La sécurité des emails est devenue un enjeu central dans un monde numérique où les tentatives d’usurpation d’identité, les attaques de phishing et les campagnes de spam sont en constante augmentation. Face à ces menaces, les protocoles d’authentification comme SPF et DKIM ont apporté des solutions partielles. Mais pour coordonner leur fonctionnement, garantir une politique d’authentification centralisée et obtenir une visibilité sur les abus subis par un domaine, un protocole plus structurant a vu le jour : DMARC, pour Domain-based Message Authentication, Reporting and Conformance. Déployé à grande échelle depuis la fin des années 2010, DMARC s’impose aujourd’hui comme un standard incontournable pour toute organisation souhaitant sécuriser sa messagerie électronique et protéger son nom de domaine. Décryptons ensemble sa définition, son mode de fonctionnement et son importance dans la chaîne de confiance des emails.

Origine, définition et objectifs du protocole DMARC

Le protocole DMARC (Domain-based Message Authentication, Reporting and Conformance) est né d’un constat inquiétant au tournant des années 2010 : les attaques par e-mail, et plus particulièrement l’usurpation de domaine, étaient devenues l’un des vecteurs d’attaque les plus répandus, et les plus redoutables. À cette époque, même des géants de la tech comme Google, Microsoft, Yahoo! et PayPal se retrouvaient régulièrement ciblés par des campagnes d’hameçonnage utilisant leur nom de domaine pour tromper les utilisateurs. Ces sociétés ont alors décidé d’unir leurs forces pour créer un protocole d’authentification plus complet que les solutions déjà existantes, comme SPF et DKIM. Le projet est lancé officiellement en janvier 2012 avec la publication d’un document intitulé « DMARC.org Overview ». Il marque la création du groupe de travail DMARC.org, basé aux États-Unis et composé de représentants techniques de grandes entreprises, dont Brett McDowell, alors directeur des initiatives de sécurité Internet chez PayPal, qui joue un rôle central dans la coordination de ce projet. L’idée était simple mais ambitieuse : offrir aux propriétaires de domaines un moyen de contrôler l’usage de leur nom de domaine dans les emails, de <strongdéfinir une politique de traitement des messages suspects, et surtout, de recevoir des rapports d’analyse sur les envois réalisés en leur nom. Avant DMARC, deux protocoles préexistaient :

• SPF (Sender Policy Framework) : né dans les années 2000, il permettait de définir les adresses IP autorisées à envoyer des emails pour un domaine donné, mais n’agissait pas sur l’adresse visible par l’utilisateur.
• DKIM (DomainKeys Identified Mail) : proposé initialement par Yahoo! en 2004, il ajoutait une signature numérique à l’en-tête de l’email pour vérifier son intégrité et son origine. Il nécessitait toutefois un alignement technique difficile à interpréter par les serveurs de réception.

DMARC vient donc compléter et coordonner ces deux mécanismes. Il agit comme une surcouche logique, précisant :

• Comment les résultats des vérifications SPF et DKIM doivent être interprétés,
• Quel comportement adopter face aux messages qui échouent à ces contrôles,
• Et comment transmettre au propriétaire du domaine des informations utiles sur la réception et l’analyse de ses emails.

En pratique, DMARC repose sur la publication dans le DNS d’un enregistrement de type TXT pour chaque domaine ou sous-domaine à protéger. Cet enregistrement contient plusieurs paramètres : le niveau de politique (p=), l’adresse de réception des rapports (rua= pour les rapports agrégés, ruf= pour les rapports médico-légaux), les paramètres d’alignement (aspf pour SPF et adkim pour DKIM), et d’autres variables techniques.

Voici une définition claire de DMARC :

DMARC est un protocole de politique d’authentification email qui permet à un domaine d’indiquer, via le DNS, comment traiter les messages non authentifiés (selon les vérifications SPF et DKIM), et de recevoir des rapports détaillés sur l’utilisation ( légitime ou frauduleuse) de ce domaine dans les échanges de messagerie.

