Données emailing8 min de lecture

Adoption de DMARC chez les domaines français

DMARC s\'impose progressivement comme le standard d\'authentification email en France. Mais où en sont réellement les domaines français ? Décryptage.

DMARC (Domain-based Message Authentication, Reporting and Conformance) est devenu incontournable pour protéger la réputation des domaines. En France, l\'adoption progresse, mais le chemin reste à parcourir. Entre les obligations implicites du RGPD, les recommandations de la CNIL et la pression des fournisseurs d\'email, les organisations françaises font face à un choix : adopter DMARC ou risquer des problèmes de délivrabilité et de confiance.

DMARC en France : un panorama en mutation

Les domaines français — qu\'ils soient des entreprises, des institutions publiques ou des prestataires de services — connaissent une adoption hétérogène de DMARC. Les grandes organisations et les services publics ont généralement mis en place ce standard depuis plusieurs années, tandis que les PME et les prestataires de services en ligne progressent graduellement.

Pour suivre l\'adoption de DMARC sur les domaines français et européens, vous pouvez consulter nos données hebdomadaires de scan qui couvrent des millions de domaines en Tranco top-1M. Ce suivi continu reflète l\'évolution réelle du marché français et francophone.

SPFVérifie l\'adresse IP du serveur d\'envoiDKIMSigne le contenu avec une clé cryptographiqueDMARCAgrège et applique la politique d\'authentification
Trio d\'authentification email : SPF, DKIM et DMARC

Pourquoi DMARC devient indispensable en France

L\'adoption accélérée de DMARC en France répond à plusieurs facteurs. D\'abord, les géants du webmail — Google (Gmail), Microsoft (Outlook/Hotmail) et Yahoo — exigent désormais SPF, DKIM et DMARC (au moins en p=none) pour les expéditeurs massifs. Tous les domaines qui envoient des emails en volume à ces fournisseurs sont concernés, y compris les adresses françaises.

Ensuite, la conformité au RGPD et aux recommandations de la CNIL rend DMARC indirectement essentiel. Bien que la CNIL ne mentionne pas explicitement DMARC, ses lignes directrices sur la confiance dans le marketing par email supposent une authentification correcte du domaine — exactement ce que DMARC apporte. La sécurité par le design que prône le RGPD bénéficie directement d\'une stratégie d\'authentification solide.

Enfin, les prestataires français — Brevo, Mailjet et autres ESP — offrent désormais des outils intégrés pour configurer et monitorer DMARC. Cette démocratisation des outils rend l\'adoption plus accessible aux organisations de toute taille, du micro-entrepreneur au groupe national.

Point clé : progresser graduellement vers p=reject
Ne passez pas directement à une politique stricte (p=reject). Commencez par p=none pour monitorer les violations sans bloquer les emails, puis évoluez vers p=quarantine une fois que vous avez identifié tous vos émetteurs, et enfin p=reject lorsque tous vos systèmes sont authentifiés. Cette progression garantit zéro faux négatif.

Les défis de l\'adoption en France

Malgré les bénéfices évidents, l\'adoption de DMARC en France rencontre des obstacles. Le premier est technique : DMARC suppose que SPF et DKIM sont déjà correctement configurés. Pour les organisations avec une infrastructure email complexe — plusieurs domaines, plusieurs fournisseurs, des systèmes legacy — la configuration peut s\'avérer laborieuse.

Le deuxième défi est organisationnel. Configurer DMARC implique d\'identifier tous les systèmes qui envoient des emails au nom du domaine : marketing automation, ERP, CRM, services cloud, prestataires techniques. Pour les organisations décentralisées ou multinationales, cette cartographie prend du temps et requiert la coordination entre plusieurs équipes.

Enfin, certains secteurs — comme le secteur public français ou les collectivités locales — sont ralentis par des processus décisionnels plus lents ou des contraintes budgétaires. Cependant, les évolutions récentes des recommandations publiques et les pressions de conformité poussent même les administrations à accélérer leur déploiement.

DMARC, RGPD et confiance : convergence réglementaire

En France, le contexte réglementaire encourage indirectement le déploiement de DMARC. Le RGPD et la Loi Informatique et Libertés exigent que les données personnelles soient traitées de manière sécurisée. Or, un domaine usurpé peut exposer les données des destinataires et compromettre la confiance des utilisateurs.

La CNIL, qui supervise la conformité RGPD en France, insiste sur l\'authentification des expéditeurs et la lutte contre l\'usurpation d\'identité (phishing). DMARC répond directement à cette préoccupation en rejetant ou mettant en quarantaine les emails qui prétendent provenir d\'un domaine mais ne sont pas authentifiés. C\'est un élément clé de la « sécurité par le design » que le RGPD encourage.

