer directement en rejectBlocage d'emails légitimesCommencer par p=none, puis quarantine
Ignorer les rapportsPas de visibilité sur les problèmesAnalyser les RUA chaque semaine
Alignement strict trop tôtÉchecs si sous-domaines ou services tiersGarder r (relaxed) jusqu'à inventaire complet

Bonnes pratiques de déploiement

Phase 1 : Observation (2-4 semaines)

v=DMARC1; p=none; rua=mailto:dmarc@captaindns.com; adkim=r; aspf=r
  • Collectez les rapports
  • Identifiez toutes les sources légitimes
  • Corrigez SPF/DKIM des sources non alignées

Phase 2 : Quarantaine en mode test

v=DMARC1; p=quarantine; t=y; rua=mailto:dmarc@captaindns.com
  • t=y demande aux destinataires de ne pas appliquer la politique, mais de continuer à rapporter
  • Vérifiez dans les rapports RUA que plus aucune source légitime n'échoue
  • Quand les rapports sont propres, retirez t=y pour appliquer réellement la quarantaine

Phase 3 : Rejet

v=DMARC1; p=reject; sp=reject; np=reject; rua=mailto:dmarc@captaindns.com; adkim=r; aspf=r
  • Protection maximale
  • Optionnellement passez en alignement strict (adkim=s; aspf=s)

FAQ : questions fréquentes

Q : Qu'est-ce qu'un enregistrement DMARC ?

R : DMARC (Domain-based Message Authentication, Reporting and Conformance) est un enregistrement DNS TXT qui indique aux serveurs de messagerie comment traiter les emails qui échouent aux vérifications SPF et DKIM. Il protège votre domaine contre l'usurpation et l'hameçonnage.

Q : Quelle politique DMARC choisir pour commencer ?

R : Commencez toujours par p=none. Cette politique n'impacte pas la livraison mais vous envoie des rapports. Analysez ces rapports pendant 2-4 semaines pour identifier tous vos flux légitimes avant de passer à quarantine puis reject.

Q : Quelle est la différence entre RUA et RUF ?

R :

  • RUA (Reporting URI for Aggregate) : Rapports agrégés quotidiens avec statistiques globales
  • RUF (Reporting URI for Forensic) : Rapports détaillés par échec individuel

RUA est essentiel et supporté par tous. RUF est optionnel et peu supporté par les fournisseurs.

Q : Comment fonctionne l'alignement DMARC ?

R : L'alignement vérifie que le domaine visible (From:) correspond au domaine authentifié par SPF ou DKIM :

  • Relaxed (r) : mail.exemple.com est aligné avec exemple.com
  • Strict (s) : Correspondance exacte exigée

Q : Puis-je avoir plusieurs enregistrements DMARC ?

R : Non. Un seul enregistrement DMARC est autorisé par domaine. Plusieurs enregistrements causent des erreurs. Modifiez l'existant plutôt que d'en ajouter un nouveau.

Q : Combien de temps avant que DMARC soit actif ?

R : L'enregistrement est actif dès propagation DNS (minutes à 48h). Les premiers rapports RUA arrivent sous 24-48h après envoi d'emails depuis votre domaine.

Q : Comment recevoir des rapports pour un domaine externe ?

R : Si votre adresse RUA est sur un autre domaine, ce domaine doit vous autoriser avec :

votredomaine._report._dmarc.domaine-rapport.com TXT "v=DMARC1"

Préparez-vous pour DMARCbis

DMARCbis est le futur Proposed Standard IETF qui remplace le RFC 7489. Il introduit de nouveaux tags (np, t, psd), supprime les tags obsolètes (pct, rf, ri) et remplace la Public Suffix List par un algorithme tree walk DNS. Vérifiez la compatibilité de votre domaine avec le DMARCbis Checker ou générez un enregistrement conforme avec l'outil de Migration DMARCbis.

Outils complémentaires

OutilUtilité
DMARC Record CheckVérifiez votre enregistrement DMARC existant
DMARC ValidatorValidez la syntaxe d'un enregistrement DMARC avant publication DNS
Analyseur de rapports DMARCAnalysez les rapports DMARC agrégés reçus par email
Monitoring DMARCSurveillance DMARC automatisée et continue pour vos domaines
DMARCbis CheckerVérifiez la compatibilité de votre domaine avec DMARCbis
Migration DMARCbisGénérez un enregistrement conforme à DMARCbis
SPF GeneratorCréez un enregistrement SPF valide
DKIM GeneratorCréez vos clés DKIM (RSA/Ed25519)
DKIM Record CheckVérifiez votre signature DKIM
Mail TesterTestez la délivrabilité de vos emails
Phishing URL CheckerVérifier si une URL usurpe votre marque pour de l'hameçonnage

Ressources utiles