DMARC

DMARC (Domain-based Message Authentication, Reporting, and Conformance) est un protocole d'authentification de messagerie qui s'appuie sur deux normes antérieures : SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail). Là où SPF vérifie le serveur d'envoi et DKIM vérifie l'intégrité du message, DMARC les relie en permettant aux propriétaires de domaine de publier un enregistrement DNS qui indique aux serveurs de messagerie destinataires quoi faire lorsqu'un message échoue à l'une de ces vérifications ou aux deux. DMARC introduit également un mécanisme de rapport, en renvoyant des rapports XML aux propriétaires de domaine pour qu'ils puissent surveiller l'utilisation non autorisée de leur domaine dans les en-têtes des e-mails.

L'e-mail reste le canal principal pour partager des liens de publication, envoyer des notifications de prospects et transmettre des messages transactionnels. Sans DMARC, des attaquants peuvent falsifier le nom de ton domaine dans le champ « De » d'e-mails de phishing, faisant croire que des messages frauduleux proviennent de ton organisation. Cela nuit à la confiance envers la marque et met tes contacts en danger. Une politique DMARC correctement configurée demande aux serveurs destinataires de mettre en quarantaine ou de rejeter les messages non authentifiés, bloquant les e-mails usurpés avant qu'ils n'atteignent les boîtes de réception. Pour les éditeurs qui distribuent des liens de flipbook par e-mail, DMARC améliore aussi la délivrabilité — les fournisseurs de messagerie comme Gmail et Outlook accordent un traitement préférentiel aux domaines dotés d'enregistrements DMARC valides.

L'infrastructure de messagerie de FlipLink est conçue pour passer la validation DMARC d'emblée. Lorsque FlipLink envoie des notifications de prospects, des liens de partage de publication ou des messages via les [modèles d'e-mail](/features/email-templates), ces e-mails respectent à la fois les exigences SPF et DKIM. Si tu utilises un domaine d'envoi personnalisé, tu publies un enregistrement DMARC dans ton DNS qui définit ta politique et une adresse de rapport. Les pratiques d'envoi de FlipLink sont conformes à ta politique DMARC, de sorte que les e-mails légitimes passent la validation tandis que les frauduleux sont interceptés par les serveurs destinataires. Cela signifie que tes e-mails de partage de flipbook, tes alertes de prospects et tes notifications automatisées atteignent leurs destinataires de manière fiable, sans être signalés comme spam ni rejetés.

Un enregistrement DMARC est une entrée TXT dans le DNS de ton domaine. Les balises clés sont notamment : `v=DMARC1` (version), `p=` (politique : none, quarantine ou reject), `rua=` (adresse des rapports agrégés), `ruf=` (adresse des rapports forensiques), `pct=` (pourcentage de messages auxquels la politique s'applique) et `adkim=`/`aspf=` (mode d'alignement, strict ou souple). L'alignement est le concept essentiel — DMARC vérifie si le domaine de l'en-tête « De » correspond au domaine authentifié par SPF (l'expéditeur de l'enveloppe) et DKIM (le domaine de signature). L'alignement souple permet aux sous-domaines de correspondre au domaine de l'organisation, tandis que l'alignement strict exige une correspondance exacte. La plupart des éditeurs commencent par un alignement souple afin d'éviter de bloquer les e-mails légitimes provenant de sous-domaines ou d'expéditeurs tiers comme FlipLink.

1. **Vérifie d'abord SPF** — confirme que tu disposes d'un enregistrement SPF valide qui inclut tous les serveurs d'envoi autorisés (ton fournisseur de messagerie, FlipLink, tous tes outils marketing). 2. **Mets en place la signature DKIM** — configure les clés DKIM dans ton DNS et assure-toi que ton fournisseur de messagerie signe les messages sortants. 3. **Commence par p=none** — publie un enregistrement DMARC avec `p=none` pour commencer à collecter des rapports sans affecter la distribution du courrier : `v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com` 4. **Analyse les rapports pendant deux à quatre semaines** — utilise les rapports agrégés pour identifier tous les expéditeurs légitimes et toute utilisation non autorisée de ton domaine. 5. **Passe à p=quarantine** — une fois certain que tous les expéditeurs légitimes passent l'authentification, change la politique en quarantine pour rediriger les messages qui échouent vers le dossier spam. 6. **Avance vers p=reject** — après avoir confirmé qu'aucun courrier légitime n'est mis en quarantaine, définis la politique sur reject pour une protection maximale. 7. **Surveille en continu** — continue d'examiner périodiquement les rapports DMARC pour repérer les nouveaux expéditeurs ou les dérives de configuration.

**Puis-je configurer DMARC sans SPF ni DKIM ?** Techniquement, tu peux publier un enregistrement DMARC sans eux, mais il n'aura aucun effet concret. DMARC s'appuie sur les résultats de SPF et DKIM pour déterminer la réussite ou l'échec. Sans au moins l'un des deux en place, chaque message échouera aux vérifications DMARC. **DMARC va-t-il casser ma distribution d'e-mails ?** Pas si tu suis l'approche progressive. Commencer par `p=none` te permet d'observer quels e-mails passent et lesquels échouent sans rien bloquer. Ne passe à quarantine ou reject qu'après avoir confirmé que toutes tes sources d'e-mail légitimes sont correctement authentifiées. **Combien de temps faut-il pour que DMARC prenne effet ?** Les modifications DNS se propagent généralement en quelques heures, même si certains fournisseurs peuvent prendre jusqu'à 48 heures. Une fois propagés, les serveurs destinataires commencent à appliquer ta politique immédiatement et les rapports agrégés commencent à arriver dans les 24 heures.

DMARC complète la pile d'authentification des e-mails en donnant aux propriétaires de domaine le contrôle de ce qui se passe lorsque les vérifications SPF ou DKIM échouent — protégeant ta marque contre l'usurpation, améliorant la délivrabilité de tes e-mails et offrant une visibilité sur qui envoie des e-mails en ton nom.