Defaults.Exposed › Configuration › DMARC

Comment configurer DMARC avec Microsoft 365

Ajoutez un enregistrement DMARC dans votre DNS pour indiquer aux destinataires que faire des e-mails qui échouent à vos contrôles SPF et DKIM.

Pourquoi c’est important pour votre activité

DMARC est la règle qui relie SPF et DKIM. Elle indique aux serveurs de messagerie destinataires ce qu’ils doivent faire quand un e-mail prétendant venir de votre domaine échoue à ces contrôles — l’ignorer, l’envoyer en indésirable ou le refuser carrément — et elle peut vous envoyer des rapports montrant qui envoie (et qui falsifie) du courrier en votre nom. En clair : DMARC est ce qui empêche réellement des escrocs d’usurper votre domaine pour arnaquer vos clients et vos collaborateurs. C’est gratuit, et cela transforme SPF et DKIM d’un « c’est mieux d’en avoir » en une vraie protection.

Faites SPF et DKIM d’abord

DMARC dépend de SPF et DKIM. Mettez-les en place avant DMARC, ou en même temps. Un enregistrement DMARC seul — sans SPF/DKIM fonctionnels — peut faire bloquer vos propres e-mails légitimes. Commencez en douceur (voir la note sur la règle ci-dessous) et durcissez progressivement.

Important : où cela se fait

Comme SPF, DMARC est un enregistrement DNS, et non un réglage à l’intérieur de Microsoft 365. Microsoft 365 est votre plateforme de messagerie (elle gère les boîtes aux lettres), mais l’enregistrement DMARC s’ajoute là où réside le DNS de votre domaine — votre registraire, votre hébergeur web, Cloudflare, ou qui que ce soit qui contrôle vos serveurs de noms. Si vous laissez Microsoft gérer votre DNS, vous l’ajouteriez dans le centre d’administration Microsoft 365 → Settings → Domains → DNS records ; sinon, il va chez votre hébergeur DNS. Il n’y a pas d’« interrupteur DMARC » distinct dans Microsoft — le rôle de Microsoft se limite au fait que des SPF et DKIM fonctionnels (configurés séparément) sont ce sur quoi DMARC s’appuie.

D’abord : quelle société gère votre DNS ?

Un enregistrement DMARC ne fonctionne que s’il est ajouté là où pointent les serveurs de noms de votre domaine. Si vous n’êtes pas sûr, regardez la section Nameservers dans votre compte registraire, ou demandez à la personne qui a configuré votre site web. Ajoutez l’enregistrement dans les paramètres DNS de cette société (cherchez DNS / Records / Advanced DNS).

Ce que vous allez ajouter

Un seul enregistrement TXT sur un nom d’hôte particulier : _dmarc.

Une valeur de départ sûre, qui ne fait que surveiller et ne bloque jamais rien, est :

v=DMARC1; p=none; rua=mailto:[email protected]

• p=none = surveillance seule ; rien n’est encore bloqué. Idéal pour les premières semaines.
• rua=mailto:... = où sont envoyés les rapports de synthèse. Utilisez une vraie boîte que vous consultez.
• Une fois que vous avez confirmé (via les rapports et le contrôle gratuit) que votre courrier légitime passe, vous pouvez durcir la règle vers p=quarantine (échecs en indésirables) puis plus tard p=reject (refus pur et simple des échecs). Microsoft recommande de tendre vers p=reject une fois que vous êtes sûr de vous.

Étapes

1. Connectez-vous à votre hébergeur DNS (votre registraire, votre hébergeur web ou votre fournisseur DNS — ou le centre d’administration Microsoft 365 si Microsoft gère votre DNS).
2. Ouvrez les paramètres DNS de votre domaine (cherchez DNS / Records / Advanced DNS).
3. Ajoutez un nouvel enregistrement et choisissez TXT.
4. Dans le champ Name / Host, saisissez exactement _dmarc (avec le tiret bas en tête). Ne saisissez pas _dmarc.votredomaine.com — l’hébergeur DNS ajoute votre domaine automatiquement.
5. Dans le champ Value, collez votre chaîne DMARC, par ex. v=DMARC1; p=none; rua=mailto:[email protected] (remplacez l’e-mail par une vraie adresse que vous surveillez).
6. Laissez le TTL sur la valeur par défaut.
7. Enregistrez.

Pièges courants

• Ce n’est pas un réglage de boîte aux lettres. Les gens cherchent « DMARC » dans les réglages de Microsoft 365 — il n’y est pas sous forme de bascule. Il appartient à votre DNS.
• Le nom d’hôte est _dmarc, avec le tiret bas. Oublier le tiret bas, ou saisir le domaine complet après, place l’enregistrement au mauvais endroit et DMARC ne sera pas trouvé.
• Attention aux guillemets. Collez la valeur brute ; la plupart des hébergeurs DNS ajoutent les guillemets pour vous. Ne l’entourez pas vous-même de "...".
• Un seul enregistrement DMARC. Il ne doit y avoir qu’un seul enregistrement TXT sur _dmarc. Si l’un existe déjà, modifiez-le au lieu d’en ajouter un second.
• Commencez par p=none. Passer directement à p=reject avant que SPF/DKIM soient solides peut bloquer vos propres factures et devis. Surveillez d’abord, durcissez ensuite.
• Utilisez une vraie boîte de réception pour les rapports. L’adresse rua doit être une boîte où vous pouvez réellement recevoir.
• Laissez du temps. Les changements DNS peuvent prendre de quelques minutes à deux heures pour être pris en compte partout.

Vérifiez que ça a marché

Une fois enregistré, confirmez que votre enregistrement DMARC est actif et cohérent avec le contrôle gratuit de Defaults.Exposed. Saisissez votre domaine et il vous dira en langage clair si DMARC est correctement configuré et quoi faire ensuite. Vos données sont traitées dans l’UE.

Terminé ? Vérifiez votre domaine gratuitement pour confirmer que cela a fonctionné — et voir votre note complète sur les 34 contrôles.