Pourquoi est-ce que je reçois des emails de noreply-dmarc-support@google.com ?

Votre domaine a un enregistrement DMARC avec un tag rua= contenant une adresse email. Google envoie un rapport agrégé quotidien à cette adresse. C'est normal et souhaitable : ces rapports sont votre meilleur outil pour surveiller l'authentification de vos emails et détecter le spoofing.

Quels formats de fichiers sont acceptés ?

L'analyseur accepte les fichiers XML brut (.xml), les fichiers XML compressés gzip (.xml.gz) et les archives ZIP (.zip) contenant un fichier XML. Les rapports envoyés par Google, Microsoft et Yahoo sont généralement en ZIP ou gzip. Taille maximale : 10 Mo.

Comment interpréter le score de conformité ?

Le score de conformité (0-100) est calculé à partir du taux de réussite DMARC, de la diversité des sources en échec, de la présence de spoofing et de la politique appliquée. Un score de 90+ est excellent, 70-89 bon, 50-69 attention requise, et en dessous de 50 critique. Un score bas indique des problèmes d'authentification à corriger.

Que signifient les classifications légitime, forwarding et spoofing ?

Légitime : la source IP est authentifiée par SPF ou DKIM aligné avec votre domaine. Forwarding : les messages ont été transférés, ce qui casse l'authentification - c'est un comportement attendu. Spoofing : la source n'a aucune authentification valide pour votre domaine, indiquant une probable usurpation d'identité.

Quelle est la différence entre DMARC pass et DMARC aligned ?

L'alignement vérifie que le domaine authentifié (SPF ou DKIM) correspond au domaine du header From:. DMARC passe si au moins un mécanisme (SPF aligné OU DKIM aligné) réussit. Un SPF pass sans alignement ne suffit pas pour DMARC. L'alignement peut être relaxed (domaine organisationnel) ou strict (domaine exact).

Comment progresser vers p=reject en toute confiance ?

Analysez vos rapports DMARC pendant 2-4 semaines en p=none. Identifiez toutes les sources légitimes et configurez SPF et DKIM pour chacune. Passez ensuite en p=quarantine et surveillez. Quand le taux de conformité dépasse 99% et que seuls les forwarding et spoofing échouent, passez en p=reject.

Analyseur de rapports DMARC gratuit

Pourquoi analyser vos rapports DMARC ?

Chaque jour, Google, Microsoft et Yahoo envoient des rapports DMARC agrégés aux domaines configurés avec un tag rua=. Ces rapports révèlent qui envoie des emails au nom de votre domaine et si l'authentification SPF/DKIM est correcte.

Depuis 2024, Google et Yahoo exigent un enregistrement DMARC pour les expéditeurs de plus de 5 000 emails par jour. Analyser vos rapports DMARC est désormais indispensable.

Le problème : un rapport DMARC agrégé est un fichier XML technique, compressé en ZIP ou gzip. Sans outil dédié, impossible de savoir si vos emails sont correctement authentifiés ou si quelqu'un usurpe votre identité.

Trois raisons d'agir maintenant :

Détecter le spoofing - Identifiez les sources non autorisées qui envoient des emails avec votre domaine en From: et vérifiez que votre politique DMARC les bloque.
Valider vos services tiers - Chaque service tiers (newsletter, CRM, support) doit être authentifié par SPF et DKIM alignés avec votre domaine.
Progresser vers p=reject - Les rapports DMARC sont votre feuille de route pour passer de p=none à p=reject en toute confiance.

Uploadez votre premier rapport ci-dessus pour obtenir un diagnostic en 10 secondes.

Comment analyser un rapport DMARC en 3 étapes

Étape 1 : Récupérez le rapport

Ouvrez l'email reçu de Google (noreply-dmarc-support@google.com), Microsoft ou Yahoo. Téléchargez la pièce jointe .xml.gz ou .zip. Le nom de fichier suit le format expéditeur!domaine!début!fin.xml.gz.

Étape 2 : Uploadez le fichier

Glissez-déposez le fichier sur la zone d'upload ci-dessus. L'outil accepte les formats XML brut, gzip et ZIP, jusqu'à 10 Mo.

Étape 3 : Lisez le diagnostic

CaptainDNS décompresse, parse et affiche en quelques secondes :

Un score de conformité sur 100 réparti en 4 niveaux : excellent, bon, attention, critique
La cartographie des sources d'envoi classifiées en légitime, forwarding ou spoofing
L'alignement SPF et DKIM détaillé pour chaque source IP
Les recommandations actionnables avec lien vers l'outil CaptainDNS approprié

Qu'est-ce qu'un rapport DMARC agrégé ?

Un rapport DMARC agrégé (défini par la RFC 7489, Section 7.2) est un fichier XML envoyé quotidiennement par les fournisseurs de messagerie à l'adresse indiquée dans le tag rua= de votre enregistrement DMARC.

