DMARC : Comment sécuriser vos emails contre le spoofing et garder le contrôle ?
Vos emails peuvent être usurpés… sans que vous ne vous en rendiez compte. Des messages envoyés “en votre nom”, avec votre domaine, peuvent piéger vos clients, détruire votre réputation et plomber votre délivrabilité. Ce fléau a un nom : le spoofing. DMARC est le protocole clé pour reprendre le contrôle. Il permet de bloquer les emails frauduleux, sécuriser vos envois, et surveiller qui utilise réellement votre nom de domaine.
Dans cet article, MO&JO, agence emailing, vous guide pas à pas pour comprendre, activer et optimiser DMARC — sans jargon technique, et avec des cas concrets à l’appui.
Chez MO&JO, agence emailing, nous voyons ce scénario trop souvent : vous découvrez que des emails “envoyés par vous” circulent… sauf que vous ne les avez jamais rédigés. L’objet est crédible, l’adresse d’expéditeur semble authentique, la signature ressemble trait pour trait à vos vraies campagnes.
Résultat ? Vos clients doutent, vos partenaires signalent du spam, et votre réputation d’expéditeur s’effondre.
Ce scénario n’a rien de théorique. Il s’agit d’une attaque par spoofing, une forme d’usurpation d’identité qui cible les noms de domaine non protégés. Et chaque jour, des milliers d’entreprises en sont victimes sans même s’en rendre compte.
La solution ? Elle tient en 5 lettres : DMARC.
Dans cet article, vous allez découvrir :
- Ce qu’est DMARC, et pourquoi il est vital face au spoofing
- Comment il vous permet de reprendre le contrôle total sur vos emails
- Les étapes pour le mettre en place correctement, sans jargon technique
- Et les erreurs à éviter pour ne pas tomber dans le piège inverse : bloquer vos propres messages
En Bref
- Qu’est-ce que DMARC ? DMARC est un protocole de sécurité email qui vous permet de définir une politique de traitement pour les messages non authentifiés (spoofing, spam…).
- DMARC bloque-t-il automatiquement les emails frauduleux ? Non, sauf si vous définissez une politique en quarantine ou reject. C’est vous qui décidez du niveau de protection.
- Faut-il SPF et DKIM pour activer DMARC ? Oui, DMARC s’appuie sur SPF et DKIM pour fonctionner. Il ne peut pas opérer seul.
- Que contiennent les rapports DMARC ? Les rapports indiquent quelles adresses IP ont envoyé des emails avec votre domaine, et si l’authentification a réussi ou échoué.
1. Le spoofing : ce fléau invisible qui ruine votre réputation email
Le spoofing, ou usurpation d’identité par email, consiste à envoyer un message en se faisant passer pour vous. L’expéditeur semble légitime. Le domaine est bien le vôtre. Et pourtant… vous n’avez rien envoyé.
Les pirates utilisent cette faille pour :
- Tromper vos clients avec de faux liens de paiement
- Infiltrer vos fournisseurs avec des pièces jointes piégées
- Détourner la confiance que vous avez mis des années à bâtir
Et le pire ? Cela ne nécessite aucun accès à votre messagerie. Il suffit que votre domaine ne soit pas correctement protégé. Aucun mot de passe à deviner. Juste une absence de politique claire.
Vous pensiez que DKIM et SPF suffisaient ? Ils sont essentiels, mais sans DMARC, vos règles ne sont pas appliquées, et les messages frauduleux peuvent toujours passer entre les mailles du filet.
Exemple concret :
Une organisation reçoit un email frauduleux avec comme adresse d’expéditeur “facture@votresociété.com”. L’email n’a pas été envoyé depuis vos serveurs… mais il passe, car votre DNS n’indique pas quoi faire dans ce cas.
Notre conseil : Ne laissez pas n’importe qui utiliser votre nom de domaine. DMARC est votre meilleure défense contre le spoofing, car c’est le seul protocole qui permet aux serveurs de bloquer automatiquement les messages suspects.
2. DMARC, c’est quoi exactement et comment ça vous protège ?
DMARC signifie Domain-based Message Authentication, Reporting and Conformance. Oui, c’est long. Mais en réalité, le principe est simple :
DMARC est un protocole d’authentification email qui permet à votre domaine de :
- Définir une politique claire : que faire des emails non conformes ?
- Recevoir des rapports sur l’usage réel (ou abusif) de votre nom de domaine
- Faire appliquer les résultats SPF et DKIM côté destinataire
Autrement dit : si un message prétend venir de “@votredomaine.com”, DMARC vérifie s’il a passé les contrôles techniques (SPF et/ou DKIM) et décide ensuite (selon votre directive) de le :
- laisser passer (none)
- envoyer en spam (quarantine)
- ou le rejeter (reject)
Pourquoi DMARC est-il indispensable ?
Parce que SPF et DKIM seuls ne suffisent pas.
En effet, le SPF vérifie l’IP du serveur d’envoi tandis que le DKIM signe le contenu du message. Mais aucun des deux ne dit quoi faire si l’un (ou les deux) échoue.
