Authentification e-mail
Analyseur DMARC
Inspectez le record DMARC, la politique, l’alignement, les rapports et les avertissements.
Comment utiliser l'outil
- Saisissez le domaine expéditeur visible dans l’en-tête From, par exemple example.com, sans protocole, chemin ni préfixe de boîte mail. DN01 normalise le nom, rejette les hôtes mal formés ou restreints et utilise le domaine enregistrable comme cible de requête. Si un sous-domaine envoie avec sa propre infrastructure, lancez une vérification séparée : la politique DMARC se publie sur le domaine organisationnel visible par les destinataires.
- DN01 effectue une requête DNS TXT en direct sur `_dmarc.<domaine>` avec un délai résolveur de cinq secondes et enregistre la durée. Le backend sélectionne la première chaîne TXT commençant par `v=DMARC1`, découpe les tags séparés par point-virgule et mappe `p`, `sp`, `pct`, `rua`, `ruf`, `adkim` et `aspf` en champs structurés. L’absence d’enregistrement ou un échec DNS est renvoyé comme diagnostic, pas comme erreur HTTP, pour que vous obteniez toujours une fiche lisible.
- Examinez la politique analysée (`none`, `quarantine` ou `reject`), la politique sous-domaines, le pourcentage `pct`, les URI de rapports agrégés `rua`, les rapports forensiques `ruf`, les modes d’alignement DKIM et SPF, l’inventaire des tags et le TXT brut tel que les résolveurs le voient. Regardez `found` et `valid` : un enregistrement peut exister mais être invalide si des tags obligatoires manquent, la politique est inconnue, `pct` est hors plage ou des noms de tag sont dupliqués.
- Utilisez les panneaux erreurs, avertissements et recommandations pour décider du prochain changement DNS. DN01 alerte sur `p=none` en simple surveillance, application partielle quand `pct` est inférieur à 100, `rua` absent et alignement relâché par défaut. Si le rapport semble incomplet, ouvrez DKIM Validator et DNS Checker sur le même domaine pour confirmer que SPF et DKIM peuvent s’aligner sur le domaine From avant `quarantine` ou `reject`.
Ce que montre le résultat
Le résultat sépare les signaux importants pour ce contrôle.
| Champ | Rôle | Exemple |
|---|---|---|
| Domaine | Domaine enregistrable normalisé soumis à l’analyseur. | example.com |
| Nom de requête | Nom DNS TXT exact interrogé par le résolveur. | _dmarc.example.com |
| Found | Indique si un TXT commençant par v=DMARC1 a été renvoyé. | true |
| Valid | Indique si l’enregistrement a été analysé sans erreur bloquante. | false |
| p= | Politique organisationnelle pour le courrier en échec DMARC. | quarantine |
| sp= | Politique pour les sous-domaines si différente de p=. | reject |
| pct= | Pourcentage de messages en échec concernés par la politique. | 100 |
| rua= | Destinations de rapports agrégés séparées par des virgules. | mailto:[email protected] |
| ruf= | Destinations de rapports forensiques si publiées. | mailto:[email protected] |
| adkim= / aspf= | Alignement strict (s) ou relâché (r) pour DKIM et SPF. | adkim=r; aspf=s |
| Enregistrement brut | Chaîne TXT renvoyée par DNS sans modification. | v=DMARC1; p=none; rua=mailto:[email protected] |
| Errors / Warnings / Recommendations | Diagnostics actionnables générés à partir des tags. | rua manquant; passer à quarantine après revue des rapports |
Quand ce contrôle aide
Vous préparez un passage de la surveillance à l’application et devez savoir si l’enregistrement publié résistera à l’évaluation des récepteurs. Le marketing envoie via un CRM, le produit via un prestataire transactionnel et la finance via un relais local. Avant de monter `p` de `none` à `quarantine`, DN01 indique si le TXT sur `_dmarc.example.com` est syntaxiquement valide, si des tags dupliqués invalident l’enregistrement et si `pct` limite déjà l’application. Cette unique publication DNS est ce que des milliards de boîtes mail évaluent ; une faute dans `p=` ou un second TXT DMARC peut affaiblir la protection sur tous les canaux.
Les tickets de délivrabilité incriminent souvent DMARC alors que SPF passe seul. Un message peut avoir un SPF valide et échouer DMARC quand envelope From, header From et domaine signataire DKIM ne s’alignent pas selon `aspf` et `adkim`. DN01 affiche les modes d’alignement : sans tags, il suppose le mode relâché (`r`) et avertit que les récepteurs peuvent accepter des correspondances de domaine plus larges que prévu. Croisez le résultat avec DKIM Validator et DNS Checker.
