DMARC à p=reject : la dernière étape que la plupart des PME sautent

SPF et DKIM sont bien configurés, DMARC est sur p=none — et ça reste coincé là. Comment passer en toute sécurité à quarantine puis reject, sans que vos factures atterrissent dans les spams.

Beaucoup de PME ont correctement franchi les premières étapes de la sécurité e-mail : SPF est en place, DKIM signe les messages sortants, et DMARC est activé. Mais presque toujours, il reste bloqué sur p=none. Cela signifie : on mesure, mais il ne se passe rien. N'importe qui peut encore envoyer un e-mail en votre nom, et il sera bien remis au destinataire.

La dernière étape — passer DMARC à p=quarantine puis à p=reject — est souvent repoussée par crainte que les « vrais » e-mails n'arrivent plus. C'est compréhensible, mais inutile. Dans cet article, nous vous expliquons comment franchir cette étape en toute sécurité.

Petit rappel : à quoi sert DMARC ?

DMARC indique aux serveurs de messagerie destinataires ce qu'ils doivent faire avec les e-mails qui prétendent provenir de votre domaine, mais ne sont pas couverts par SPF ou DKIM. Trois options :

• p=none : ne rien faire, seulement rapporter. Bon pour commencer, mauvais pour rester.
• p=quarantine : les e-mails suspects atterrissent dans les spams.
• p=reject : les e-mails suspects sont refusés, ils n'arrivent nulle part.

Tant que vous êtes sur none, des escrocs peuvent toujours abuser de votre domaine pour envoyer du phishing à vos clients. Et ces clients voient bel et bien votre nom dans l'expéditeur.

Pourquoi tout le monde reste bloqué sur p=none ?

Trois raisons que nous rencontrons en pratique :

1. Des expéditeurs inconnus. Votre outil marketing, votre logiciel de comptabilité, votre système RH et votre CRM envoient tous des e-mails au nom de votre domaine. Certains ne figurent pas dans SPF ou ne signent pas avec DKIM.
2. Des rapports DMARC illisibles. Les rapports XML qui arrivent sur votre adresse rua ne sont pas vraiment lisibles à l'œil nu.
3. La peur de la coupure. Personne ne veut être le premier à expliquer pourquoi le devis n'est pas arrivé.

Étape 1 : laissez tourner p=none et lisez les rapports

Avant de changer quoi que ce soit, vous devez savoir quels systèmes envoient des e-mails au nom de votre domaine. Configurez un enregistrement DMARC avec p=none et une adresse rua pour recevoir les rapports. Laissez tourner au minimum 2 à 4 semaines.

Les rapports arrivent en XML, un par fournisseur de messagerie destinataire par jour. Les lire manuellement n'est pas envisageable. Il existe des tableaux de bord DMARC gratuits et payants qui rendent ces XML exploitables. L'essentiel : repérez les expéditeurs qui vous appartiennent mais dont SPF/DKIM n'est pas encore correctement configuré. C'est eux qu'il faut corriger en premier.

Étape 2 : corrigez les expéditeurs légitimes non conformes

Les coupables les plus fréquents :

• Mailchimp, Brevo, ActiveCampaign et autres outils marketing : nécessitent généralement leurs propres enregistrements DKIM.
• Les logiciels de comptabilité qui envoient des factures depuis votre nom de domaine.
• Microsoft 365 Direct Send depuis des imprimantes, scanners et applications métier.
• Des tiers externes (agence de communication, recruteur) qui envoient des e-mails « en votre nom » — à reconsidérer de toute façon.

Pour chaque expéditeur légitime : ajoutez-le à votre enregistrement SPF ou configurez DKIM. Vérifiez ensuite à nouveau les rapports. S'ils sont propres — seuls des expéditeurs inconnus et clairement malveillants subsistent — vous pouvez continuer.

Étape 3 : progresser vers reject par paliers

Ne passez pas d'un coup de none à reject. Procédez par phases :

1. p=quarantine avec pct=25 : 25 % des e-mails suspects vont dans les spams. Surveiller pendant une semaine.
2. p=quarantine avec pct=100 : tous les e-mails suspects dans les spams. Surveiller pendant deux semaines.
3. p=reject avec pct=100 : objectif final.

À chaque étape, consultez les rapports et restez à l'écoute de votre organisation. Des plaintes signalant des e-mails non reçus ? C'est généralement un expéditeur oublié que vous pouvez alors corriger.

N'oubliez pas vos sous-domaines

Une erreur fréquente : votreentreprise.fr est sur p=reject, mais mail.votreentreprise.fr ou newsletter.votreentreprise.fr n'ont pas leur propre enregistrement. Le tag sp= vous permet de définir la politique pour les sous-domaines. Par défaut, ils héritent de la politique du domaine principal, mais soyez explicite à ce sujet.

Et si vous avez des domaines qui n'envoient jamais d'e-mails — par exemple un ancien nom de domaine que vous conservez ? Mettez-y directement p=reject avec un SPF vide (v=spf1 -all). Ce sont eux qui sont le plus souvent détournés.

Ce que vous y gagnez

Avec DMARC sur reject :

• Personne ne peut plus envoyer de phishing depuis votre nom de domaine exact.
• La délivrabilité de vos e-mails légitimes augmente (Gmail et Yahoo exigent DMARC pour les expéditeurs en masse depuis 2024).
• Vous répondez à une exigence de plus en plus présente dans les contrats fournisseurs et dans le contexte NIS2.

Ce que cela ne bloque pas : les domaines sosies (votreentreprise.fr avec une faute de frappe). Pour cela, d'autres mesures sont nécessaires. Mais verrouiller le domaine exact, c'est un 80/20 honnête et efficace.

Passez à l'action

Vous voulez savoir où en est votre domaine et quelles étapes vous conviennent ? Nous réalisons un audit complet de SPF, DKIM et DMARC et vous accompagnons dans la transition progressive vers p=reject, sans que vos factures ne soient perdues en chemin.