Aller au contenu principal

Nouveau

Testez la délivrabilité de vos e-mails

Envoyez un e-mail de test et obtenez un diagnostic complet de votre authentification SPF, DKIM et DMARC en quelques secondes.

  • Test réel par envoi
  • Diagnostic instantané
  • Sans inscription
Lancer le test

DMARC Validator

Validate DMARC syntax before publishing - corrigez les erreurs en secondes

Comment corriger les erreurs de syntaxe DMARC ? Collez votre enregistrement DMARC ci-dessous et validez sa syntaxe instantanément. Une erreur de syntaxe DMARC signifie que votre politique est ignorée silencieusement par Gmail, Outlook et tous les serveurs destinataires.

Validation instantanée

Collez votre enregistrement DMARC. Obtenez le diagnostic complet en moins d'une seconde, sans attendre la propagation DNS.

Toutes les balises analysées

v, p, sp, rua, ruf, adkim, aspf, pct, fo, ri, rf : chaque balise est extraite, validée et affichée avec son interprétation.

URIs de rapport vérifiés

Les destinations rua et ruf sont contrôlées : format mailto/https valide, syntaxe correcte, absence de caractères interdits.

Erreurs explicites

Balise dupliquée, politique manquante, pourcentage hors bornes : chaque problème est identifié avec une explication claire.

Conforme RFC 7489

Le validateur applique les règles de la spécification DMARC officielle. Votre enregistrement sera interprété correctement partout.

Pourquoi valider la syntaxe DMARC avant publication ?

Un enregistrement DMARC mal formaté est silencieusement ignoré par tous les serveurs destinataires. Gmail, Outlook, Yahoo : aucun ne vous avertira. Vos emails restent sans protection contre le spoofing et le phishing.

Le validateur de syntaxe DMARC (DMARC syntax checker) analyse votre enregistrement avant publication DNS. Vous détectez les erreurs immédiatement, sans attendre 24-48h de propagation pour découvrir un problème.

Erreurs courantes détectées :

  • Balise v= manquante → L'enregistrement n'est pas reconnu comme DMARC
  • Politique p= absente → Aucune instruction de traitement pour les serveurs
  • URI rua/ruf invalide → Les rapports ne sont jamais reçus
  • Balises dupliquées → Comportement imprévisible, souvent ignoré

Comment valider votre enregistrement DMARC en 3 étapes

Étape 1 : Copier l'enregistrement DMARC

Préparez votre enregistrement DMARC complet. Exemple type :

v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@captaindns.com; adkim=r; aspf=r; pct=100

Si vous modifiez un enregistrement existant, récupérez la valeur actuelle depuis votre DNS avec la commande :

dig TXT _dmarc.captaindns.com +short

Étape 2 : Coller et valider

Collez l'enregistrement dans le champ ci-dessus. L'outil analyse :

  • La présence des balises obligatoires (v, p)
  • La validité de chaque balise et valeur
  • Le format des URIs de rapport (rua, ruf)
  • La conformité aux spécifications RFC 7489

Étape 3 : Corriger et publier

Le diagnostic liste chaque balise avec son statut :

  • Valide → Balise correcte, prête pour publication
  • Erreur → Correction requise avant publication
  • ⚠️ Avertissement → Fonctionnel mais amélioration recommandée

Corrigez les erreurs, validez à nouveau, puis publiez dans votre DNS.

Qu'est-ce qu'un enregistrement DMARC ?

DMARC (Domain-based Message Authentication, Reporting and Conformance) est un enregistrement TXT DNS publié sur _dmarc.votredomaine.com. Il indique aux serveurs destinataires :

  1. Quelle politique appliquer aux emails qui échouent SPF et DKIM
  2. Où envoyer les rapports d'authentification
  3. Comment aligner les domaines SPF/DKIM avec l'adresse From

Structure d'un enregistrement DMARC :

v=DMARC1; p=reject; rua=mailto:reports@captaindns.com; ruf=mailto:forensics@captaindns.com; adkim=s; aspf=s; pct=100
BaliseValeurSignification
vDMARC1Version du protocole (obligatoire)
prejectPolitique : rejeter les emails non authentifiés
ruamailto:...Destination des rapports agrégés
rufmailto:...Destination des rapports forensiques
adkimsAlignement DKIM strict
aspfsAlignement SPF strict
pct100Appliquer à 100% des messages

Détail des balises DMARC validées

Balises obligatoires

BaliseValeurs acceptéesDescription
vDMARC1Identifie l'enregistrement comme DMARC. Seule valeur valide.
pnone, quarantine, rejectPolitique pour les messages non alignés du domaine principal.

Balises optionnelles

BaliseValeurs acceptéesDescription
spnone, quarantine, rejectPolitique pour les sous-domaines (hérite de p si absent).
ruaURI mailto: ou https:Destinations des rapports agrégés (XML quotidien).
rufURI mailto: ou https:Destinations des rapports forensiques (par message).
adkimr (relaxed), s (strict)Mode d'alignement DKIM. Défaut : relaxed.
aspfr (relaxed), s (strict)Mode d'alignement SPF. Défaut : relaxed.
pct1-100Pourcentage de messages soumis à la politique. Défaut : 100.
fo0, 1, d, sOptions de génération des rapports forensiques.
riSecondesIntervalle souhaité entre rapports agrégés. Défaut : 86400.
rfafrf, iodefFormat des rapports forensiques.