DMARC est le cercle de contrôle qui permet de :
- Éviter le spoofing en imposant l’alignement entre domaine, adresse d’expéditeur et authentification
- Éduquer les serveurs de réception sur votre politique de sécurité
- Bloquer activement les messages frauduleux ou douteux
Un exemple concret :
Sans DMARC, un attaquant peut envoyer un email signé “compta@votresociété.com” depuis un serveur pirate.
Même si SPF et DKIM échouent, le serveur destinataire ne saura pas quoi faire, car aucune politique n’a été définie. Résultat : l’email peut être délivré quand même.
Avec DMARC et une politique reject, ce même email sera automatiquement refusé avant même d’atteindre la boîte de réception.
N’oubliez pas : DMARC est le seul protocole qui vous donne le pouvoir de dire “ce message ne vient pas de moi : bloquez-le”.
3. Comment DMARC vous redonne le contrôle (même sur vos fournisseurs tiers)
DMARC ne se contente pas de protéger vos emails. Il vous redonne la main sur tout ce qui transite avec votre nom de domaine, y compris ce qui est envoyé via vos prestataires externes (marketing automation, CRM, messagerie transactionnelle…).
Voici ce qui se passe concrètement quand un email est envoyé :
- Le serveur du destinataire reçoit le message.
- Il vérifie que les résultats SPF et DKIM sont conformes (autrement dit : le serveur d’envoi et le contenu sont bien autorisés).
- Il regarde votre politique DMARC pour savoir que faire :
- none : il accepte l’email, mais vous envoie un rapport.
- quarantine : il classe l’email en spam s’il est suspect.
- reject : il le bloque totalement.
- Il vous envoie un rapport DMARC contenant les détails de cette vérification.
Cela signifie que chaque message envoyé en votre nom est contrôlé, et ce même s’il vient d’un outil tiers.
Exemple :
Vous utilisez un service de support comme Zendesk. Il envoie des emails avec votre domaine. Si vous avez configuré DMARC avec p=reject, mais que Zendesk n’est pas aligné avec SPF/DKIM → ses messages seront bloqués.
DMARC vous permet de voir ça dans vos rapports, et de corriger avant que cela n’impacte vos utilisateurs.
Une astuce : Ajoutez systématiquement à vos rapports une adresse interne dédiée (ex : dmarc@votredomaine.com) et surveillez les premiers retours pendant 2 à 3 semaines avant de durcir la politique.
4. Tutoriel : Mettre en place DMARC étape par étape pour sécuriser votre domaine
Passons à l’action. Vous êtes à 5 minutes d’un protocole de sécurité qui change tout.
✅ Étape 1 : Vérifiez que SPF et DKIM sont en place
DMARC ne fonctionne que si au moins un des deux est configuré. Si vous avez un doute, testez votre domaine avec un outil comme MXToolbox ou EasyDMARC.
✅ Étape 2 : Créez votre enregistrement DMARC
Rendez-vous dans votre zone DNS (chez OVH, Gandi, Cloudflare…).
Ajoutez un nouvel enregistrement TXT :
- Nom (host) : _dmarc.votredomaine.com
- Type : TXT
- Valeur (champ) : Exemple de configuration initiale
v=DMARC1; p=none; rua=mailto:dmarc@votredomaine.com
✅ Étape 3 : Choisissez la bonne politique
- none : observer (aucune action, juste recevoir les rapports).
- quarantine : messages non conformes sont envoyés en spam.
- reject : messages invalides sont refusés par le serveur du destinataire.
💡 Astuce : on recommande p=none au début, le temps de collecter et analyser les rapports, puis monter progressivement.
✅ Étape 4 : Ajoutez les balises complémentaires utiles
- rua= : l’adresse email où recevoir les rapports agrégés
- ruf= : pour les rapports forensic (plus détaillés – à activer prudemment)
- aspf et adkim : pour forcer ou assouplir l’alignement SPF / DKIM
✅ Étape 5 : Testez la configuration
Vous avez besoin d’aide ? Voici quelques outils recommandés :
- DMARC Analyzer
- Postmark DMARC
- Google Admin Toolbox
Notre conseil : Ajoutez un calendrier de révision de votre DMARC tous les 3 mois, surtout si vous modifiez vos outils d’envoi ou ajoutez de nouveaux fournisseurs.
5. Lire et exploiter vos rapports DMARC pour surveiller et corriger
Activer DMARC, c’est bien. Lire les rapports qu’il génère, c’est encore mieux.
Grâce à eux, vous allez pouvoir :
- Détecter les anomalies avant qu’elles ne deviennent critiques ;
- Identifier les services ou adresses IP qui utilisent votre domaine sans autorisation ;
- Corriger les erreurs de configuration de vos propres outils (oui, ça arrive !).
Qu’est-ce qu’un rapport DMARC ?
