Retour au blog
DMARCEmail ProtectionEntreprisePMESMEAnti-spoofing

Protection email entreprise avec DMARC : le guide complet pour les PME

SC
ExpertCyberScore
2 juillet 2026·8 min de lecture

DMARC : la protection email la plus efficace pour les entreprises

Si vous ne deviez implémenter qu'une seule mesure de protection email pour votre entreprise, ce serait DMARC — et avec la bonne politique.

DMARC (Domain-based Message Authentication, Reporting and Conformance) est le mécanisme qui détermine si les emails envoyés depuis votre domaine sont légitimes ou frauduleux — et ce que les serveurs destinataires doivent faire de ceux qui échouent à l'authentification.

Sans DMARC en mode reject, n'importe qui peut envoyer un email semblant provenir de @votreentreprise.fr — et la plupart des serveurs le délivreront directement en boîte de réception.

Comment DMARC protège l'email de votre entreprise

DMARC ne fonctionne pas seul. Il s'appuie sur SPF et DKIM, qui sont ses deux "témoins" :

  • SPF confirme que le serveur expéditeur est autorisé à envoyer pour votre domaine
  • DKIM vérifie que l'email n'a pas été altéré et qu'il provient bien d'un serveur autorisé

DMARC lit les résultats de ces deux vérifications et applique votre politique :

1. Les deux passent → l'email est délivré normalement

2. L'un ou les deux échouent → DMARC applique votre politique (none, quarantine, ou reject)

C'est cette capacité de faire appliquer une décision qui rend DMARC indispensable. SPF et DKIM seuls ne suffisent pas — sans DMARC, même des enregistrements SPF et DKIM parfaits ne bloquent pas l'usurpation.

Les trois politiques DMARC et quand les utiliser

`p=none` : mode surveillance

v=DMARC1; p=none; rua=mailto:dmarc@votredomaine.fr

Ce que ça fait : Tous les emails sont délivrés, quels que soient les résultats SPF et DKIM. Vous recevez des rapports agrégés quotidiens.

Quand l'utiliser : Uniquement lors de la phase d'implémentation initiale, pour comprendre vos flux email légitimes avant de passer à une politique plus stricte. Ne laissez jamais votre entreprise en `p=none` à long terme.

Durée recommandée : 1 à 2 semaines maximum.

`p=quarantine` : protection partielle

v=DMARC1; p=quarantine; rua=mailto:dmarc@votredomaine.fr; pct=100

Ce que ça fait : Les emails qui échouent à l'authentification DMARC vont dans le dossier spam au lieu de la boîte de réception. C'est une protection réelle, mais les emails frauduleux restent accessibles aux destinataires.

Quand l'utiliser : Étape intermédiaire, après avoir vérifié avec les rapports p=none que vos emails légitimes passent bien l'authentification.

Durée recommandée : 2 à 4 semaines avant de passer à reject.

`p=reject` : protection complète

v=DMARC1; p=reject; rua=mailto:dmarc@votredomaine.fr; pct=100

Ce que ça fait : Les emails qui échouent à l'authentification DMARC sont rejetés par les serveurs destinataires. Ils n'arrivent jamais dans aucune boîte — ni spam, ni corbeille.

C'est le niveau de protection email enterprise recommandé pour toutes les PME établies.

Déployer DMARC pas à pas

Étape 1 : Vérifier que SPF et DKIM sont en place

Avant d'activer DMARC, assurez-vous que :

  • Votre enregistrement SPF liste tous vos expéditeurs légitimes
  • DKIM est configuré et les emails sortants sont bien signés

Vous pouvez vérifier tout cela en 60 secondes avec un scan ExpertCyberScore gratuit.

Étape 2 : Créer l'enregistrement DMARC initial

Dans votre gestionnaire DNS (chez votre registraire ou hébergeur), créez un enregistrement TXT :

  • Nom : `_dmarc.votredomaine.fr`
  • Valeur : `v=DMARC1; p=none; rua=mailto:votre@email.fr`

Remplacez votre@email.fr par une adresse que vous consultez régulièrement — vous y recevrez les rapports agrégés quotidiens.

Étape 3 : Analyser les rapports pendant 1-2 semaines

Les rapports DMARC (format XML) montrent :

  • Quels serveurs envoient des emails pour votre domaine
  • Si ces envois passent SPF et DKIM
  • Le volume d'emails légitimes vs. suspects

Des outils comme Google Postmaster Tools ou des parsers DMARC en ligne peuvent rendre ces rapports lisibles.

Étape 4 : Passer à `p=quarantine`

Une fois que vous avez confirmé que vos emails légitimes passent bien (score DMARC > 95 %), modifiez l'enregistrement :

v=DMARC1; p=quarantine; rua=mailto:votre@email.fr; pct=100

Étape 5 : Passer à `p=reject` (objectif final)

Après 2 à 4 semaines supplémentaires sans problème, passez à la protection complète :

v=DMARC1; p=reject; rua=mailto:votre@email.fr; pct=100

Votre domaine est maintenant protégé contre l'usurpation email.

Les erreurs courantes dans le déploiement DMARC

Erreur 1 : Rester en `p=none` indéfiniment

C'est l'erreur la plus répandue. p=none ne protège rien. Des mois ou des années passent, et le domaine reste vulnérable alors que le dirigeant pense avoir "configuré DMARC".

Erreur 2 : Oublier d'inclure les services d'envoi tiers dans SPF

Si vous utilisez Mailchimp, Sendinblue, HubSpot ou tout autre outil d'emailing, leurs serveurs doivent être inclus dans votre SPF avant de passer en p=reject. Sinon, vos emails marketing seront rejetés.

Erreur 3 : Ne pas surveiller les rapports

Les rapports DMARC sont une mine d'informations. Ils révèlent :

  • Des tentatives d'usurpation de votre domaine
  • Des services oubliés qui envoient en votre nom
  • Des problèmes de configuration SPF/DKIM passés inaperçus

Ne les ignorez pas.

Erreur 4 : Un seul enregistrement DMARC par sous-domaine

Si vous utilisez des sous-domaines pour envoyer (ex. noreply@newsletter.votreentreprise.fr), chaque sous-domaine a besoin de sa propre configuration ou d'une politique DMARC héritée via sp=.

Vérifiez votre protection DMARC maintenant

Votre DMARC est-il en place ? Est-il en p=reject ou encore vulnérable en p=none ? Un scan gratuit sur ExpertCyberScore vous donne la réponse en 60 secondes — avec votre score de sécurité email complet et les actions prioritaires à mener.

Protégez l'email de votre entreprise maintenant avec ExpertCyberScore. Audit gratuit, résultats instantanés, aucune inscription.

Testez votre domaine maintenant

Vérifiez votre configuration en 60 secondes — gratuitement.

Scanner mon domaine