Defaults.Exposed › Rapports
Les 6 étapes de la maturité DMARC
Publié 2026-07-03 · mis à jour 2026-07-03
Chiffres arrêtés au 2026-06-29 · méthodologie v7. Ceci est un modèle de référence adossé à un recensement récurrent ; chaque édition remesure la même population afin que les chiffres puissent être suivis dans le temps. Tous les chiffres sont agrégés — nous ne publions jamais la note d’une entreprise individuelle.
Publier un enregistrement DMARC n’équivaut pas à être protégé
Sur 261 millions de domaines mesurés, 24,89 % publient un enregistrement DMARC — mais seuls 10,59 % en appliquent un. Autrement dit : sur les quelque 65 millions de domaines ayant entamé le parcours DMARC, 57,5 % n’ont jamais atteint la partie qui bloque quoi que ce soit. Ils ont publié un enregistrement, dirigé les rapports quelque part, et se sont arrêtés là. Des études indépendantes plus modestes retrouvent la même forme — un rapport sectoriel de 2026 l’a chiffrée à ~9 % de domaines appliquant une politique parmi les ~938 000 domaines examinés.
L’adoption n’est plus le problème. La protection l’est. Et les domaines stagnent pour une raison structurelle : les cartes que tout le monde utilise s’arrêtent trop tôt. Elles se terminent prématurément, et aucune d’elles ne donne à l’étape la plus difficile un nom qui lui soit propre.
Là où les cartes existantes s’arrêtent trop tôt
Les modèles selon lesquels le secteur se repère étaient adaptés à leur époque et méritent une lecture juste :
- Le modèle de déploiement en cinq phases popularisé par dmarcian (dont le fondateur a coécrit DMARC lui-même) suit déploiement → surveillance → durcissement de la politique — et considère l’atteinte de
p=rejectcomme la destination. - La progression du RFC —
p=none → quarantine → reject— désigne trois niveaux d’application, et non un modèle de maturité. Elle ne dit rien des prérequis ni de ce qui vient après. - « Ramper, marcher, courir » est un modèle populaire : juste dans la direction, mais vide dans la structure.
Ces trois modèles partagent deux limites. Premièrement, ils s’arrêtent à p=reject — comme si l’application était la ligne d’arrivée. Elle ne l’est pas : la norme elle-même a évolué (DMARCbis — RFC 9989, 9990 et 9991 — a été publiée en mai 2026, remplaçant le RFC 7489 d’origine), et l’application ne fait rien pour la sécurité du transport ni pour la confiance dans la marque. Deuxièmement — et c’est cette limite qui fait réellement échouer les domaines — aucun d’eux ne fait de « chaque expéditeur recensé » une étape nommée. Pour être justes, les guides de déploiement mentionnent bien ce travail : le modèle de dmarcian inclut l’identification des sources comme une tâche au sein de sa phase de surveillance. Mais une tâche enfouie dans une phase est précisément traitée comme telle — comme une composante de la « surveillance » plutôt que comme la réalisation distincte qu’elle constitue. Regarder arriver les rapports donne l’impression d’un progrès. Ce n’en est pas encore un. La principale raison pour laquelle les domaines restent des années à p=none est qu’ils peuvent voir leur courrier sans l’avoir recensé — ils n’osent donc pas appliquer, de peur de casser quelque chose de réel.
Un modèle utile doit donner à cette étape son propre nom et ses propres critères de sortie. Celui-ci le fait. Nous l’appelons le modèle de maturité d’adoption de DMARC — DAMM : six étapes, un geste chacune, et un nom que vous pouvez citer.
Le modèle
Étape 1 — Non protégé. Aucun enregistrement DMARC — ou bien SPF et DKIM incomplets en dessous. N’importe qui peut envoyer des courriels au nom de votre domaine, et rien nulle part ne vérifie quoi que ce soit. Le geste : configurez SPF et DKIM pour votre messagerie principale, et confirmez qu’ils s’authentifient et s’alignent. DMARC repose sur les deux ; vous ne pouvez pas sauter ce socle.
Étape 2 — Authentifié. SPF et DKIM sont corrects et s’alignent pour votre flux de courrier principal. Votre courrier légitime prouve son origine — mais rien n’indique aux boîtes de réception du monde entier quoi faire du courrier qui n’y parvient pas. Le geste : publiez un enregistrement DMARC à p=none avec une adresse de rapport rua=.
Étape 3 — Observation. DMARC est publié, les rapports agrégés affluent, et pour la première fois vous pouvez voir qui envoie au nom de votre domaine. Rien n’est bloqué. La plupart des outils appellent cette étape « visibilité » — nous nous en abstenons délibérément, car voir les rapports et les comprendre sont deux réalisations différentes. Le geste : identifiez chaque source légitime qui envoie au nom de votre domaine, et alignez-les toutes.