Les équipes sécurité utilisent DMARC comme contrôle anti-usurpation pour domaines dirigeants, portails partenaires et marques similaires. Si `_dmarc` est absent, DN01 renvoie un diagnostic clair — `no DMARC record found at _dmarc.<domain>` — et recommande de publier `v=DMARC1` avec une politique initiale. Ce n’est pas une panne outil ; c’est l’état que voient les récepteurs quand le phishing peut réutiliser votre domaine sans politique de rejet publiée.
Les MSP passent en revue DMARC sur des dizaines de zones clients lors d’onboarding ou renouvellements. Les `dig` manuels ne passent pas à l’échelle quand il faut comparer `sp` et `p`, vérifier les boîtes de rapports et repérer un `pct` invalide. DN01 renvoie un rapport cohérent avec durée, inventaire de tags et recommandations pour les tickets. La page SEO de résultat par domaine offre aux parties prenantes un lien stable sur la publication actuelle.
Les architectures à sous-domaines multiples — `news.example.com`, `billing.example.com`, `eu.example.com` — dépendent de `sp=` quand les zones filles envoient avec leur propre SPF et DKIM. Sans `sp`, les récepteurs appliquent `p` aux sous-domaines, ce qui surprend les équipes qui croyaient la zone isolée. DN01 montre les deux valeurs et signale les politiques sous-domaine invalides comme les politiques organisationnelles.
Les questionnaires conformité demandent des preuves de maturité en authentification mail, pas seulement des cases cochées. Les auditeurs veulent savoir si le reporting agrégé (`rua`) est configuré, si l’application est partielle (`pct` inférieur à 100) et si l’enregistrement est valide aujourd’hui. DN01 répond depuis le DNS live, conserve le TXT brut et sépare erreurs dures et avertissements.
Après une vague d’usurpation, la réponse à incident commence souvent par « DMARC manquant ou cassé ? ». Quand plusieurs TXT sur `_dmarc` contiennent plus d’un fragment `v=DMARC1`, les récepteurs peuvent traiter la configuration comme invalide. DN01 choisit le premier enregistrement correspondant mais signale les tags dupliqués dans une même chaîne. Revérifiez après le TTL et validez les signatures via DKIM Validator avant de revenir à `reject`.
Que vérifier si le résultat semble incorrect
Si DN01 signale l’absence de DMARC, interrogez `_dmarc.votredomaine.tld` spécifiquement, pas le TXT racine où vit SPF. Beaucoup d’équipes publient SPF à l’apex et supposent que DMARC s’y trouve aussi. Confirmez l’enregistrement sur tous les NS autoritaires après migration DNS ; des délégations obsolètes font qu’un résolveur voit `v=DMARC1` et un autre NXDOMAIN.
Quand `valid` est faux avec `found` true, lisez d’abord le tableau d’erreurs. Tags `p=` dupliqués, politiques inconnues, `pct` non entier ou hors 0–100 invalident l’enregistrement. Supprimez les doublons dans le panneau DNS, gardez un seul TXT point-virgule et évitez de scinder DMARC en plusieurs TXT sans concaténation correcte.
Les avertissements sur `p=none`, `rua` absent ou alignement relâché décrivent une exposition, pas toujours des échecs actuels. `p=none` surveille sans demander quarantaine ou rejet. Sans `rua`, vous ne recevrez pas les rapports XML agrégés. Si l’alignement relâché est mentionné, décidez si vous avez besoin de `adkim=s` ou `aspf=s` avant `reject`.
Si le DNS live diffère du tableau registrar, comparez le champ brut à `dig +short TXT _dmarc.domaine`. Caches, anycast régional et imports partiels trompent les dashboards. DN01 interroge au moment de la requête ; conservez le TXT brut comme preuve externe.
Si le courrier légitime échoue après durcissement, DMARC peut être correct tandis que SPF ou DKIM ne le sont pas. Utilisez DNS Checker pour les includes SPF et DKIM Validator pour sélecteurs et expiration des clés. `pct=50` rend les échecs aléatoires ; DN01 avertit quand pct est inférieur à 100.
Comment interpréter le résultat
DMARC s’appuie sur SPF et DKIM. SPF valide le chemin enveloppe ; DKIM la signature cryptographique ; DMARC demande si l’un s’aligne sur le domaine visible dans From et quoi faire si les deux échouent. DN01 n’envoie pas de mail ni n’évalue des messages individuels : il inspecte la politique DNS qui indique aux récepteurs comment traiter le trafic non aligné. Associez-le donc à DKIM Validator et DNS Checker.
