Invisible pour la plupart des utilisateurs, DMARC joue pourtant un rôle central dans la protection des e-mails. Cet enregistrement publié dans le DNS aide les organisations à lutter contre l’usurpation de domaine, le phishing et les messages frauduleux qui semblent provenir d’une adresse légitime.
Un enregistrement DMARC est une entrée DNS de type TXT publiée par le propriétaire d’un nom de domaine. DMARC signifie Domain-based Message Authentication, Reporting and Conformance. Son objectif est de dire aux serveurs de messagerie ce qu’ils doivent faire lorsqu’un e-mail prétendant venir d’un domaine échoue aux contrôles d’authentification.
Concrètement, un domaine comme exemple.fr peut publier un enregistrement DMARC à l’adresse _dmarc.exemple.fr. Cet enregistrement contient une politique lisible par les serveurs de réception. Il ne bloque pas directement les messages depuis le DNS, mais fournit une règle de traitement et un mécanisme de reporting.
L’e-mail repose sur des standards anciens, conçus à une époque où la confiance entre serveurs était plus implicite. Par défaut, il est relativement simple de falsifier l’adresse visible dans le champ “De”. C’est précisément cette faiblesse qu’exploitent de nombreuses campagnes de phishing pour imiter une banque, une administration, un fournisseur ou une entreprise connue.
DMARC permet au propriétaire d’un domaine de reprendre le contrôle sur l’usage de son identité dans les messages électroniques. Si un fraudeur envoie un e-mail avec une adresse affichée en contact@exemple.fr depuis une infrastructure non autorisée, le serveur destinataire peut appliquer la politique DMARC du domaine. Cette logique réduit le risque que des messages malveillants atteignent la boîte de réception sous une identité trompeuse.
Un enregistrement DMARC est publié dans la zone DNS du domaine, sous la forme d’un enregistrement TXT. Son emplacement suit une convention précise : le préfixe _dmarc est ajouté au domaine concerné. Pour exemple.fr, l’entrée sera donc _dmarc.exemple.fr. Cette structure permet aux serveurs de réception de trouver rapidement la politique à appliquer.
Un exemple courant ressemble à ceci : v=DMARC1; p=quarantine; rua=mailto:dmarc@exemple.fr. La balise v indique la version du standard, p définit la politique, et rua précise l’adresse qui recevra les rapports agrégés. Le DNS sert ici de répertoire public de règles, comme il le fait pour d’autres fonctions essentielles d’Internet, des mécanismes de résolution aux mécanismes de diagnostic réseau.
DMARC ne fonctionne pas seul. Il s’appuie sur deux mécanismes d’authentification existants : SPF et DKIM. SPF vérifie que le serveur qui envoie le message est autorisé à le faire pour le domaine concerné. DKIM ajoute une signature cryptographique dans l’e-mail afin de prouver que certaines parties du message n’ont pas été modifiées et qu’elles sont liées à un domaine donné.
La force de DMARC réside dans la notion d’alignement. Le domaine authentifié par SPF ou DKIM doit correspondre, de façon stricte ou souple selon la configuration, au domaine visible dans l’adresse de l’expéditeur. Pour comprendre ce socle technique, la signature DKIM des e-mails est un élément clé, car elle donne à DMARC une preuve exploitable lors de l’analyse du message.
La balise p est le cœur opérationnel d’un enregistrement DMARC. Avec p=none, le domaine demande aux serveurs destinataires de ne pas modifier le traitement des messages, même s’ils échouent aux contrôles. Cette option sert surtout à observer le trafic, identifier les services légitimes qui envoient des e-mails et collecter des rapports avant d’appliquer une politique plus stricte.
Avec p=quarantine, les messages non conformes peuvent être placés en spam ou traités avec prudence. Avec p=reject, ils peuvent être refusés avant même d’atteindre la boîte de réception. Une organisation prudente avance généralement par étapes : surveillance, quarantaine partielle, puis rejet lorsque les flux légitimes sont maîtrisés. La balise pct permet même d’appliquer une politique à un pourcentage seulement des messages.
DMARC prévoit l’envoi de rapports, généralement au format XML, vers les adresses indiquées dans la balise rua. Ces rapports agrégés ne contiennent pas le contenu des messages, mais des informations statistiques : adresses IP d’envoi, volumes observés, résultats SPF et DKIM, conformité DMARC et actions appliquées par les serveurs destinataires.
Ces données sont précieuses pour repérer un prestataire oublié, une plateforme marketing mal configurée ou une tentative d’usurpation en cours. Leur interprétation demande toutefois de la rigueur, car les volumes peuvent être importants. Les horodatages et journaux de messagerie gagnent aussi à être cohérents ; une synchronisation horaire fiable facilite les recoupements lors d’une enquête technique.
Le déploiement de DMARC commence idéalement par une phase d’observation avec p=none. Cette étape permet de cartographier tous les expéditeurs légitimes : serveur interne, outil de newsletter, plateforme CRM, solution de support client, prestataire transactionnel ou service cloud. Oublier un de ces flux peut entraîner des rejets injustifiés lorsque la politique devient plus stricte.
Parmi les erreurs fréquentes figurent la publication de plusieurs enregistrements DMARC pour un même domaine, une adresse de reporting invalide, un alignement trop strict appliqué trop tôt ou un SPF dépassant les limites de requêtes DNS. Comme dans d’autres échanges techniques structurés, où chaque étape doit être comprise par les deux parties, à l’image du mécanisme d’ouverture d’une connexion WebSocket, la cohérence de la configuration compte autant que la règle elle-même.
DMARC n’élimine pas toutes les fraudes par e-mail. Un attaquant peut encore utiliser un domaine ressemblant, un compte compromis ou une pièce jointe piégée. En revanche, il rend beaucoup plus difficile l’usurpation directe d’un domaine protégé. Pour une entreprise, une collectivité ou une association, c’est un signal fort envoyé aux partenaires, clients et fournisseurs.
La sécurité numérique repose souvent sur des règles discrètes mais déterminantes. Les politiques DMARC appartiennent à cette famille de mécanismes qui encadrent les comportements sur Internet, tout comme certains codes HTTP peuvent traduire des contraintes précises dans les échanges web. Bien configuré, un enregistrement DMARC améliore la délivrabilité légitime, limite les abus et contribue à restaurer une part de confiance dans l’e-mail.