Étape 4 — Visibilité. Chaque expéditeur légitime est identifié et aligné — la plateforme d’infolettre, le système de facturation, le CRM, l’outil auquel le marketing s’est inscrit le printemps dernier. Vous connaissez votre courrier. Rien de légitime ne cassera si vous appliquez. C’est l’étape que les anciennes cartes sautent, et le mur que la plupart des domaines n’escaladent jamais. Le geste : relevez la politique — p=none → p=quarantine (le mode test t=y de DMARCbis aide ici) → p=reject.
Étape 5 — Appliqué. p=quarantine ou p=reject est actif, avec les sous-domaines couverts par une politique sp= explicite. Le courrier qui échoue à l’authentification est désormais réellement mis en quarantaine ou refusé chez les destinataires participants — ce qui inclut tous les grands fournisseurs de boîtes aux lettres — de sorte que l’usurpation directe de votre domaine exact cesse d’atterrir là où DMARC est vérifié. Le geste : ajoutez la couche de durcissement — la couverture np= et le parcours d’arbre (tree-walk) de DMARCbis, MTA-STS et TLS-RPT pour le transport, BIMI si l’affichage de la marque compte pour vous.
Étape 6 — Renforcé et pérenne. L’application plus la pile moderne : la couverture des sous-domaines inexistants (np=) issue de DMARCbis, MTA-STS et TLS-RPT sécurisant le courrier en transit, BIMI là où il justifie son coût — et, surtout, une surveillance continue des dérives et des nouveaux expéditeurs. Ce n’est pas un badge ; c’est une discipline. De nouveaux expéditeurs apparaissent, les fournisseurs changent d’IP, les configurations se dégradent. Le geste : restez ici.
La voie « sans courrier ». Mesuré sur l’ensemble de l’inventaire des domaines — domaines morts inclus — 51,5 % des domaines n’exploitent aucun service de messagerie, et pour eux le parcours se réduit à une seule étape. Un domaine qui n’envoie jamais devrait publier immédiatement SPF
-allet DMARCp=reject: il n’y a aucun courrier légitime à protéger, donc rien à observer ni de mur à escalader. Les domaines de marque parqués et dormants passent directement à Appliqué en un seul changement DNS — et cela ferme l’un des vecteurs d’usurpation les plus courants qui soient.
Le mur : étape 3 → 4
Toutes les autres transitions de ce modèle sont un changement DNS. Celle-ci relève d’un travail d’investigation — et c’est là que meurent les mois.
Passer d’Observation à Visibilité signifie attribuer chaque source d’envoi de vos rapports à un système réel : quel ESP, quel CRM, quel relais de messagerie de bureau régional, quel outil SaaS que quelqu’un a connecté en 2023 et a oublié. Cela signifie débusquer les expéditeurs du shadow IT que personne n’a documentés. Cela signifie corriger l’alignement ESP par ESP, car chaque plateforme a sa propre manière de s’authentifier en votre nom — certaines d’entre elles de façon incorrecte par défaut.
Sauter le mur, c’est ainsi que DMARC s’est forgé sa réputation effrayante. Appliquez depuis Observation — sans Visibilité — et vous allez bloquer quelque chose de réel : une campagne de factures, un flux de réinitialisation de mot de passe, l’infolettre du PDG. S’ensuit le retour arrière paniqué à p=none, le post-mortem interne, et la leçon que tout le monde tire de travers : « nous avons essayé DMARC et ça a cassé la messagerie ». La plupart des récits d’horreur autour de DMARC sont exactement cela — une application tentée une étape trop tôt. Le mur n’est pas une raison de s’arrêter à l’étape 3. C’est la raison d’être de l’étape 4.
C’est aussi l’étape où les propriétaires font le plus souvent appel à de l’aide — un prestataire informatique ou un service de surveillance DMARC peut réaliser le travail d’identification des expéditeurs ; les étapes restent les mêmes dans un cas comme dans l’autre.
La partie que tout le monde oublie : étape 5 → 6
Atteindre p=reject arrête l’usurpation directe de votre domaine dans le champ From:, chez les destinataires qui le vérifient. C’est nécessaire — et ce n’est pas suffisant. Il vaut aussi la peine de nommer ce que l’application n’a jamais couvert : les domaines sosies (yourc0mpany.com) et l’usurpation du nom d’affichage se situent entièrement hors de portée de DMARC ; l’application ferme donc la porte du domaine exact et laisse les portes voisines à la vigilance et à d’autres contrôles.
L’application ne fait rien pour le transport : sans MTA-STS ni TLS-RPT, le courrier destiné à votre domaine peut encore être rétrogradé ou intercepté en transit. Elle ne fait rien pour la reconnaissance de la marque : BIMI — votre logo, affiché dans la boîte de réception — est un signal de confiance, pas un contrôle de sécurité, et il est honnête de le traiter comme tel (il exige aussi un certificat payant, raison pour laquelle il vient en dernier, et non en premier). Et le simple p=reject est antérieur à DMARCbis : la balise np= des nouveaux RFC et le parcours d’arbre (tree-walk) comblent la faille des sous-domaines inexistants que laissent ouverte les déploiements plus anciens.