Concrètement, le protocole permet à un administrateur système basé à Paris, à Tokyo ou à São Paulo de savoir si quelqu’un tente d’envoyer des emails frauduleux en usurpant son domaine. Grâce à la réception des rapports DMARC (généralement envoyés sous forme de fichiers XML quotidiennement) il peut analyser le comportement des expéditeurs, détecter des tentatives de phishing, repérer des erreurs de configuration SPF/DKIM et ajuster sa politique de sécurité en conséquence. Par exemple, une entreprise basée à Lyon utilisant Office 365 et Mailchimp pourra recevoir des rapports de Google, Yahoo et d’autres fournisseurs, indiquant si les envois ont bien respecté les normes d’authentification. En cas d’échec, la politique DMARC (none, quarantine, reject) déterminera le sort du message.

Mais DMARC ne se limite pas à une logique défensive. Il agit aussi comme un outil de gouvernance et de visibilité. En autorisant progressivement les sources d’emailing, l’administrateur construit une cartographie claire de qui envoie quoi au nom de son domaine. C’est ce qu’on appelle une DMARC policy ramp-up, ou montée en puissance progressive de la politique.

Le fonctionnement et un exemple de DMARC dans l’écosystème email

Dans la pratique, le protocole DMARC s’intègre dans un écosystème d’authentification reposant sur le DNS, SPF, DKIM et l’analyse comportementale des serveurs de réception. Il agit comme une couche de gouvernance supplémentaire, définissant une politique publique que les serveurs destinataires doivent interpréter et appliquer. DMARC repose sur un enregistrement DNS de type TXT inséré dans la zone DNS du domaine concerné. Cet enregistrement contient des balises normalisées qui forment ensemble la politique d’authentification et de reporting du domaine. Voici un exemple typique d’enregistrement DMARC :

v=DMARC1; p=quarantine; rua=mailto:dmarc@exemple.com; adkim=s; aspf=s; fo=1;

Ce format est à la fois lisible par l’humain et interprétable par les serveurs. Chaque balise a un rôle précis. Le tableau ci-dessous présente les balises les plus courantes, leur signification et leur rôle dans la politique d’authentification DMARC :

Pour qu’un message soit considéré comme conforme à DMARC, il doit remplir deux conditions :

1. Réussir au moins l’un des deux contrôles : SPF ou DKIM.
2. Présenter un alignement d’identité (identifier alignment) entre le domaine utilisé dans l’enregistrement SPF ou DKIM et le domaine visible dans l’adresse From de l’e-mail.

Ce double critère permet d’éviter qu’un expéditeur malveillant utilise un serveur autorisé par SPF ou un domaine signé DKIM tout en masquant une adresse From frauduleuse. DMARC impose donc une cohérence forte entre les différentes strates de l’email.

Le parcours d’un email vérifié par DMARC

Voici les différentes étapes qu’un message suit lorsqu’il est soumis au protocole DMARC :

1. Un e-mail est envoyé depuis une infrastructure configurée avec SPF et/ou DKIM.
2. Le serveur destinataire reçoit l’e-mail et commence les vérifications techniques.
3. Il interroge le DNS du domaine de l’adresse From pour lire l’enregistrement DMARC.
4. Il vérifie si le message réussit au moins l’un des deux contrôles (SPF ou DKIM) avec un alignement conforme.
5. En fonction du résultat, il applique la politique déclarée (none, quarantine ou reject).
6. Il envoie un rapport à l’adresse renseignée dans la balise rua, si disponible.

Les rapports DMARC sont envoyés en général toutes les 24 heures par les fournisseurs de messagerie qui les prennent en charge (Google, Yahoo, Outlook, Mail.ru, etc.). Ils sont envoyés au format XML compressé (.xml.gz), contenant des informations telles que :

• Le nombre total de messages reçus ;
• Le résultat des vérifications SPF/DKIM ;
• Le statut d’alignement ;
• L’adresse IP source ;
• Le nom du serveur expéditeur.