Exemple d'enregistrement DMARC avec reporting :

_dmarc.captaindns.com. TXT "v=DMARC1; p=reject; rua=mailto:dmarc@captaindns.com"

Chaque rapport contient :

Champ	Description
`org_name`	L'expéditeur du rapport (Google, Microsoft, Yahoo, etc.)
`date_range`	La période couverte, généralement 24 heures
`policy_published`	Votre politique DMARC au moment de la collecte
`record`	Une ou plusieurs sources IP avec leurs résultats d'authentification

Pour chaque source IP, le rapport fournit le volume de messages, les résultats SPF et DKIM, l'alignement DMARC et la disposition appliquée (none, quarantine ou reject).

Qu'analyse exactement l'outil ?

L'analyseur CaptainDNS évalue chaque source IP du rapport sur cinq axes :

Analyse	Description	Résultat
Alignement DKIM	Le domaine `d=` de la signature DKIM correspond au header From:	Aligné ou non aligné
Alignement SPF	Le domaine MAIL FROM correspond au header From:	Aligné ou non aligné
Conformité DMARC	Au moins un mécanisme (SPF ou DKIM) est aligné	Pass ou fail
Classification source	L'IP est-elle légitime, du forwarding ou du spoofing ?	Légitime, forwarding, spoofing
Disposition	Quelle action le récepteur a appliquée	None, quarantine, reject

Cas d'usage concrets

Symptôme : le rapport Google signale 320 messages en quarantaine depuis une IP inconnue avec SPF fail. Diagnostic : votre service de newsletter utilise un domaine MAIL FROM différent (bounce.newsletter-service.com). SPF passe pour ce domaine mais n'est pas aligné avec votre From:. Action : configurez votre service pour signer avec DKIM d=votredomaine.com, ou ajoutez un custom return-path. Vérifiez avec le SPF Record Checker.

Incident 2 : Spoofing détecté

Symptôme : 210 messages rejetés depuis une IP inconnue, aucune signature DKIM, SPF non aligné. Diagnostic : une source non autorisée envoie des emails avec votre domaine en From:. Spoofing probable. Action : votre politique DMARC fonctionne. Si vous êtes encore en p=quarantine, envisagez de passer à p=reject. Vérifiez avec le DMARC Record Checker.

Incident 3 : Échecs liés au forwarding

Symptôme : 15 messages en échec DMARC avec une raison forwarded et disposition none. Diagnostic : des messages transférés par un serveur intermédiaire ont cassé l'authentification SPF et DKIM. Le récepteur a appliqué une dérogation. Action : c'est un comportement attendu. Le forwarding casse naturellement l'authentification. Aucune action requise.

❓ FAQ - Questions fréquentes

Q : Qu'est-ce qu'un rapport DMARC agrégé et comment le lire ?

R : Un rapport DMARC agrégé est un fichier XML envoyé chaque jour par les serveurs mail qui reçoivent du courrier avec votre domaine en From:. Il comptabilise les résultats d'authentification SPF et DKIM par source IP. Ces fichiers sont compressés en ZIP ou gzip - uploadez-les ici pour un diagnostic immédiat.

Q : Que signifient les dispositions none, quarantine et reject ?

R : Ce sont les actions appliquées par le serveur récepteur. none : le message est livré normalement (policy p=none ou dérogation). quarantine : le message est placé en spam. reject : le message est bloqué. La disposition appliquée dépend de votre politique DMARC et du résultat d'authentification.

Q : Quelle est la différence entre un DMARC checker et un DMARC report analyzer ?

R : Un DMARC checker vérifie votre enregistrement DNS _dmarc.domaine - c'est la configuration. Un DMARC report analyzer interprète les fichiers XML de rapport - ce sont les résultats. Utilisez l'Inspecteur DMARC pour vérifier la configuration, et cet outil pour analyser les rapports.

Outils complémentaires

Outil	Utilité
Inspecteur DMARC	Vérifier la politique DMARC publiée
Générateur DMARC	Créer un enregistrement DMARC
DMARC Syntax Checker	Valider la syntaxe d'un enregistrement DMARC
Inspecteur SPF	Vérifier la configuration SPF
Inspecteur DKIM	Vérifier la configuration DKIM
Audit domaine email	Audit complet SPF, DKIM, DMARC, MTA-STS, TLS-RPT

Vous ne recevez pas encore de rapports DMARC ? Ajoutez un tag rua= à votre enregistrement DMARC avec le Générateur DMARC.

Ressources utiles

RFC 7489 - Domain-based Message Authentication, Reporting, and Conformance - spécification officielle DMARC
RFC 7489, Appendix C - schéma XML des rapports agrégés
Google - Lire les rapports DMARC - guide officiel Google Workspace
Microsoft - Comprendre les rapports DMARC - documentation Microsoft 365

Analyseur de rapports DMARC

Diagnostic de vos rapports DMARC agrégés en 10 secondes

Décompression automatique

Score de conformité DMARC

Cartographie des sources

Détection du spoofing

Recommandations actionnables