Aller au contenu principal

Nouveau

Testez la délivrabilité de vos e-mails

Envoyez un e-mail de test et obtenez un diagnostic complet de votre authentification SPF, DKIM et DMARC en quelques secondes.

  • Test réel par envoi
  • Diagnostic instantané
  • Sans inscription
Lancer le test

DMARC Checker

DMARC check et lookup avec requête DNS en direct - corrigez vos échecs DMARC

Pourquoi votre DMARC échoue-t-il ? Entrez votre domaine pour un DMARC check complet avec lookup DNS, validation de politique et vérification d'alignement.

Lookup DNS en direct

L'outil interroge _dmarc.captaindns.com et affiche exactement ce que voient Gmail, Outlook et tous les serveurs destinataires.

Analyse complète des balises

Politique p/sp, alignements adkim/aspf, pourcentage pct, destinations rua/ruf : chaque balise est extraite et interprétée.

Détection des erreurs

Enregistrement absent, politique invalide, balises dupliquées : les problèmes bloquants sont identifiés avec explication claire.

Vérification des rapports

Les URIs rua et ruf sont validés. L'outil détecte les adresses externes nécessitant une autorisation _report._dmarc.

Vérification de propagation

Comparez les réponses entre résolveurs pour confirmer la propagation DNS après modification de l'enregistrement.

Pourquoi inspecter votre enregistrement DMARC ?

Un enregistrement DMARC mal configuré dans le DNS peut :

  • Être ignoré par les serveurs destinataires (Gmail, Outlook, Yahoo)
  • Bloquer vos emails légitimes si la politique est trop stricte trop tôt
  • Laisser votre domaine vulnérable au spoofing et phishing si la politique est absente

L'inspecteur DMARC (DMARC record checker, DMARC lookup) interroge le DNS en temps réel pour afficher exactement ce que voient les serveurs destinataires. Vous détectez les erreurs de publication avant qu'elles n'impactent votre délivrabilité.

Cas d'usage courants :

  • Après publication → Vérifier que l'enregistrement est correctement propagé
  • Problèmes de délivrabilité → Diagnostiquer une configuration DMARC défaillante
  • Audit de sécurité → Valider la protection contre le spoofing d'un domaine

Comment utiliser l'inspecteur DMARC en 3 étapes

Étape 1 : Entrer le domaine à analyser

Saisissez le domaine exactement comme il apparaît dans vos adresses email :

  • captaindns.com (domaine principal)
  • marketing.captaindns.com (sous-domaine si vous envoyez depuis un sous-domaine)

L'outil interroge automatiquement _dmarc.domaine et récupère l'enregistrement TXT publié.

Étape 2 : Analyser les résultats

L'inspecteur affiche :

ÉlémentDescription
Politique (p=)none, quarantine ou reject - traitement des emails non authentifiés
Politique sous-domaines (sp=)Politique spécifique aux sous-domaines si différente
Alignement DKIM (adkim=)strict (s) ou relaxed (r) - correspondance domaine DKIM/From
Alignement SPF (aspf=)strict (s) ou relaxed (r) - correspondance domaine SPF/From
Pourcentage (pct=)Part du trafic soumise à la politique
Rapports agrégés (rua=)Destinations des rapports XML quotidiens
Rapports forensiques (ruf=)Destinations des rapports par message

Étape 3 : Corriger les alertes

Les résultats sont classés par niveau de gravité :

  • Erreur → Problème bloquant, l'enregistrement est ignoré
  • ⚠️ Avertissement → Fonctionnel mais amélioration recommandée
  • Valide → Configuration correcte

Corrigez les erreurs dans votre DNS, attendez la propagation, puis relancez l'inspection.

Qu'est-ce que DMARC ?

DMARC (Domain-based Message Authentication, Reporting and Conformance) est un protocole qui :

  1. Lie SPF et DKIM au domaine visible dans l'adresse From
  2. Définit une politique de traitement des emails non authentifiés
  3. Génère des rapports pour suivre l'authentification de vos emails

L'enregistrement DMARC est publié comme un enregistrement TXT sur _dmarc.votredomaine.com.

Exemple d'enregistrement DMARC :

v=DMARC1; p=quarantine; rua=mailto:dmarc@captaindns.com; adkim=r; aspf=r; pct=100

Cet enregistrement indique :

  • Mettre en quarantaine (spam) les emails non authentifiés
  • Envoyer les rapports à dmarc@captaindns.com
  • Utiliser l'alignement relaxed pour DKIM et SPF
  • Appliquer la politique à 100% des messages

Ce que vérifie l'inspecteur DMARC

Résolution DNS

VérificationErreur si...
Enregistrement TXT existeAucun TXT sur _dmarc.domaine
Enregistrement DMARC présentTXT existe mais ne commence pas par v=DMARC1
Enregistrement uniquePlusieurs enregistrements DMARC (conflit)
Pas de CNAME_dmarc pointe vers un CNAME (interdit par RFC)

Balises obligatoires

BaliseVérification
v=Doit être DMARC1 en première position
p=Doit être none, quarantine ou reject

Politique et alignement

BaliseValeurs acceptéesVérification
pnone, quarantine, rejectPolitique cohérente avec le niveau de maturité
spnone, quarantine, rejectSi présent, politique sous-domaines valide
adkimr (relaxed), s (strict)Mode d'alignement DKIM valide
aspfr (relaxed), s (strict)Mode d'alignement SPF valide
pct1-100Pourcentage dans les bornes

Destinations de rapports

BaliseVérification
ruaFormat mailto: valide, domaine externe autorisé
rufFormat mailto: valide, domaine externe autorisé

Autorisation externe : Si rua ou ruf pointe vers un domaine différent (ex: rua=mailto:reports@autredomaine.com), le domaine destinataire doit publier _report._dmarc.votredomaine.com pour autoriser la réception.

