Échec DMARC : Politique d'Authentification Non Respectée

DMARC combine SPF et DKIM pour une protection email complète. Voici comment résoudre les échecs.

DMARC (Domain-based Message Authentication, Reporting & Conformance) est la couche finale de protection email. Il vérifie que SPF ou DKIM passe ET que le domaine est aligné avec le From header. Quand DMARC échoue, votre politique (none, quarantine, reject) dicte le traitement. Un échec DMARC avec p=reject signifie que vos emails légitimes sont bloqués. Comprendre DMARC est crucial car il agrège SPF et DKIM et génère des rapports précieux sur qui envoie en votre nom.

Symptômes d'un Échec DMARC

  • Rapports DMARC (rua) montrent des échecs d'alignement
  • Headers email affichent "dmarc=fail"
  • Emails rejetés ou en spam malgré SPF/DKIM valides individuellement
  • Services tiers envoyant en votre nom échouent

Causes des Échecs DMARC

  • Défaut d'alignement : SPF/DKIM passent mais le domaine validé ne correspond pas au From header (alignement strict vs relaxed).
  • SPF et DKIM échouent : DMARC nécessite qu'au moins un des deux passe avec alignement. Si les deux échouent = DMARC fail.
  • Service tiers non configuré : Un outil marketing envoie avec votre From mais son domaine n'est pas aligné.

Diagnostic DMARC

  1. Vérifiez votre politique : dig TXT _dmarc.example.com
  2. Analysez les rapports DMARC (rua) pour identifier les sources d'échec.
  3. Pour chaque source, vérifiez SPF (inclus ?), DKIM (sélecteur configuré ?), et alignement.
  4. Utilisez dmarcanalyzer.com ou similaire pour visualiser vos rapports.

Monitoring DMARC avec MoniTao

MoniTao surveille votre configuration DMARC :

  • Alerte si l'enregistrement DMARC change ou disparaît
  • Vérification de la syntaxe et de la politique
  • Monitoring de l'ensemble SPF + DKIM + DMARC

DMARC Progressif

  • Commencez avec p=none pour collecter les rapports sans impacter le trafic
  • Analysez les rapports et corrigez les sources légitimes qui échouent
  • Passez progressivement à p=quarantine puis p=reject
  • Configurez rua pour recevoir les rapports agrégés et ruf pour les forensics

FAQ - DMARC Fail

Quelle différence entre alignement strict et relaxed ?

Strict : domaines doivent être identiques. Relaxed (défaut) : sous-domaines acceptés. Ex: mail.example.com aligné avec example.com en relaxed.

Dois-je commencer avec p=reject ?

Non ! Commencez avec p=none, analysez les rapports, puis progressez. Un p=reject prématuré bloque vos propres emails.

Comment autoriser un service tiers (Mailchimp, etc.) ?

Ajoutez-le au SPF (include) et/ou configurez DKIM avec leur sélecteur. L'un des deux doit passer avec alignement.

Les rapports DMARC sont-ils obligatoires ?

Non mais fortement recommandés (rua). C'est le seul moyen de savoir qui envoie en votre nom et d'identifier les problèmes.

Liens utiles

Prêt à dormir sur vos deux oreilles ?

Commencez gratuitement, sans carte bancaire.

Créer mon compte Voir les tarifs