Le tag `p=` est obligatoire. Les politiques doivent être `none`, `quarantine` ou `reject` ; toute autre valeur est marquée invalide. `none` convient à la surveillance initiale mais DN01 avertit qu’il ne bloque pas les échecs. `quarantine` envoie généralement les échecs en spam ; `reject` demande de rejeter les messages. L’escalade doit s’appuyer sur les rapports `rua`.
`pct` limite la fraction de messages en échec concernés. Des valeurs sous 100 signifient une application partielle, utile en déploiement progressif mais déroutante au debug. DN01 parse `pct` comme entier et erreur si hors 0–100. La plupart des marques finissent à `pct=100` avec des rapports propres.
Les rapports agrégés vont vers les URI `rua`, souvent des `mailto:` enregistrés chez votre processeur. DN01 liste les destinations séparées par virgules et avertit si `rua` manque. Les rapports forensiques `ruf` sont optionnels et sensibles ; beaucoup omettent `ruf`. L’analyseur affiche les deux s’ils sont publiés.
`adkim` et `aspf` contrôlent la correspondance stricte (`s`) ou relâchée (`r`). S’ils manquent, DN01 suppose relâché et avertit que les récepteurs peuvent accepter des combinaisons apex/sous-domaine non voulues. Les modes stricts sont courants avant `reject`.
Valide dans DN01 signifie absence d’erreurs de parse bloquantes au moment du contrôle. Un enregistrement de surveillance avec `p=none` et sans `rua` peut être found avec avertissements. Traitez `valid=false` comme défaut DNS bloquant jusqu’à correction.
Flux recommandé
- Lancez DMARC Analyzer sur le domaine apex visible dans les From clients.
- En cas d’erreurs, corrigez la syntaxe TXT, supprimez les tags dupliqués et ne gardez qu’une publication sur `_dmarc`.
- Ouvrez DKIM Validator pour les sélecteurs actifs et DNS Checker pour les includes SPF devant s’aligner sur From.
- Publiez ou mettez à jour `rua`, collectez les rapports agrégés, puis montez la politique de `none` vers `quarantine` et `reject` avec `pct=100`.
- Relancez DN01 après le TTL et joignez la page de résultat aux tickets ou preuves de conformité.
Outil ou vérification manuelle
`dig TXT _dmarc.example.com` montre vite les chaînes brutes, mais l’interprétation reste manuelle. Il faut savoir qu’un `p=` dupliqué invalide l’enregistrement, que `sp` gouverne les sous-domaines et que sans `rua` il n’y a pas de reporting. DN01 encode ces règles et renvoie des recommandations en un passage.
DNS Checker sur DN01 affiche tous les TXT de la zone, utile quand SPF, DKIM et jetons de vérification coexistent. Il ne score pas le risque de politique ni l’application partielle de `pct`. Utilisez DNS Checker pour le contexte zone ; DMARC Analyzer pour la politique sur `_dmarc`.
Les rapports XML agrégés en boîte mail montrent l’historique d’envoi, mais arrivent avec retard et reflètent le passé. Ils ne prouvent pas la publication DNS actuelle après changement urgent. DN01 répond en secondes sur la publication live.
Les consoles DMARC hébergées offrent des tableaux de bord, mais les auditeurs externes ont besoin d’un lookup neutre du TXT visible sur internet. DN01 est indépendant de la boîte de rapports et fonctionne même sans `rua`.
Les validateurs TXT génériques n’appliquent pas toujours les règles DMARC. DN01 utilise le même parser Go que l’API de production ; SEO et API partagent la validation de `p`, `sp`, `pct`, doublons et défauts d’alignement.
Les inventaires tableur vieillissent dès qu’une édition DNS arrive. Une URL de résultat DN01 donne au support une instantanée actuelle avec nom de requête, enregistrement brut et durée.
Pourquoi utiliser DN01
- Requête TXT live sur `_dmarc.<domaine>` avec domaine normalisé et durée résolveur.
- Analyse p, sp, pct, rua, ruf, adkim et aspf avec validation des doublons et politiques.
- Erreurs, avertissements et recommandations ; absence d’enregistrement = diagnostic, pas échec HTTP.
- Conçu pour fonctionner avec DKIM Validator et DNS Checker dans les revues SPF/DKIM/DMARC.
FAQ
FAQ sur l'analyseur DMARC
TXT sur _dmarc, politiques, alignment, adresses de rapports et durcissement progressif.
Qu'est-ce qu'un enregistrement DNS DMARC ?
DMARC est publié en TXT sur _dmarc.example.com. Il indique aux récepteurs comment traiter le courrier en échec SPF ou DKIM alignment et où envoyer rapports aggregate (rua) ou forensic (ruf).
Que signifient p=none, quarantine et reject ?
p=none surveille seulement: les échecs sont rapportés mais pas bloqués. quarantine envoie le courrier en spam. reject demande de rejeter les messages non authentifiés. On commence souvent par none, analyse rua, puis durcit.
