Comment configurer DMARC : De p=none à p=reject (Guide 2026)
Le guide complet étape par étape pour configurer DMARC en 2026. Passez de la surveillance p=none à l'application p=quarantine puis p=reject — le prérequis indispensable pour l'affichage du logo BIMI dans Gmail et Apple Mail.
DMARC. Étape par étape.
DMARC (Domain-based Message Authentication, Reporting, and Conformance) est le prérequis incontournable pour BIMI. Un domaine avec p=none n'affichera jamais de logo dans Gmail ou Apple Mail, quelle que soit la perfection de la configuration du fichier SVG. Ce guide couvre le parcours complet depuis le déploiement initial jusqu'à l'application complète.
Prérequis
Avant de créer un enregistrement DMARC, vérifiez que les éléments suivants sont déjà en place :
- Enregistrement SPF — Un enregistrement TXT à la racine de votre domaine spécifiant quels serveurs de messagerie sont autorisés à envoyer en votre nom. Exemple :
v=spf1 include:_spf.google.com -all - Enregistrement DKIM — Une clé publique publiée dans le DNS que les serveurs de réception utilisent pour vérifier vos signatures d'e-mail. Votre fournisseur de messagerie la génère.
- Accès DNS — Accès en écriture à la zone DNS de votre domaine (Cloudflare, Route 53, GoDaddy, ou le panneau de contrôle de votre registrar).
DMARC nécessite qu'au moins SPF ou DKIM soit correctement configuré et aligné avec le domaine From: pour fonctionner.
Étape 1 : Créer un enregistrement de surveillance (p=none)
Commencez par une politique de surveillance uniquement. Celle-ci enregistre les échecs d'authentification sans affecter la livraison des e-mails.
_dmarc.yourdomain.com IN TXT "v=DMARC1; p=none; rua=mailto:[email protected]; pct=100"
Référence des balises :
| Balise | Obligatoire | Description |
|---|---|---|
| v=DMARC1 | Oui | Version du protocole. Doit être en premier. |
| p=none | Oui | Politique : surveillance uniquement, aucune action entreprise. |
| rua=mailto: | Recommandé | Adresse e-mail pour les rapports agrégés. |
| pct=100 | Optionnel | Pourcentage des e-mails soumis à la politique (par défaut : 100). |
Publiez cet enregistrement et attendez 48 à 72 heures pour la propagation DNS.
Étape 2 : Lire vos rapports agrégés
Les rapports agrégés (RUA) arrivent sous forme de pièces jointes XML, généralement une fois par jour par source d'envoi. Ils indiquent :
- Quelles adresses IP ont envoyé des e-mails en utilisant votre domaine
- Si SPF et DKIM ont réussi ou échoué
- Combien de messages ont été envoyés depuis chaque source
Ce qu'il faut rechercher : Tout service d'envoi légitime (votre ESP, CRM, système de tickets, plateforme marketing) qui échoue à l'alignement SPF ou DKIM doit être corrigé avant de passer à l'application. Passer à p=reject avec des échecs d'alignement non résolus entraînera le blocage d'e-mails légitimes.
Sources courantes nécessitant une configuration DKIM/SPF séparée : Mailchimp, Salesforce, HubSpot, Zendesk, SendGrid, Google Workspace, Microsoft 365.
Étape 3 : Passer à p=quarantine
Une fois que toutes les sources d'envoi légitimes passent l'authentification, mettez à jour la politique pour mettre en quarantaine les messages en échec :
_dmarc.yourdomain.com IN TXT "v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=25"
Commencez avec pct=25 pour appliquer la politique de quarantaine à seulement 25 % des messages en échec. Surveillez pendant une à deux semaines. Si aucun e-mail légitime n'est mis en quarantaine, augmentez à pct=100.
Étape 4 : Passer à p=reject
Application complète. Les messages non authentifiés sont rejetés catégoriquement et jamais livrés.
_dmarc.yourdomain.com IN TXT "v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100"
C'est l'exigence minimale pour BIMI. Gmail et Apple Mail ne traiteront pas votre enregistrement BIMI à moins que votre domaine ait p=quarantine ou p=reject avec pct=100. Une politique p=none est invisible pour BIMI — le logo n'apparaîtra jamais, quelle que soit la justesse du reste de la configuration.
Pourquoi p=none bloque BIMI
La spécification BIMI exige que les fournisseurs de messagerie vérifient que le domaine expéditeur dispose d'une politique DMARC appliquée avant d'afficher le logo. La raison : un logo est un signal de confiance. Afficher un logo pour un domaine qui n'a pas appliqué de contrôles anti-usurpation permettrait aux attaquants d'afficher des logos vérifiés sur des e-mails de phishing. p=none n'offre aucune application, donc les fournisseurs refusent d'honorer l'enregistrement BIMI.
Alignement : le détail que la plupart des guides omettent
DMARC ne réussit que lorsque le domaine authentifié s'aligne avec le domaine de l'en-tête From:. Il existe deux modes d'alignement :
- Assoupli (par défaut) : Le domaine organisationnel doit correspondre.
mail.example.coms'aligne avecexample.com. - Strict : Le domaine exact doit correspondre.
mail.example.comne s'aligne pas avecexample.com.
Pour BIMI, utilisez l'alignement assoupli (adkim=r; aspf=r) sauf si vous avez une raison spécifique pour le mode strict. L'alignement strict provoque des échecs pour les sous-domaines et les services d'envoi tiers.
Référence complète de l'enregistrement
_dmarc.yourdomain.com IN TXT "v=DMARC1; p=reject; sp=reject; adkim=s; aspf=s; rua=mailto:[email protected]; pct=100"
| Balise | Valeur | Signification |
|---|---|---|
| p=reject | Reject | Bloquer les e-mails non authentifiés |
| sp=reject | Reject | Appliquer la même politique aux sous-domaines |
| adkim=s | Strict | L'alignement DKIM doit être exact |
| aspf=s | Strict | L'alignement SPF doit être exact |
| rua= | E-mail | Destination des rapports agrégés |
| pct=100 | 100% | Appliquer à tous les e-mails |
Prochaines étapes
Une fois que votre domaine atteint p=reject :
- Générez votre SVG BIMI — Utilisez makeBIMI™ pour produire un fichier logo conforme au W3C SVG Tiny P/S. Gratuit, sans création de compte.
- Effectuez un audit DMARC — L'outil makeBIMI Domain Audit vérifie l'état de vos enregistrements DMARC, SPF et BIMI en temps réel.
- Obtenez un certificat — Pour l'affichage du logo dans Gmail, un VMC ou CMC est requis. veriBIMI℠ gère l'ensemble du processus de certification, incluant la gestion de l'application DMARC, la préparation du SVG et la demande auprès de l'autorité de certification.