Defaults.Exposed

Defaults.Exposed › DMARC

DMARC : adoption, maturité et classements

Données au 2026-06-29 · Édition n°1 · données au 2026-06-29

DMARC est l'enregistrement DNS qui indique aux boîtes de réception du monde entier que faire des e-mails qui prétendent provenir de votre domaine — les délivrer, les mettre en quarantaine ou les rejeter. Ne publiez rien (ou laissez-le en mode surveillance seule) et n'importe qui peut inscrire votre nom dans la ligne « De » d'un e-mail. Cette section mesure comment l'ensemble d'internet utilise réellement DMARC — et donne aux résultats des noms clairs et citables.

Recensement, pas échantillon : 261 millions de domaines mesurés. 10.6 % appliquent DMARC ; 75.1 % ne publient aucun enregistrement.

Le modèle : le Modèle de maturité de l'adoption DMARC (DAMM)

Les chiffres d'adoption ne prennent sens que face à une carte. La nôtre est le Modèle de maturité de l'adoption DMARC — DAMM : six étapes, de Non protégé à Renforcé, une action par étape, et un seul mur honnête au milieu — le passage d'Observation (rapports qui affluent) à Visibilité (chaque expéditeur recensé) que la plupart des domaines ne gravissent jamais. Chaque tableau et chaque rapport de cette section est DAMM appliqué au recensement.

Il est temps d'en faire tout un DAMM.

Les dénominateurs permanents

Chaque page DMARC de ce site utilise les mêmes dénominateurs, de sorte qu'aucune statistique ici ne peut discrètement changer de base :

À quelle étape êtes-vous ? Six questions

Commencez à la question 0, puis répondez dans l'ordre — le premier « non » est votre étape. Rien d'autre nécessaire qu'un coup d'œil à vos propres enregistrements DNS et à votre messagerie — et si vous ne pouvez pas répondre à l'une d'elles, ne devinez pas : la vérification gratuite lit votre DNS en direct et répond aux questions 1, 2, 3 et 5 à votre place.

0. Votre domaine envoie-t-il des e-mails, tout simplement ?

Non → votre parcours se réduit à une seule étape : publiez SPF v=spf1 -all et DMARC p=reject aujourd'hui. Un domaine qui n'envoie jamais n'a aucun courrier légitime à protéger — rien à observer, aucun mur à gravir — il passe donc directement à l'Étape 5 — Appliqué en une seule modification DNS. Oui → question suivante.

1. SPF et DKIM existent-ils et passent-ils pour le courrier que vous envoyez ?

Non → vous êtes probablement à l'Étape 1 — Non protégé. Votre prochaine action : configurez SPF et DKIM pour votre courrier principal et confirmez qu'ils s'authentifient et s'alignent tous les deux — l'alignement signifiant que le domaine validé par SPF ou DKIM est le même que celui qu'une personne voit dans la ligne « De : » visible, ce qui est la correspondance que DMARC teste réellement. DMARC repose sur les deux. Oui → question suivante.

2. Publiez-vous un enregistrement DMARC ?

Non → vous êtes probablement à l'Étape 2 — Authentifié. Votre prochaine action : publiez un enregistrement DMARC en p=none avec une adresse de reporting rua= — un seul enregistrement DNS, rien ne casse. Oui → question suivante.

3. Votre enregistrement demande-t-il des rapports (rua=) que quelqu'un reçoit réellement ?

Non → vous êtes probablement bloqué entre les Étapes 2 et 3 — publié, mais à l'aveugle. Votre prochaine action : ajoutez une adresse rua= (une seule modification DNS) pour que les rapports agrégés affluent — un enregistrement qui ne surveille rien ne peut pas repérer les expéditeurs que vous devrez aligner. Oui → question suivante.

4. Avez-vous identifié chaque expéditeur légitime du courrier de votre domaine — et chacun s'aligne-t-il ?

Non → vous êtes probablement à l'Étape 3 — Observation, devant le mur où la plupart des domaines calent. Votre prochaine action : recensez chaque service qui envoie au nom de votre domaine (l'outil de newsletter, le système de facturation, le CRM) et alignez chacun d'eux. C'est aussi l'étape où les propriétaires font le plus souvent appel à de l'aide — un prestataire informatique ou un service de supervision DMARC peut réaliser le travail d'identification des expéditeurs ; les étapes restent les mêmes dans tous les cas. Oui → question suivante.

5. Votre politique est-elle p=quarantine ou p=reject ?

Non → vous êtes probablement à l'Étape 4 — Visibilité, et vous pouvez appliquer en toute sécurité. Votre prochaine action : relevez la politique par paliers — none → quarantine → reject. Oui → vous êtes à l'Étape 5 — Appliqué. Votre prochaine action : la couche de renforcement — couverture np=, MTA-STS et TLS-RPT — plus une supervision continue. C'est l'Étape 6.

Cinq « oui », le renforcement en place, et quelqu'un qui surveille encore les rapports ? C'est l'Étape 6 — Renforcé. La démarche y consiste à s'y maintenir : de nouveaux expéditeurs apparaissent, les fournisseurs changent d'adresses IP, les configurations se dégradent. Pas sûr d'une réponse ? Lancez la vérification gratuite — elle règle les questions 1, 2, 3 et 5 à partir de votre DNS en direct en moins d'une minute, en toute confidentialité.

Les classements et le rapport mensuel

Analyses approfondies

Vous voulez savoir où se situe votre domaine ? Lancer la vérification gratuite → — confidentiel ; nous ne montrons jamais la note d'un domaine qu'à son propriétaire vérifié.

Comment nous notons → · Données agrégées uniquement ; nous ne publions jamais la note d'un domaine individuel.