1. Home
  2. Messagerie
  3. Comprendre, configurer et analyser les rapports DMARC
Searching...

Comprendre, configurer et analyser les rapports DMARC

Sommaire

Cet article explique le fonctionnement des rapports DMARC, en particulier les paramètres comme rua (Reporting URI for Aggregate reports) et ruf, ainsi que les implications de leur configuration.

Introduction

Vous avez configuré vos enregistrements SPF et DKIM avec soin, vos journaux de messagerie (logs) indiquent que vos messages sont livrés avec succès et, pourtant, certains de vos correspondants affirment ne jamais recevoir vos courriels ou les retrouver dans leurs dossiers de courriels indésirables (spams).

Cette situation peut être particulièrement frustrante : tout semble parfait sur votre serveur, mais la distribution finale flanche sans que vous ne sachiez pourquoi.

C’est précisément ici que les rapports DMARC entrent en jeu. Ils agissent comme la « boîte noire » de vos envois, vous offrant une visibilité complète sur la manière dont les grands fournisseurs (Gmail, Outlook, Yahoo, etc.) traitent vos courriels.

Note : Le glossaire contient  des explications sur de multiples sujets et peut être consulté pour clarifier certains termes.

Qu’est-ce qu’un rapport DMARC?

Les rapports DMARC sont des bilans de santé automatisés générés par les serveurs qui reçoivent vos courriels. Ils contiennent des informations cruciales sur les éléments qui suivent.

  • L’authenticité de vos envois. Est-ce que les serveurs distants ont validé ou échoué vos configurations SPF et DKIM?
  • Les sources d’envoi. Quels serveurs ou services tiers (comme des outils d’infolettres, des CRM, des plateformes de facturation ou malheureusement des pirates informatique) envoient des messages en utilisant votre nom de domaine?
  • Les tentatives d’usurpation. Si des serveurs malveillants tentent d’envoyer des courriels frauduleux (phishing) en se faisant passer pour vous.

En analysant ces rapports, vous découvrirez exactement ce qui cloche dans le parcours de vos messages et pourrez ajuster vos configurations pour garantir que vos courriels légitimes arrivent à bon port.

Confidentialité et sécurité des données

Les rapports DMARC contiennent des informations techniques détaillées sur vos flux de communication, incluant des adresses IP, des structures d’en-têtes et potentiellement des données sensibles sur vos habitudes d’envoi.

  • Accès restreint. L’accès à la boîte courriel dédiée aux rapports doit être réservé uniquement aux personnes de votre organisation qui sont touchées et techniquement compétentes.
  • Impact des outils tiers. Soumettre ces fichiers à des plateformes ou analyseurs externes implique de partager ces données de messagerie avec un tiers.
  • Outils de confiance. Assurez-vous de choisir des solutions réputées, dotées de politiques de confidentialité strictes et conformes aux réglementations sur la protection des données (comme le RGPD ou la Loi 25), afin de garantir que vos informations ne soient pas exploitées ou revendues.

Prérequis

L’activation des rapports DMARC demande une certaine préparation. Par défaut, ces rapports sont envoyés sous forme de fichiers de données brutes (XML). Si vous les configurez vers votre adresse courriel principale, votre boîte de réception sera rapidement submergée de messages illisibles. De plus, veuillez noter que la plateforme N0C vous permet de configurer la transmission de ces rapports via votre zone DNS, mais ne fournit pas de portail interne pour les visualiser ou les analyser.

Saisissez dans votre navigateur web l’adresse suivante : https://mg.n0c.com/fr/.

Marche à suivre

Étape 1 — Créez une adresse de courriel dédiée aux rapports

L’activation des rapports DMARC va inciter les serveurs de messagerie du monde entier à vous envoyer des données de suivi de manière automatisée. Si vous utilisez votre adresse principale, votre boîte de réception sera rapidement inondée de messages techniques difficiles à lire au quotidien.

C’est pourquoi il est essentiel de créer une adresse entièrement dédiée à la réception de ces données (par exemple : rapports-dmarc@votredomaine.com). Cela vous permettra de centraliser les informations au même endroit sans perturber vos communications professionnelles ou personnelles.

Pour créer cette boîte de courriels, il vous faudra veillez à faire les deux actions qui suivent.

  1. Connectez-vous à votre gestionnaire N0C et rendez-vous dans la section Messagerie -> Comptes de messagerie.
  2. Créez votre nouvelle boîte de réception en suivant les instructions détaillées dans notre guide dédié (veuillez vous référer au paragraphe Comment créer un compte de messagerie dans l’article Comment gérer les comptes de messagerie).

