Lire et analyser ses rapports DMARC : guide complet 2026

À quoi servent les rapports DMARC ?

DMARC (Domain-based Message Authentication, Reporting & Conformance) permet de contrôler qui peut envoyer des emails au nom de votre domaine. Quand vous activez DMARC, les serveurs de messagerie qui reçoivent des emails prétendument issus de votre domaine vous envoient des rapports automatiques.

Ces rapports répondent à une question fondamentale : qui envoie des emails avec mon domaine, et est-ce légitime ? Sans DMARC, des spammeurs ou des hackers peuvent usurper votre identité sans que vous le sachiez jamais.

INFO

Prérequis
Les rapports DMARC ne sont envoyés que si vous avez une entrée DNS TXT _dmarc.votredomaine.com avec un tag rua=mailto:votre@adresse.com. Sans ce tag, vous ne recevez rien.

Les deux types de rapports

Rapports agrégés (RUA)

Les rapports RUA (Reporting URI for Aggregate) sont envoyés quotidiennement par chaque serveur de réception. Ils agrègent toutes les tentatives d'envoi sur 24h et indiquent pour chaque IP source : le volume de messages, les résultats SPF et DKIM, et la disposition appliquée. C'est le rapport le plus courant et le plus utile.

Rapports forensiques (RUF)

Les rapports RUF (Reporting URI for Forensic) sont envoyés pour chaque message qui échoue à l'authentification. Ils contiennent les en-têtes complets du message incriminé. Moins de fournisseurs les envoient (Gmail ne les envoie plus), et ils soulèvent des questions de confidentialité — à activer avec précaution.

Structure d'un rapport RUA

Les rapports arrivent par email, compressés en .zip ou .gz. Une fois décompressé, c'est un fichier XML qui ressemble à ceci :

<feedback>
  <report_metadata>
    <org_name>google.com</org_name>
    <date_range>
      <begin>1704067200</end>
      <end>1704153600</end>
    </date_range>
  </report_metadata>

  <policy_published>
    <domain>votredomaine.com</domain>
    <p>none</p>
    <sp>none</sp>
    <pct>100</pct>
  </policy_published>

  <record>
    <row>
      <source_ip>198.51.100.42</source_ip>
      <count>847</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>pass</spf>
      </policy_evaluated>
    </row>
  </record>
</feedback>

Les champs clés à retenir :

source_ip — l'IP du serveur qui a envoyé les emails
count — le nombre de messages envoyés depuis cette IP sur la période
disposition — ce que le serveur destinataire a fait (none / quarantine / reject)
dkim et spf — le résultat de l'authentification pour chaque protocole

Interpréter les résultats

Cas 1 — Source légitime, tout passe ✓

Si vous voyez votre serveur d'envoi principal (Brevo, SendGrid, Gmail Workspace…) avec dkim=pass et spf=pass, tout est normal. C'est ce que vous voulez voir pour toutes vos sources légitimes.

Cas 2 — Source inconnue avec échecs

Une IP inconnue avec dkim=fail et spf=fail signale une tentative d'usurpation. Avec p=none, ces emails sont quand même livrés — c'est précisément pourquoi on démarre en mode observation avant de passer à quarantine ou reject.

WARN

Volume suspect
Si une IP inconnue envoie des centaines ou milliers de messages avec votre domaine, c'est une campagne de phishing ou spam active. Notez l'IP et passez rapidement à p=quarantine.

Cas 3 — Source légitime avec échec partiel

Votre outil de newsletter passe SPF mais échoue DKIM — ou inversement. DMARC ne bloque pas si l'un des deux passe (alignement). Mais c'est le signal qu'une configuration est incomplète sur cet outil.

Outils pour lire ses rapports DMARC

Le XML brut est illisible au quotidien. Plusieurs outils transforment ces rapports en tableaux de bord exploitables :

dmarcian — outil de référence, version gratuite limitée
Postmark DMARC — gratuit, simple, suffit pour démarrer
Google Postmaster Tools — uniquement pour les envois vers Gmail
MXToolbox DMARC Analyzer — bon pour l'analyse ponctuelle

Ces outils lisent directement votre boîte email dédiée (ex. dmarc@votredomaine.com) et affichent les données de façon visuelle.

Passer de p=none à p=reject

La progression se fait en 3 étapes, et chaque étape nécessite une période d'observation d'au moins 2-4 semaines.

Étape 1 — Observation (p=none)

v=DMARC1; p=none; rua=mailto:dmarc@votredomaine.com; ruf=mailto:dmarc@votredomaine.com; fo=1

Identifiez toutes les sources légitimes. Assurez-vous que SPF et DKIM passent pour chacune d'elles.

Étape 2 — Quarantaine (p=quarantine)

v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@votredomaine.com

Démarrez avec pct=25 (25% des messages non conformes vont en spam). Augmentez progressivement vers 100 en surveillant les rapports. Si un outil légitime se retrouve en spam, corrigez sa configuration avant de continuer.

Étape 3 — Rejet (p=reject)

v=DMARC1; p=reject; rua=mailto:dmarc@votredomaine.com; adkim=s; aspf=s

Avec p=reject, les emails non conformes sont bloqués avant même d'arriver dans le spam. C'est le niveau de protection maximal. Les tags adkim=s et aspf=s passent en alignement strict.

Combien de temps pour arriver à p=reject ?
Comptez 6 à 12 semaines si vous partez de zéro. La principale cause de blocage : un outil tiers (newsletter, CRM, ticketing) dont DKIM n'est pas configuré. Inventoriez tous vos outils d'envoi avant de commencer.

Vérifier l'état DMARC de votre domaine

Wezea analyse votre configuration DMARC en quelques secondes : politique appliquée, tags RUA/RUF présents, alignement SPF et DKIM, et recommandations pour progresser vers p=reject.

Quel est le niveau DMARC de votre domaine ?

→ Analyser mon DMARC gratuitement