Defaults.Exposed › Configuration › DMARC

Comment configurer DMARC chez Cloudflare

Ajoutez un enregistrement DMARC chez Cloudflare pour indiquer aux messageries que faire des e-mails qui échouent à vos contrôles.

Pourquoi c’est important pour votre activité

DMARC relie SPF et DKIM et ajoute l’instruction qui manquait : que doit faire une messagerie destinataire lorsqu’un e-mail prétendant venir de vous échoue aux contrôles ? Sans DMARC, chaque messagerie improvise. Avec DMARC, c’est vous qui décidez — et vous pouvez demander à recevoir des rapports montrant qui envoie du courrier en votre nom.

En clair : DMARC est ce qui empêche réellement des escrocs d’usurper votre domaine pour arnaquer vos clients ou vos collaborateurs. C’est la règle posée par-dessus les serrures que sont SPF et DKIM — gratuite, et qui vaut largement les quelques minutes nécessaires.

Configurez d’abord SPF et DKIM

DMARC fonctionne en vérifiant les résultats de SPF et DKIM. Si vous ne les avez pas encore mis en place, commencez par là — une règle DMARC sans rien en dessous n’a rien à faire appliquer.

Vérifiez que Cloudflare gère votre DNS

Comme pour tout enregistrement DNS, cela ne fonctionne que si Cloudflare répond au DNS de votre domaine. Cloudflare est votre hébergeur DNS, pas votre fournisseur de messagerie, et son DNS n’est actif que si les serveurs de noms de votre domaine pointent vers les serveurs de noms Cloudflare indiqués dans votre tableau de bord. Ouvrez votre domaine dans Cloudflare et regardez la page Overview pour confirmer que Cloudflare est actif. Si vos serveurs de noms pointent ailleurs, ajoutez l’enregistrement DMARC chez le fournisseur qui gère réellement votre DNS.

Étape par étape chez Cloudflare

1. Connectez-vous à Cloudflare et sélectionnez votre domaine.
2. Dans le menu de gauche, allez dans vos paramètres DNS (cherchez DNS / Records).
3. Cliquez sur Add record.
4. Réglez Type sur TXT.
5. Dans le champ Name, saisissez exactement : _dmarc Ne saisissez pas votre nom de domaine après — Cloudflare l’ajoute pour vous.
6. Dans le champ Content, commencez en douceur avec une règle de simple surveillance : v=DMARC1; p=none; rua=mailto:[email protected] Remplacez l’adresse par une boîte que vous consultez vraiment. Cela demande aux messageries de vous envoyer des rapports de synthèse sans encore modifier le traitement d’aucun courrier.
7. Laissez le TTL sur Auto.
8. Cliquez sur Save.

Choisir votre règle (la partie p=)

• p=none — surveillance seule. Rien n’est bloqué ; vous recevez simplement des rapports. Commencez ici.
• p=quarantine — envoie le courrier en échec vers les indésirables/spam.
• p=reject — refuse purement et simplement le courrier en échec (la protection la plus forte).

Laissez p=none quelques semaines, lisez les rapports pour confirmer que tout votre courrier légitime passe, puis montez vers quarantine et enfin reject. Passer directement à reject avant d’avoir vérifié les rapports risque de bloquer vos propres e-mails légitimes.

Pièges courants chez Cloudflare

• Le nom est _dmarc, avec le tiret bas. L’erreur fréquente est d’oublier le tiret bas, ou de saisir _dmarc.votredomaine.com — chez Cloudflare, vous saisissez seulement _dmarc. Le tiret bas en tête est obligatoire ; ne l’omettez pas.
• N’ajoutez pas vos propres guillemets. Collez la valeur brute commençant par v=DMARC1;. Cloudflare gère lui-même les guillemets ; des " ajoutés à la main peuvent casser l’enregistrement.
• Un seul enregistrement DMARC. Comme pour SPF, il ne doit y avoir qu’un seul enregistrement TXT DMARC. Si l’un existe déjà, modifiez-le au lieu d’en ajouter un second.
• Pas de proxy sur un enregistrement TXT. DMARC réside dans un enregistrement TXT, qui n’est jamais relayé par le proxy — il n’y a pas de bascule nuage orange/gris à gérer ici.
• Utilisez une vraie boîte de réception pour les rapports. L’adresse après rua=mailto: doit être une boîte que vous consultez réellement, sinon les rapports sont perdus. Elle peut être sur le même domaine ou un autre.
• Laissez du temps. Les changements DNS peuvent prendre de quelques minutes à deux heures pour être pris en compte.

Vérifiez que ça a marché

Une fois enregistré et propagé, lancez le contrôle gratuit sur ce site. Il vous dira en langage clair si votre enregistrement DMARC est en place et quelle règle vous avez définie.

Terminé ? Vérifiez votre domaine gratuitement pour confirmer que cela a fonctionné — et voir votre note complète sur les 34 contrôles.