Étape 2 — Établissez votre plan de match et choisissez vos options

La mise en place des rapports DMARC ne doit pas se faire au hasard. C’est une démarche stratégique qui se planifie par étapes.

Avant de modifier votre zone DNS, vous devez comprendre les options qui s’offrent à vous afin de bâtir un plan de déploiement graduel et sécuritaire. Le but est de sécuriser votre domaine sans bloquer vos propres courriels légitimes par erreur.

Les principaux paramètres

Voici les principaux paramètres (appelés « balises » ou tags) que vous devrez configurer.

  • La politique de sécurité (p=...). C’est l’instruction principale donnée aux serveurs qui reçoivent vos courriels. Elle comporte trois niveaux.
    • none (observation) : les serveurs distants traitent vos courriels normalement à leur discrétion. C’est par ici que ça commence et le défaut sur N0C.
    • quarantine (quarantaine) : les courriels qui échouent aux vérifications sont envoyés directement dans le dossier des courriels indésirables (spams) de vos destinataires.
    • reject (rejet) : les courriels non authentifiés sont purement et simplement bloqués et détruits par le serveur de réception.
  • Le pourcentage d’application (pct=...). Ce paramètre (de 0 à 100) indique aux serveurs sur quelle proportion de vos messages la politique (quarantine ou reject) doit s’appliquer. Par exemple, p=quarantine; pct=20; signifie que seulement 20 % des courriels suspects seront mis en quarantaine, vous permettant de tester la configuration en douceur.
    • Malheureusement le pourcentage d’application n’est pas toujours respecté par les serveurs distants; cela doit donc être pris en considération.
    • L’objectif à long terme est 100 %. Il s’agit donc de retirer le pourcentage d’application.
  • Les adresses de rapports (rua et ruf).
    • rua (Rapports agrégés) : fortement recommandé. Le rapport envoie un résumé quotidien global au format XML contenant des statistiques sur vos volumes d’envois et leur statut d’authentification.
    • ruf (Rapports légistes / Forensic) : à utiliser avec précaution. Le rapport envoie un courriel détaillé en temps réel à chaque fois qu’un message unique échoue. Cela générant un volume énorme de courriels, l’adresse est souvent bloquée par des fournisseurs comme Gmail, pour des raisons de confidentialité.

La stratégie de déploiement recommandée

Pour éviter toute interruption de vos services, nous vous conseillons d’adopter la progression suivante sur plusieurs semaines ou même plusieurs mois :

  1. Phase 1 (observation). Configurez DMARC à p=none avec votre balise rua. Lisez et analysez vos rapports pendant au moins 2 à 4 semaines pour identifier tous vos outils d’envoi légitimes (CRM, outils de facturation, etc.) et corriger leurs configurations SPF/DKIM au besoin.
  2. Phase 2 (quarantaine graduelle). Passez à p=quarantine avec un faible pourcentage (exemple : pct=10), augmentez progressivement jusqu’à pct=100 à mesure que vous validez la conformité de vos envois pour, finalement, retirer le pourcentage d’application.
  3. Phase 3 (protection maximale). Dès que vous êtes certain que 100 % de vos flux légitimes sont parfaitement authentifiés, passez à p=reject pour bloquer définitivement les usurpateurs.

Étape 3 — Ajout de l’entrée DNS

Construisez votre enregistrement DMARC

Votre enregistrement se présente sous la forme d’une ligne de texte combinant les balises choisies à l’étape précédente, séparées par des points-virgules.

Voici un exemple de configuration pour une phase d’observation (recommandée au départ) : v=DMARC1; p=none; rua=mailto:rapports-dmarc@votredomaine.com;

Si vous étiez à une étape plus avancée (par exemple, en quarantaine progressive), la valeur ressemblerait plutôt à ceci : v=DMARC1; p=quarantine; pct=50; rua=mailto:rapports-dmarc@votredomaine.com.

Rendez-vous dans la gestion de votre zone DNS

L’emplacement où vous devez ajouter cette ligne dépend de la configuration de vos serveurs de noms (NS).

  • Si votre domaine utilise les serveurs de noms de N0C. Connectez-vous à votre gestionnaire N0C, puis naviguez dans Domaines -> Gestion des domaines. Repérez votre domaine dans la liste, cliquez sur les trois petits points d’action et choisissez DNS.
  • Si votre domaine utilise des serveurs de noms tiers (ex. Cloudflare, un autre registraire). Vous devez effectuer la manipulation directement sur leur plateforme en vous référant à leur documentation respective.

