Générateur de politique DMARC

Composez une politique DMARC à la carte et regardez l’enregistrement DNS se construire tout seul — ou collez un enregistrement que vous avez déjà et relisez-le sous forme de choix en langage clair. Les deux restent synchronisés dans les deux sens.

Qu’est-ce que DMARC ?

DMARC (Domain-based Message Authentication, Reporting & Conformance) est un petit enregistrement DNS qui indique aux boîtes mail du monde entier quoi faire des e-mails prétendant provenir de votre domaine mais incapables de le prouver. En clair : c’est ainsi que vous empêchez les escrocs d’envoyer à vos clients de convaincants e-mails de phishing « you@yourcompany.com ».

L’e-mail n’a aucun moyen intégré de vérifier qui a réellement envoyé un message — n’importe qui peut saisir votre adresse dans la ligne « From ». Deux normes plus anciennes, SPF et DKIM, permettent à un serveur de messagerie destinataire de vérifier si un message provient réellement d’un serveur que vous avez autorisé. DMARC les relie : il vous permet d’indiquer aux destinataires quoi faire lorsque ces contrôles échouent, et leur demande de vous envoyer des rapports pour que vous puissiez voir qui envoie du courrier au nom de votre domaine.

SPF

Une liste publique des serveurs de messagerie autorisés à envoyer pour votre domaine. Le destinataire compare le serveur d’envoi à cette liste.

DKIM

Une signature numérique infalsifiable ajoutée à chaque message, afin que le destinataire puisse confirmer qu’il n’a pas été falsifié ni modifié en chemin.

DMARC

Se superpose aux deux. Il décide de ce qui se passe lorsqu’un message échoue à SPF et DKIM, et collecte les rapports — exactement ce que vous configurez ci-dessous.

Vous publiez l’enregistrement que cet outil construit sous forme d’enregistrement TXT à _dmarc.yourdomain.com chez votre fournisseur DNS. Après l’avoir enregistré, les modifications peuvent mettre un certain temps à se propager sur Internet (« propagation DNS »), donc les rapports ne commenceront pas immédiatement.

Construisez votre politique

Activez les options à gauche selon votre situation. Lisez la note sous chacune si vous avez un doute — l’enregistrement DNS à droite se met à jour au fur et à mesure. Vous avez déjà un enregistrement ? Collez-le dans la zone d’enregistrement et les options se rempliront en conséquence.

Assistant de politique

Choisissez les options souhaitées — l’enregistrement se met à jour en direct.

Application

p

L’essentiel : ce que vous demandez aux autres fournisseurs de messagerie de faire des e-mails qui échouent au contrôle et prétendent provenir de vous.

Surveillance uniquement. Les destinataires distribuent toujours normalement le courrier en échec, mais vous envoient des rapports. C’est le point de départ sûr — vous observez pendant quelques semaines avant de durcir.

Appliquer à un pourcentage

pct

Une soupape de sécurité : faites en sorte que les destinataires n’appliquent votre politique qu’à une partie du courrier au début (choisie au hasard), afin qu’une erreur ne puisse pas affecter tout le monde d’un coup. La plupart des gens laissent cette valeur à 100%.

Politique des sous-domaines

sp

Définissez une règle distincte pour les sous-domaines comme news.yourdomain.com ou mail.yourdomain.com. Laissez désactivé et ils suivront simplement la politique principale ci-dessus.

Sous-domaines inexistants

np

Une règle plus stricte uniquement pour les sous-domaines que vous n’avez jamais configurés. Les escrocs en raffolent car il n’y a aucun courrier réel à bloquer par accident — c’est pourquoi le rejet est généralement sans risque ici.

Alignement DKIM

adkim

À quel point le domaine de la signature DKIM doit correspondre à votre adresse From. Le mode souple considère un sous-domaine (mail.yourdomain.com) comme correspondant à yourdomain.com ; le mode strict exige une correspondance exacte. Le mode souple est le choix habituel.

Alignement SPF

aspf

La même idée pour SPF : à quel point le domaine du serveur d’envoi doit correspondre à votre adresse From. Le mode souple autorise la correspondance des sous-domaines ; le mode strict exige une correspondance exacte. Le mode souple est le choix habituel.

Rapports agrégés

rua

L’adresse e-mail qui reçoit les rapports de synthèse quotidiens. Ils indiquent qui envoie du courrier au nom de votre domaine et si celui-ci passe les contrôles — c’est toute la raison de commencer par Aucune. Fortement recommandé.

Rapports d’échec

ruf

Une adresse pour les rapports détaillés sur les messages individuels ayant échoué. Utile pour le débogage, mais la plupart des fournisseurs ne les envoient plus pour des raisons de confidentialité — c’est donc facultatif.

Intervalle des rapports

ri

À quelle fréquence vous souhaitez recevoir les rapports agrégés. En pratique, les destinataires les envoient presque toujours une fois par jour de toute façon, donc la valeur par défaut (86400 secondes = 24 heures) peut être laissée telle quelle.

Enregistrement DNS

Publiez cet enregistrement TXT sur votre domaine.

Valide
Type
TXT
Hôte
_dmarc

Ajoutez ceci comme nouvel enregistrement chez votre fournisseur DNS. « Type » et « Hôte » sont les champs qu’il demande — certains fournisseurs n’attendent que _dmarc dans le champ hôte et ajoutent le domaine à votre place.

Valeur

Collez ici un enregistrement existant et l’assistant se met à jour en conséquence.

Commencez avec un seul canal.
Ajoutez les autres quand vous êtes prêt.

Une clé API de test est disponible immédiatement. L'accès production se débloque dès que vous ajoutez un moyen de paiement et vérifiez un expéditeur.

CommencerLire la doc

Vous utilisez Claude Code, Cursor ou Codex ? Copiez un prompt de configuration et votre agent installe la CLI Bird et les compétences pour vous. Choisissez le vôtre :

Cursor