Erreurs de syntaxe fréquentes

Erreur 1 : Enregistrement sans v=DMARC1

Symptôme : Le validateur affiche "not_dmarc_record"

Cause : L'enregistrement ne commence pas par v=DMARC1

Correction :

- p=reject; rua=mailto:reports@captaindns.com
+ v=DMARC1; p=reject; rua=mailto:reports@captaindns.com

Erreur 2 : Politique p= manquante

Symptôme : "missing_policy" ou "empty_policy"

Cause : La balise p= est absente ou vide

Correction :

- v=DMARC1; rua=mailto:reports@captaindns.com
+ v=DMARC1; p=none; rua=mailto:reports@captaindns.com

Erreur 3 : URI rua/ruf invalide

Symptôme : "invalid_rua_uri" ou "invalid_ruf_uri"

Cause : L'URI ne respecte pas le format mailto: ou https:

Exemples de corrections :

- rua=reports@captaindns.com          # Manque mailto:
+ rua=mailto:reports@captaindns.com

- ruf="mailto:forensics@captaindns.com"  # Guillemets interdits
+ ruf=mailto:forensics@captaindns.com

- rua=mailto: reports@captaindns.com  # Espace interdit
+ rua=mailto:reports@captaindns.com

Erreur 4 : Balise dupliquée

Symptôme : "duplicate_tag"

Cause : Une balise apparaît plusieurs fois

Correction :

- v=DMARC1; p=none; p=reject; rua=mailto:reports@captaindns.com
+ v=DMARC1; p=reject; rua=mailto:reports@captaindns.com

Erreur 5 : pct hors bornes

Symptôme : "invalid_pct_value"

Cause : La valeur pct n'est pas entre 1 et 100

Correction :

- v=DMARC1; p=reject; pct=0      # 0 invalide
+ v=DMARC1; p=reject; pct=10     # Minimum 1

- v=DMARC1; p=reject; pct=150    # >100 invalide
+ v=DMARC1; p=reject; pct=100

Bonnes pratiques de déploiement DMARC

1. Commencer par p=none

Ne passez pas directement à p=reject. Commencez par observer :

v=DMARC1; p=none; rua=mailto:dmarc@captaindns.com

Cette politique ne bloque rien mais génère des rapports. Analysez-les pendant 2-4 semaines.

2. Configurer rua dès le départ

Les rapports agrégés sont essentiels pour :

  • Identifier les sources légitimes qui échouent l'authentification
  • Détecter les tentatives de spoofing
  • Valider la progression vers p=quarantine puis p=reject

3. Progression vers p=reject

Une fois SPF et DKIM alignés sur toutes les sources légitimes :

  1. p=none → Observer (2-4 semaines)
  2. p=quarantine; pct=10 → Tester sur 10% du trafic
  3. p=quarantine; pct=50 → Augmenter progressivement
  4. p=quarantine; pct=100 → Quarantaine complète
  5. p=reject → Protection maximale

4. Gérer les sous-domaines avec sp=

Par défaut, les sous-domaines héritent de la politique p. Si vous envoyez des emails depuis des sous-domaines (marketing.captaindns.com), pensez à :

  • Configurer SPF/DKIM sur chaque sous-domaine
  • Utiliser sp= si la politique doit différer

FAQ - Questions fréquentes

Q : Quelles balises DMARC sont obligatoires ?

R : Deux balises sont obligatoires : v=DMARC1 (version) et p= (politique). Sans ces balises, l'enregistrement est invalide et ignoré par les serveurs destinataires. Toutes les autres balises sont optionnelles.

Q : Que signifie l'erreur "politique manquante" ?

R : L'enregistrement ne contient pas la balise p= qui définit la politique. Ajoutez une des trois valeurs possibles :

  • p=none → Aucune action, rapports uniquement
  • p=quarantine → Marquer comme spam
  • p=reject → Rejeter le message

Q : Comment corriger une erreur d'URI rua/ruf ?

R : Les URIs doivent respecter le format exact mailto:adresse@domaine.com ou https://endpoint. Erreurs courantes :

  • Oubli de mailto: devant l'adresse
  • Guillemets autour de l'URI
  • Espaces dans l'adresse
  • Adresse email invalide

Q : Quelle différence entre rua et ruf ?

R :

  • rua (aggregate reports) : rapports quotidiens au format XML, résumé statistique
  • ruf (forensic reports) : rapport par message individuel en échec

Commencez par rua uniquement. Les rapports ruf génèrent beaucoup de trafic et peuvent contenir des données sensibles.

Q : Que signifie "pct hors bornes" ?

R : La balise pct définit le pourcentage de messages soumis à la politique p. Valeurs acceptées : 1 à 100. Si vous omettez pct, la politique s'applique à 100% des messages (comportement par défaut).

Q : Pourquoi valider avant publication DNS ?

R : Une erreur de syntaxe rend l'enregistrement invalide. Les serveurs destinataires l'ignorent silencieusement : vous ne recevez aucune alerte, mais vos emails n'ont aucune protection DMARC. Validez systématiquement avant chaque modification DNS.

Q : Le validateur vérifie-t-il la publication DNS ?

R : Non, cet outil valide uniquement la syntaxe de l'enregistrement. Pour vérifier que l'enregistrement est correctement publié et propagé dans le DNS, utilisez l'Inspecteur DMARC après publication.

Outils complémentaires

OutilUtilité
Inspecteur DMARCVérifier la publication et résoudre l'enregistrement DMARC depuis le DNS
Générateur DMARCCréer un enregistrement DMARC conforme aux spécifications
Inspecteur SPFValider l'enregistrement SPF associé à votre domaine
Inspecteur DKIMVérifier la clé publique DKIM et la signature
Testeur d'emailTester l'authentification complète en envoyant un email réel

Ressources utiles