Pour faciliter leur lecture, de nombreux outils et plateformes proposent des interfaces visuelles : Dmarcian, Postmark, Agari, EasyDMARC, Valimail, entre autres. Ces solutions permettent une analyse plus claire et rapide des rapports, ainsi que la détection des anomalies ou tentatives de spoofing.

DMARC ne fonctionne pas en vase clos. Il s’intègre dans une stratégie plus large de sécurisation de la messagerie, qui inclut également :

• Une gestion rigoureuse des sous-domaines ;
• La signature des messages sortants avec DKIM ;
• La configuration précise des règles SPF ;
• La montée progressive de la politique DMARC, du mode none vers reject, pour éviter les faux positifs.

Ainsi, le protocole DMARC permet d’instaurer un cadre normatif pour l’identification des messages légitimes. Il établit une forme de contrat public entre le domaine émetteur et les serveurs récepteurs, tout en fournissant un retour d’information précieux aux administrateurs.

Vers une culture de sécurité email : DMARC comme levier stratégique

Au-delà de sa dimension purement technique, le protocole DMARC s’inscrit dans un enjeu plus large : celui de la culture de la sécurité numérique au sein des organisations. La messagerie électronique reste aujourd’hui l’un des vecteurs d’attaque les plus prisés par les cybercriminels. Selon un rapport de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) publié en 2023, plus de 90 % des intrusions dans les systèmes d’information d’entreprises françaises ont débuté par un email frauduleux ou piégé. Face à cela, des outils comme SPF, DKIM et DMARC ne sont pas de simples protocoles DNS, mais des piliers d’une stratégie défensive cohérente et évolutive. Mettre en œuvre DMARC, c’est en réalité amorcer un changement de paradigme. Cela oblige les équipes techniques à cartographier tous les services d’envoi d’emails, à auditer leur conformité, à définir des politiques précises et à surveiller les flux réels. Ce processus n’est pas qu’un projet IT : Il implique les services marketing, les DSI, les RSSI, et parfois même la direction générale.

L’adoption de DMARC à grande échelle traduit également une tendance de fond observée dans le monde entier. Depuis 2021, plusieurs gouvernements ont imposé ou recommandé la configuration de DMARC pour les entités publiques. Aux États-Unis, l’administration fédérale a rendu la configuration DMARC obligatoire pour toutes ses agences dès octobre 2018 via une directive du Department of Homeland Security. Au Royaume-Uni, le National Cyber Security Centre (NCSC) fait de même pour le secteur public britannique. En France, la DINUM recommande également l’implémentation de DMARC dans le cadre de la doctrine d’hygiène numérique de l’État. Dans le secteur privé, les grandes plateformes cloud comme Google Workspace, Microsoft 365 ou Zoho rendent peu à peu DMARC indispensable pour garantir une bonne délivrabilité. En 2024, Google et Yahoo ont commencé à rejeter les messages non authentifiés provenant d’expéditeurs envoyant un volume élevé d’e-mails. Cela marque une nouvelle ère où la sécurité des emails n’est plus une option technique, mais une exigence commerciale et opérationnelle. Par ailleurs, l’implémentation de DMARC ouvre la voie à d’autres technologies émergentes, telles que :

• BIMI (Brand Indicators for Message Identification) : Une norme qui permet d’afficher un logo vérifié dans les boîtes de réception, renforçant la reconnaissance de marque et la confiance ;
• MTA-STS (Mail Transfer Agent Strict Transport Security) : Qui impose une transmission sécurisée (TLS) des messages entre serveurs SMTP ;
• DANE (DNS-based Authentication of Named Entities) : Pour assurer l’authenticité des certificats TLS via DNSSEC.

Ces innovations ne sont efficaces que si les fondations sont solides. DMARC en fait partie. Il ne s’agit plus seulement de protéger un domaine, mais de construire une stratégie de confiance numérique intégrée, alignée avec les exigences de conformité (RGPD, ISO 27001, Cybersécurité & NIS2) et avec les attentes croissantes des clients et partenaires.