Defaults.Exposed › Configuration › DMARC

Comment configurer DMARC avec Google Workspace

Ajoutez un enregistrement DMARC dans votre DNS pour indiquer aux destinataires que faire des e-mails qui échouent à vos contrôles SPF et DKIM.

Pourquoi c’est important pour votre activité

DMARC est la règle qui relie SPF et DKIM. Elle indique aux serveurs de messagerie destinataires ce qu’ils doivent faire quand un e-mail prétendant venir de votre domaine échoue à ces contrôles — l’ignorer, l’envoyer en indésirable ou le refuser carrément — et elle peut vous envoyer des rapports montrant qui envoie (et qui falsifie) du courrier en votre nom. En clair : DMARC est ce qui empêche réellement des escrocs d’usurper votre domaine pour arnaquer vos clients et vos collaborateurs. C’est gratuit, et cela transforme SPF et DKIM d’un « c’est mieux d’en avoir » en une vraie protection.

Faites SPF et DKIM d’abord

DMARC dépend de SPF et DKIM. Mettez-les en place avant DMARC, ou en même temps. Un enregistrement DMARC seul — sans SPF/DKIM fonctionnels — peut faire bloquer vos propres e-mails légitimes. Commencez en douceur (voir la note sur la règle ci-dessous) et durcissez progressivement.

Important : où cela se fait

Comme SPF, DMARC est un enregistrement DNS, et non un réglage à l’intérieur de la console d’administration Google. Google Workspace gère votre messagerie, mais l’enregistrement DMARC s’ajoute là où réside le DNS de votre domaine — votre registraire, votre hébergeur web, Cloudflare, ou qui que ce soit qui contrôle vos serveurs de noms. Il n’y a rien à activer dans Google pour DMARC ; le rôle de Google se limite au fait que des SPF et DKIM fonctionnels (configurés séparément) sont ce sur quoi DMARC s’appuie.

D’abord : quelle société gère votre DNS ?

Un enregistrement DMARC ne fonctionne que s’il est ajouté là où pointent les serveurs de noms de votre domaine. Si vous n’êtes pas sûr, regardez la section Nameservers dans votre compte registraire, ou demandez à la personne qui a configuré votre site web. Ajoutez l’enregistrement dans les paramètres DNS de cette société (cherchez DNS / Records / Advanced DNS).

Ce que vous allez ajouter

Un seul enregistrement TXT sur un nom d’hôte particulier : _dmarc.

Une valeur de départ sûre, qui ne fait que surveiller et ne bloque jamais rien, est :

v=DMARC1; p=none; rua=mailto:[email protected]

• p=none = surveillance seule ; rien n’est encore bloqué. Idéal pour les premières semaines.
• rua=mailto:... = où sont envoyés les rapports de synthèse. Utilisez une vraie boîte que vous consultez.
• Une fois que vous avez confirmé (via les rapports et le contrôle gratuit) que votre courrier légitime passe, vous pouvez durcir la règle vers p=quarantine (échecs en indésirables) puis plus tard p=reject (refus pur et simple des échecs).

Étapes

1. Connectez-vous à votre hébergeur DNS (votre registraire, votre hébergeur web ou votre fournisseur DNS — pas la console d’administration Google).
2. Ouvrez les paramètres DNS de votre domaine (cherchez DNS / Records / Advanced DNS).
3. Ajoutez un nouvel enregistrement et choisissez TXT.
4. Dans le champ Name / Host, saisissez exactement _dmarc (avec le tiret bas en tête). Ne saisissez pas _dmarc.votredomaine.com — l’hébergeur DNS ajoute votre domaine automatiquement.
5. Dans le champ Value, collez votre chaîne DMARC, par ex. v=DMARC1; p=none; rua=mailto:[email protected] (remplacez l’e-mail par une vraie adresse que vous surveillez).
6. Laissez le TTL sur la valeur par défaut.
7. Enregistrez.

Pièges courants

• Ce n’est pas dans la console d’administration Google. Les gens cherchent « DMARC » dans les réglages de Google — il n’y est pas. Il appartient à votre hébergeur DNS.
• Le nom d’hôte est _dmarc, avec le tiret bas. Oublier le tiret bas, ou saisir le domaine complet après, place l’enregistrement au mauvais endroit et DMARC ne sera pas trouvé.
• Attention aux guillemets. Collez la valeur brute ; la plupart des hébergeurs DNS ajoutent les guillemets pour vous. Ne l’entourez pas vous-même de "...".
• Un seul enregistrement DMARC. Il ne doit y avoir qu’un seul enregistrement TXT sur _dmarc. Si l’un existe déjà, modifiez-le au lieu d’en ajouter un second.
• Commencez par p=none. Passer directement à p=reject avant que SPF/DKIM soient solides peut bloquer vos propres factures et devis. Surveillez d’abord, durcissez ensuite.
• Utilisez une vraie boîte de réception pour les rapports. L’adresse rua doit être une boîte où vous pouvez réellement recevoir.
• Laissez du temps. Les changements DNS peuvent prendre de quelques minutes à deux heures pour être pris en compte partout.

Vérifiez que ça a marché

Une fois enregistré, confirmez que votre enregistrement DMARC est actif et cohérent avec le contrôle gratuit de Defaults.Exposed. Saisissez votre domaine et il vous dira en langage clair si DMARC est correctement configuré et quoi faire ensuite. Vos données sont traitées dans l’UE.

Terminé ? Vérifiez votre domaine gratuitement pour confirmer que cela a fonctionné — et voir votre note complète sur les 34 contrôles.