Comment activer DMARC pour son domaine français

L\'activation de DMARC suit une logique progressive et structurée. Voici les étapes générales :

  1. Vérifier SPF et DKIM. Assurez-vous que votre enregistrement SPF inclut tous vos émetteurs autorisés et que DKIM est activé sur votre serveur mail ou votre ESP.
  2. Créer un enregistrement DMARC en p=none. Ajoutez un enregistrement DMARC au DNS de votre domaine (généralement _dmarc.votredomaine.fr) avec une politique de monitoring (p=none).
  3. Activer les rapports d\'agrégation. Configurez une adresse email pour recevoir les rapports RUA (rapports d\'authentification agrégés), souvent fournis en format XML. Cela permet d\'identifier les sources d\'emails non-authentifiées.
  4. Analyser les rapports pendant 1 à 2 mois. Épluchez régulièrement les rapports pour trouver les émetteurs qui ne passent pas SPF/DKIM et corrigez leur configuration.
  5. Progresser vers p=quarantine, puis p=reject. Une fois tous les émetteurs authentifiés, renforcez progressivement la politique pour un protection accrue.

Si vous utilisez un ESP français comme Brevo ou Mailjet, l\'interface graphique guide ces étapes. Si vous gérez votre infrastructure en interne, vous devrez éditer les enregistrements DNS via votre registrar français (OVH, Gandi, Namecheap, etc.).

v=DMARC1; p=quarantine; rua=mailto:dmarc@votredomaine.fr; ruf=mailto:forensics@votredomaine.fr; pct=100; adkim=s; aspf=sVersion du standard DMARCPolitique : mettre en quarantaine les emails non-authentifiésAppliquer la politique à 100 % des emailsDKIM doit être aligné strictementSPF doit être aligné strictement
Exemple d\'enregistrement DMARC typique

Monitoring et rapports : rester maître de sa réputation

Une fois DMARC activé, le travail n\'est pas terminé. Les rapports RUA (Aggregate Reports) arrivent quotidiennement ou hebdomadairement. Ils fournissent des statistiques détaillées sur les volumes d\'emails qui passent SPF, DKIM, DMARC, ainsi que les taux d\'authentification globaux et les rejets.

Les rapports RUF (Forensics Reports) complètent ce suivi en détaillant chaque violation grave. Ils sont utiles pour diagnostiquer rapidement les problèmes d\'authentification d\'une source spécifique.

La plupart des organisations françaises confient l\'analyse de ces rapports à un outil tiers (des solutions de gestion DMARC existent) ou à leur ESP. Cependant, lire régulièrement au moins les résumés des rapports RUA vous aide à identifier rapidement des anomalies — par exemple, un nouveau service cloud qui envoie des emails sans authentification, ce qui pourrait indiquer une compromise ou un oubli de configuration.

DMARC est-il obligatoire en France ?

DMARC n\'est pas formellement obligatoire en droit français, mais il est fortement encouragé par les recommandations de la CNIL et exigé de facto par les fournisseurs globaux (Google, Microsoft, Yahoo) pour la délivrabilité. Pour tout expéditeur en volume, adopter DMARC est une question de conformité et d\'efficacité.

Quelle est la différence entre p=none, p=quarantine et p=reject ?

p=none : rapport uniquement, aucun email n\'est rejeté. Idéal pour la phase d\'audit.
p=quarantine : les emails non-authentifiés sont mis en spam. Bon compromis pendant la transition.
p=reject : les emails non-authentifiés sont rejetés à la réception. Le plus strict, à utiliser une fois tous les émetteurs vérifiés et sans faux négatifs.

Dois-je configurer DMARC si j\'utilise un ESP français ?

Oui, mais de manière simplifiée. La plupart des ESP français (Brevo, Mailjet) gèrent SPF et DKIM automatiquement, mais vous devez configurer votre propre enregistrement DMARC pour avoir la main sur la politique de rejet, les adresses de rapports et le pourcentage d\'application. Généralement, l\'ESP fournit un tutoriel intégré et guide la configuration DNS.
À lire aussi
Found this useful? Share it
AB
À propos de l'auteur
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

Vérifiez votre délivrabilité chez plus de 20 fournisseurs

Gmail, Outlook, Yahoo, Orange, GMX, ProtonMail et plus. Captures réelles de la boîte de réception, SPF/DKIM/DMARC, verdicts des filtres anti-spam. Gratuit, sans inscription.

Lancer le test gratuit →

Tests illimités · Plus de 20 boîtes · Résultats en direct · Sans compte