Un domaine à p=reject dépourvu de tout ce qui précède est protégé contre l’attaque la plus courante et démuni face au reste. C’est une distinction bien réelle, et elle mérite sa propre étape.
Votre étape est mesurable
Ce modèle n’est pas qu’un schéma — l’étape d’un domaine est calculable, ce qui le distingue d’une affiche au mur.
Les étapes 3 à 6 peuvent être déduites des propres données de rapport DMARC d’un domaine et de ses enregistrements publiés : quelle politique est active, si les rapports affluent, et si chaque expéditeur observé s’aligne. Les étapes 1 et 2 sont évaluées par une vérification DNS en direct, puisqu’aucun rapport n’existe encore. Une limite honnête dans chaque sens : l’étape 4 est confirmée par des preuves accumulées dans le temps — « chaque expéditeur observé s’aligne sur un nombre suffisant de jours de rapport » est un indicateur solide, mais aucun rapport ne peut révéler l’expéditeur que vous n’avez pas encore connecté. Et la couche de durcissement de l’étape 6 — MTA-STS, TLS-RPT, BIMI — est invisible dans les rapports DMARC ; il faut une vérification DNS pour la voir. Un domaine peut sembler « terminé » d’après ses rapports tout en portant un écart caché entre les étapes 5 et 6. C’est le modèle à l’aune duquel notre propre analyse de rapports mesure, avec ses blocages et tout le reste.
Un exemple concret
Une entreprise de taille moyenne exploite Microsoft 365 derrière une passerelle de filtrage du courrier. SPF se termine par -all, DKIM est configuré, DMARC est publié à p=none, et les rapports affluent vers un outil de surveillance. Sur les anciennes cartes, cela semble presque terminé. Sur celle-ci, il s’agit de l’étape 3 — Observation : la configuration difficile est achevée, et le domaine a stagné exactement au niveau du mur — visible, non protégé. Le geste à plus forte valeur est 3 → 4 → 5 : confirmer que les (probablement peu nombreux) expéditeurs légitimes s’alignent tous, puis relever la politique par étapes. Pour un domaine de cette forme, cela représente généralement des semaines d’attention, et non des mois — le mur est le plus haut pour ceux qui ne le cartographient jamais.
Trouvez votre étape
La question à mettre au rebut est « avons-nous DMARC ? » — 24,89 % des domaines peuvent répondre oui tandis que 57,5 % d’entre eux restent usurpables. La meilleure question est « à quelle étape en sommes-nous, et quel est le geste unique pour passer à la suivante ? » Chaque domaine sur Internet se trouve aujourd’hui à exactement l’une de ces six étapes. Savoir laquelle transforme une angoisse en liste de tâches.
Foire aux questions
Qu’est-ce que le DAMM ? Le modèle de maturité d’adoption de DMARC — le modèle en six étapes de cette page : Non protégé, Authentifié, Observation, Visibilité, Appliqué, Renforcé. L’étape d’un domaine est mesurable à partir de son DNS et de ses données de rapport DMARC, ce qui le distingue d’une affiche au mur.
Publier p=none est-il donc sans valeur ? Non — c’est l’étape 3, et l’étape 3 est porteuse : les rapports sont le moyen de trouver chaque expéditeur avant d’appliquer. Cela ne devient un problème que lorsqu’on la traite comme une destination. Voir pourquoi p=none n’est pas une protection.
Puis-je passer directement à p=reject ? Si votre domaine n’envoie aucun courrier — oui, dès aujourd’hui, et vous devriez le faire. S’il envoie du courrier — non : appliquer sans Visibilité (étape 4), c’est ainsi que le courrier légitime se casse et que surviennent les retours arrière. Les étapes sont le chemin sûr, pas un cérémonial.
Ai-je besoin de BIMI pour être « terminé » ? Non. BIMI est la couche d’affichage de la marque de l’étape 6 et l’élément le plus facultatif du modèle — MTA-STS, TLS-RPT et la couverture np= de DMARCbis sont les parties qui durcissent matériellement un domaine. Si le coût du certificat ne se justifie pas pour vous, faites l’impasse et conservez le reste de l’étape 6.
Où se situent SPF et DKIM ? Sous tout le reste — ils constituent les étapes 1 → 2, et SPF sans DMARC protège moins que la plupart des propriétaires ne le supposent. Depuis 2024, les grands destinataires ont en outre exigé purement et simplement l’authentification des expéditeurs de masse.
Vérifiez où se situe votre propre domaine
Ces étapes sont des schémas de population — votre domaine se trouve à exactement l’une d’elles, et le prochain geste est connaissable. Vous pouvez vérifier en toute confidentialité et gratuitement, et voir lesquelles des 34 vérifications vous réussissez et comment corriger celles que vous échouez.
Vérifiez votre domaine → · Comment nous avons noté Internet → · Le pilier DMARC → · Données agrégées uniquement. Données stockées et traitées dans l’UE.