Diagnostics courants et solutions

DMARC_NOT_FOUND - Enregistrement absent

Cause : Aucun enregistrement TXT n'existe sur _dmarc.votredomaine.com

Solution :

  1. Créez un enregistrement TXT sur _dmarc.votredomaine.com
  2. Contenu minimal : v=DMARC1; p=none; rua=mailto:dmarc@votredomaine.com
  3. Publiez et attendez la propagation DNS

DMARC_MULTIPLE_RECORDS - Plusieurs enregistrements

Cause : Plus d'un enregistrement TXT DMARC existe sur _dmarc.votredomaine.com

Solution :

  1. Identifiez tous les enregistrements DMARC dans votre DNS
  2. Conservez uniquement celui que vous souhaitez appliquer
  3. Supprimez les doublons

MISSING_POLICY - Balise p= absente

Cause : L'enregistrement contient v=DMARC1 mais pas de balise p=

Solution : Ajoutez une politique : v=DMARC1; p=none; ...

INVALID_RUA_URI - URI de rapport invalide

Cause : La balise rua contient une adresse mal formatée

Exemples de correction :

- rua=reports@captaindns.com        # Manque mailto:
+ rua=mailto:reports@captaindns.com

- rua=mailto: reports@captaindns.com  # Espace interdit
+ rua=mailto:reports@captaindns.com

EXTERNAL_REPORT_ADDRESS - Autorisation externe requise

Cause : L'adresse rua ou ruf utilise un domaine différent du domaine DMARC

Solution : Le domaine destinataire (autredomaine.com) doit publier :

_report._dmarc.votredomaine.com TXT "v=DMARC1"

Cet enregistrement autorise la réception des rapports pour votredomaine.com.

Progression vers une politique DMARC stricte

Phase 1 : Observation (p=none)

v=DMARC1; p=none; rua=mailto:dmarc@captaindns.com
  • Aucun impact sur la délivrabilité
  • Collectez les rapports pendant 2-4 semaines
  • Identifiez toutes les sources d'envoi légitimes
  • Configurez SPF et DKIM pour chaque source

Phase 2 : Quarantaine progressive

v=DMARC1; p=quarantine; pct=10; rua=mailto:dmarc@captaindns.com
  • Commencez par 10% du trafic
  • Surveillez les rapports pour détecter les faux positifs
  • Augmentez progressivement : 10% → 25% → 50% → 100%

Phase 3 : Rejet (protection maximale)

v=DMARC1; p=reject; rua=mailto:dmarc@captaindns.com
  • Les emails non authentifiés sont rejetés
  • Protection complète contre le spoofing
  • Maintenez la surveillance des rapports

FAQ - Questions fréquentes

Q : Quelle différence entre l'inspecteur DMARC et le validateur de syntaxe ?

R : L'inspecteur DMARC interroge le DNS pour vérifier l'enregistrement publié sur votre domaine. Le validateur de syntaxe analyse un enregistrement que vous collez avant de le publier. Workflow recommandé : validateur → publication → inspecteur.

Q : Que signifie "enregistrement DMARC non trouvé" ?

R : Aucun enregistrement TXT n'existe sur _dmarc.votredomaine.com. Créez un enregistrement TXT avec au minimum :

v=DMARC1; p=none; rua=mailto:reports@votredomaine.com

Q : Pourquoi l'inspecteur détecte plusieurs enregistrements DMARC ?

R : La spécification RFC 7489 impose un seul enregistrement DMARC par domaine. Plusieurs enregistrements créent un conflit : les serveurs destinataires ignorent tous les enregistrements. Supprimez les doublons immédiatement.

Q : Que signifie "adresse rua externe nécessite autorisation" ?

R : Si votre adresse rua pointe vers un domaine différent (ex: reports@autredomaine.com), ce domaine doit publier un enregistrement d'autorisation :

_report._dmarc.votredomaine.com TXT "v=DMARC1"

Q : Quelle politique DMARC choisir ?

R : Progression recommandée :

  1. p=none → Observer sans impact (2-4 semaines minimum)
  2. p=quarantine → Marquer comme spam (augmenter pct progressivement)
  3. p=reject → Rejeter les emails non authentifiés

Ne passez jamais directement à p=reject sans analyse des rapports.

Q : Combien de temps pour voir les changements DMARC ?

R : La propagation DNS dépend du TTL (Time To Live) de l'enregistrement :

  • TTL 3600 (1h) → 1-4 heures
  • TTL 86400 (24h) → 24-48 heures

Réduisez le TTL avant modification pour accélérer les futures propagations.

Q : L'inspecteur vérifie-t-il aussi SPF et DKIM ?

R : Non, l'inspecteur DMARC se concentre sur l'enregistrement _dmarc. Pour une vérification complète de l'authentification email :

Outils complémentaires

OutilUtilité
Validateur syntaxe DMARCValider la syntaxe AVANT publication DNS
Générateur DMARCCréer un enregistrement DMARC conforme
Inspecteur SPFVérifier l'enregistrement SPF du domaine
Inspecteur DKIMVérifier la clé publique DKIM
Testeur d'emailTester l'authentification complète avec un email réel
Propagation DNSVérifier la propagation mondiale de l'enregistrement

Ressources utiles