Comment DN01 trouve et valide mon enregistrement DMARC ?
Il interroge _dmarc.votredomaine.com en DNS live, analyse les tags v=DMARC1, valide la syntaxe et signale erreurs fréquentes comme pct invalide ou adresses rua mal formées.
Quel lien entre DMARC, SPF et DKIM ?
SPF et DKIM prouvent des mécanismes individuels. DMARC définit si ces résultats s'alignent sur le domaine From et quoi faire sinon. Confirmez les TXT SPF/DKIM dans DNS Checker et validez les sélecteurs avec validateur DKIM.
Que sont les tags rua et ruf ?
rua liste les adresses pour rapports XML aggregate quotidiens avec volumes pass/fail. ruf demande des échantillons forensic d'échecs individuels. Utilisez une boîte dédiée ou un parseur; rua est essentiel avant de durcir.
DMARC suffit-il à stopper le spoofing ?
DMARC en p=reject avec SPF/DKIM alignés bloque une grande part du spoofing direct, mais domaines lookalike et comptes compromis demandent une surveillance à part. C'est une validation DNS, pas la sécurité complète de la boîte.
Sélecteur d'outil
Continuer avec une autre vérification
Choisissez la prochaine étape de votre flux de travail domaine ou sécurité.
- Validateur DKIMRecherche de sélecteur DKIM et validation de l'enregistrementOuvrir
- Vérificateur DNSTous les types d'enregistrements majeurs en une seule passeOuvrir
- DIGUn type d'enregistrement, réponse style résolveurOuvrir
- IP de domaineAdresses A et AAAA du domaineOuvrir
- Vérificateur d’âge de domaineCréation, âge, registrar et expirationOuvrir
- WHOISBureau d'enregistrement, expiration et statut du domaineOuvrir
- Vérificateur d'en-têtes HTTPEn-têtes de réponse, redirections et mise en cacheOuvrir
- Testeur HTTP/2Support HTTP/2, ALPN et TLSOuvrir
- Vérificateur de certificat SSLChaîne de certificats, SAN et version TLSOuvrir
- Vérificateur de liste noireRéputation DNSBL pour IP et domaineOuvrir
- Convertisseur PunycodeUnicode ↔ Punycode pour les domaines IDNOuvrir
- Découpeur d’URLDécoupe URL et paramètres de requêteOuvrir
- Codec Base64Encoder et décoder du texte Base64Ouvrir
- Générateur de mots de passeMots de passe aléatoires robustes pour le travail opsOuvrir
- Vérificateur de robustesse du mot de passeEntropie, temps de cassage et conseilsOuvrir
- Générateur de phrases secrètesPhrases aléatoires mémorisables pour tests sûrsOuvrir
- BIN CheckerMarque, banque et pays de la carte via BIN/IINOuvrir
- Calculateur IPCalcul de sous-réseau pour CIDR IPv4 et IPv6Ouvrir
- Vérificateur de mise à jour du navigateurVersion du navigateur, mise à jour et Client HintsOuvrir
Articles connexes
Guides pratiques pour les tâches courantes avec Analyseur DMARC — enregistrements DNS, dépannage et liens vers nos outils gratuits.
dmarc policy, p=reject, email authentication
DMARC Policy Explained: none, quarantine, reject
Understand p=, sp=, pct=, and how policy changes affect spoofed mail before you move from monitoring to enforcement.
Lire l'article →dmarc alignment, spf dkim dmarc, email deliverability
DMARC Alignment with SPF and DKIM
Why valid SPF or DKIM can still fail DMARC when envelope, header From, and signing domains do not align.
Lire l'article →dmarc record tags, dmarc syntax, v=DMARC1
DMARC Record Tags and Syntax Operators Should Know
Decode v=DMARC1, p=, sp=, pct=, rua, ruf, fo, aspf, adkim, and common formatting mistakes in TXT records.
Lire l'article →dmarc rua, dmarc ruf, aggregate reports
DMARC Aggregate and Forensic Reports: rua and ruf
How to publish rua and ruf mailto targets, what reports contain, and why forensic reports are often disabled.
Lire l'article →dmarc sp tag, subdomain dmarc policy, sp=reject
DMARC Subdomain Policy sp= for Marketing and Product Hosts
When sp= matters for mail.example.com, how it inherits from p=, and why separate subdomain senders need explicit alignment.
Lire l'article →dmarc reject migration, dmarc enforcement, dmarc rollout
Moving DMARC from p=none to quarantine or reject Safely
A staged rollout using reports, pct= sampling, and alignment fixes before full spoofing protection.
Lire l'article →