← Tous les articles

Déployer DMARC étape par étape

GottaPhish Team · 15 avril 2026

Déployer DMARC n'est pas tant écrire un enregistrement DNS que mener un déploiement maîtrisé : commencer en mode surveillance, recenser chaque émetteur légitime, corriger l'alignement, puis renforcer progressivement. Une mise en application précipitée est la première cause de perte de courrier légitime ; traitez cela comme une migration par étapes.

Prérequis

DMARC repose sur SPF et DKIM ; confirmez d'abord que les deux sont en place :

Vérifiez qu'un vrai message passe bien les deux et s'aligne avec votre domaine From: avant de toucher à DMARC.

Étape 1 — Publier un enregistrement de surveillance

Commencez à p=none. Cela ne change rien à la remise ; cela ne fait que demander des rapports.

_dmarc.example.com.  IN  TXT
  "v=DMARC1; p=none; rua=mailto:dmarc@example.com; ruf=mailto:dmarc@example.com; fo=1"

Si les rapports partent vers un autre domaine, ajoutez-y un enregistrement d'autorisation :

example.com._report._dmarc.prestataire-rapports.net. IN TXT "v=DMARC1"

Étape 2 — Lire les rapports agrégés

Les rapports agrégés sont en XML, un par destinataire et par jour, classés par IP source :

<record>
  <row>
    <source_ip>198.51.100.10</source_ip>
    <count>42</count>
    <policy_evaluated><dkim>pass</dkim><spf>fail</spf></policy_evaluated>
  </row>
  <identifiers><header_from>example.com</header_from></identifiers>
</record>

Le XML brut devient vite ingérable — passez-le dans un outil d'analyse DMARC. Dressez l'inventaire de chaque IP émettrice : plateforme marketing, outil de ticketing, SIRH, facturation, support. Pour chacune, confirmez si elle passe SPF et/ou DKIM et s'aligne.

Étape 3 — Corriger les émetteurs légitimes

Pour chaque source non alignée :

Itérez jusqu'à ce que les rapports montrent ~100 % du volume légitime aligné et conforme. Cette phase peut prendre plusieurs semaines dans une grande organisation.

Étape 4 — Quarantaine par paliers

Passez à quarantine, mais déployez graduellement avec pct :

"v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@example.com; adkim=s; aspf=s"

pct=25 applique la politique à un quart aléatoire du courrier en échec ; le reste reste traité en none. Augmentez 25 → 50 → 100 sur plusieurs semaines, en surveillant tout émetteur légitime oublié.

Étape 5 — Appliquer reject

Une fois la quarantaine à pct=100 propre, passez à l'application complète :

"v=DMARC1; p=reject; rua=mailto:dmarc@example.com; adkim=s; aspf=s"

N'oubliez pas les sous-domaines. Fixez une politique explicite pour qu'un usurpateur ne puisse pas abuser d'un sous-domaine inutilisé :

"v=DMARC1; p=reject; sp=reject; rua=mailto:dmarc@example.com"

Mode d'alignement : strict ou relâché

Le relâché convient généralement ; réservez le strict aux cas où vous maîtrisez totalement chaque sous-domaine émetteur.

Tout l'intérêt de DMARC est p=reject avec une couverture élevée. Un domaine laissé indéfiniment en p=none est surveillé mais reste usurpable — le reporting est un moyen, l'application est le but.

Exploitation dans la durée

Comment GottaPhish aide

Atteindre p=reject stoppe l'usurpation du domaine exact, mais les attaquants ripostent avec des domaines sosies et des appâts de nom affiché que DMARC ne peut pas bloquer. GottaPhish et son équipe d'experts vous aident à combler cette faille résiduelle : des simulations réalistes contre précisément ces vecteurs — domaines cousins, émetteurs mal alignés — et des tableaux de bord reliant chaque attaque aux utilisateurs qui s'y sont laissé prendre. Nos experts vous accompagnent dans la configuration, conçoivent des scénarios adaptés à votre stade d'application et vous aident à interpréter les résultats, afin d'associer votre déploiement DMARC à la sensibilisation qui comble la faille humaine.