Créez ou modifiez l’entrée DNS

DMARC s’applique toujours sur un sous-domaine spécifique nommé obligatoirement _dmarc.

  • Si vous possédez déjà une entrée pour _dmarc. Modifiez simplement sa valeur existante avec votre nouvelle ligne de configuration.
  • Si aucune entrée n’existe. Créez un nouvel enregistrement avec les paramètres suivants :
    • Nom / Hôte : _dmarc (ou _dmarc.votredomaine.com.);
    • Type : TXT; et
    • Valeur / Cible : insérez la ligne de configuration que vous avez construite au point 1.

Pour vous guider pas à pas dans l’interface visuelle de modification des fichiers de zone, vous pouvez consulter notre article Comment gérer les entrées DNS.

Étape 4 — Consultez et analysez vos rapports

Une fois l’entrée DNS active, les serveurs distants commenceront à envoyer des rapports à l’adresse de courriel dédiée que vous avez créée à l’Étape 1 (généralement dans un délai de 24 à 48 heures).

Comme mentionné dans les prérequis, ces fichiers arrivent au format XML brut compressé (.zip ou .gz). Ils sont conçus pour être lus par des machines et non par des humains. Pour les analyser facilement sans connaissances en programmation, vous devez utiliser un lecteur ou une plateforme d’analyse externe.

Option A — Utiliser un lecteur XML DMARC gratuit (analyse rapide)

Si vous recevez peu de volume et souhaitez simplement vérifier un rapport de temps en temps, vous pouvez téléverser manuellement vos fichiers XML sur des visionneuses en ligne gratuites. Ces outils traduisent instantanément le code en tableaux et graphiques lisibles.

Citons, par exemple :

  • MxToolbox DMARC Delivery Report. Permet de copier-coller le contenu XML ou de téléverser le fichier pour obtenir une analyse immédiate.
  • DMARC Analyzer (ou outils similaires). Offrent des options de visualisation rapide sans engagement.

Option B — Utiliser une plateforme de surveillance (recommandé pour le long terme)

Si vous gérez plusieurs domaines ou envoyez de gros volumes de courriels, la méthode manuelle deviendra vite fastidieuse. Il est plus efficace de transférer automatiquement vos rapports vers un service spécialisé qui centralisera et externalisera vos données dans un tableau de bord interactif.

Entre autres :

  • DMARCian. Une des plateformes les plus populaires. Elle offre un essai gratuit et des plans pour suivre l’évolution de votre conformité au fil des semaines.
  • Postmark DMARC Monitoring. Un excellent service (avec une offre gratuite très généreuse) qui vous envoie un résumé hebdomadaire propre et vulgarisé par courriel, vous évitant d’avoir à analyser les XML vous-même.

Comment ça marche? Ces plateformes vous fourniront une adresse de réception personnalisée (ex: uniquekey@ag.dmarcian.com). Il vous suffira de modifier votre entrée DNS à l’Étape 3 pour remplacer votre adresse par la leur, ou de configurer l’alias pour faire une redirection ou copie automatique depuis votre boîte rapports-dmarc@votredomaine.com vers leur outil.

Attention : si vous centralisez les rapports sur un autre domaine

Si vous décisez d’envoyer les rapports de domaineA.com vers une adresse située sur un autre domaine vous appartenant, comme domaineB.com (ex. : rua=mailto:rapports-dmarc@domaineB.com), les serveurs distants refuseront d’envoyer les données par mesure de sécurité et pour éviter les pourriels.

Pour autoriser ce transfert, vous devez obligatoirement ajouter une entrée DNS de type TXT sur le domaine qui reçoit les rapports (domaineB.com) :

  • Nom / Hôte : domaineA.com._report._dmarc.domaineB.com.
  • Type : TXT.
  • Valeur / Cible : v=DMARC1.

Les plateformes spécialisées comme DMARCian ou Postmark gèrent cette autorisation automatiquement sur leurs propres serveurs; vous n’avez donc rien à faire si vous utilisez leurs adresses personnalisées.

Conclusion

La mise en place des rapports DMARC est le meilleur moyen de lever le voile sur les mystères de la transmission de vos courriels.

En passant d’un mode d’observation passif (p=none) à une protection active et progressive, vous protégez non seulement l’image de votre entreprise contre l’usurpation, mais encore vous garantissez que vos messages légitimes atteignent la boîte de réception de vos clients.

Prenez le temps d’analyser vos premiers rapports pendant quelques semaines avant de resserrer votre politique de sécurité. Une configuration DNS propre et surveillée est la clé d’une communication par courriel fiable et professionnelle.

Updated on juin 15, 2026

Related Articles