C’est un fichier au format XML, envoyé régulièrement par les fournisseurs de messagerie (Google, Microsoft, Yahoo…). Il contient :
- Le nom de domaine de l’expéditeur
- L’adresse IP de l’expéditeur
- Le résultat des vérifications SPF et DKIM
- Si l’alignement des protocoles est réussi ou non
- Le traitement appliqué selon votre politique (none, quarantine, reject)
Ces rapports sont envoyés à l’adresse définie (comme l’adresse du propriétaire du domaine) dans votre enregistrement DMARC (rua=mailto:...). Ils peuvent paraître complexes, mais rassurez-vous : des outils existent pour les rendre lisibles.
Les meilleurs outils pour lire vos rapports DMARC
- EasyDMARC : ergonomique, visuel, parfait pour les PME
- Dmarcian : un incontournable, très complet
- Postmark : idéal pour les développeurs et équipes techniques
- Google Admin Toolbox : pour les domaines gérés via Google Workspace
Que faire avec ces rapports ?
- Repérer des adresses IP inconnues permet de repérer une éventuelle tentative d’usurpation
- Identifier un outil de messagerie mal aligné (DKIM/SPF fail)
- Prioriser vos corrections selon les volumes et la sévérité des erreurs
Exemple :
Une entreprise voit dans ses rapports que des emails “support@entreprise.com” sont envoyés depuis une adresse IP en dehors de son infrastructure.
DMARC est en “none” → l’email passe.
Elle passe en “quarantine” → le message part en spam.
Elle aligne les enregistrements → plus de problème.
N’oubliez pas : Vos rapports DMARC sont une source d’information stratégique pour sécuriser vos flux email. Ignorez-les, et vous avancez à l’aveugle.
6. Cas concrets : DMARC en action contre le spoofing
Pour vous montrer à quel point DMARC est puissant, voici 3 cas concrets que nous avons rencontrés chez nos clients.
Cas 1 – Une PME victime de phishing avec son propre domaine
Des clients reçoivent un faux courrier électronique contenant une pièce jointe infectée. L’expéditeur affiché est “contact@entreprise.com”.
Analyse : pas de DMARC, pas de politique → les emails passent.
Action : activation de DMARC avec p=reject + alignement SPF/DKIM → résultat : les emails frauduleux sont bloqués en amont.
Cas 2 – Une boîte e-commerce mal configurée
Les campagnes marketing tombent en spam chez Outlook et Microsoft. Le domaine est protégé par DKIM, mais aucune politique DMARC n’est définie.
Action : activation progressive de DMARC avec p=quarantine, correction du champ SPF pour un fournisseur oublié → taux de délivrabilité amélioré de 35 % en 3 semaines.
Cas 3 – Un CRM mal aligné détecté via les rapports
Une startup SaaS utilise un CRM externe qui envoie des mails depuis leur domaine. DMARC “none” permet de voir dans les rapports que le CRM n’est pas aligné DKIM.
Résultat : alerte reçue → configuration du CNAME chez le fournisseur → DMARC passe en “reject” → sécurité renforcée, aucune réclamation client.
Notre conseil : Mettez en place un suivi de vos outils d’envoi. Chaque nouveau fournisseur doit être testé et aligné SPF/DKIM pour ne pas être bloqué par votre propre politique DMARC.
Parfait, on enchaîne avec la conclusion, la FAQ En Bref, le paragraphe MO&JO et le CTA final. On boucle l’article avec impact, clarté, et une vraie valeur ajoutée pour l’audience.
Le mot de la fin
DMARC n’est pas une option. C’est une nécessité.
Dans un monde où le spoofing, le phishing et les attaques par email explosent, DMARC est votre rempart.
Ce protocole vous permet de :
- Protéger votre domaine contre les expéditeurs malveillants
- Contrôler ce que les serveurs font des messages non conformes
- Recevoir des rapports détaillés pour corriger, ajuster, sécuriser
Bien utilisé, il vous apporte :
- Une meilleure réputation d’expéditeur
- Un taux de délivrabilité plus élevé
- Une confiance accrue de vos clients et partenaires
Mais il n'agit jamais seul. Sans SPF et DKIM correctement alignés, DMARC n’a aucun effet. C’est l’ensemble des trois protocoles qui constitue une authentification email solide, cohérente et durable.
Notre conseil : Ajoutez DMARC à votre stack de sécurité dès maintenant. C’est une ligne dans vos DNS, pour un bouclier numérique à grande échelle.
Vos emails atterrissent encore en spam malgré DKIM et SPF configurés ? Ou pire, vous découvrez que votre nom de domaine est utilisé pour envoyer des spams ?
Chez MO&JO, nous vous aidons à reprendre la main sur votre messagerie grâce à une configuration DMARC complète, lisible et évolutive, adaptée à votre organisation, vos outils et vos destinataires.
Prêt à reprendre le contrôle sur votre domaine ? Mettez en place DMARC dès aujourd’hui avec nous !
A propos de l’auteur
Fabien
Fabien, consultant CRM chez MO&JO, est un expert en marketing automation et en fidélisation par email. Avec son expertise, il éclaire chaque projet et accompagne nos clients vers des stratégies CRM performantes et efficaces.
Nos autres articles sur le sujet :
