Outils de diagnostic réseau

Vérification DMARC

Inspectez et évaluez votre politique DMARC

esc
Votre IP 8.8.8.8 ou google.com

DNS et enregistrements

Lookup DNS Tous les enregistrements DNS d'un domaine Lookup d'enregistrement A Adresses IPv4 d'un domaine Lookup d'enregistrement AAAA Adresses IPv6 d'un domaine Lookup MX Serveurs de messagerie d'un domaine Lookup NS Serveurs de noms faisant autorité Lookup TXT Enregistrements TXT, SPF, vérification Lookup CNAME Enregistrements de nom canonique (alias) Lookup SOA Enregistrement Start of Authority Lookup SRV Enregistrements de localisation de service Lookup CAA Quelles CA peuvent émettre des certificats DNS inversé (PTR) Adresse IP vers nom d'hôte Vérification DNSSEC Le domaine est-il signé et validé ? Diagnostic DNS Un bilan complet de délégation et de DNS

Délivrabilité des e-mails

Vérification SPF Validez votre enregistrement Sender Policy Framework Vérification DMARC Inspectez et évaluez votre politique DMARC Vérification DKIM Trouvez et validez votre clé publique DKIM Vérification de liste noire Vérifiez une IP face aux listes de blocage e-mail (DNSBL) Test SMTP Connectez-vous à un serveur de messagerie et vérifiez STARTTLS Vérification MTA-STS Politique TLS imposée pour le courrier entrant Vérification BIMI Enregistrement de logo de marque pour l'e-mail Vérification TLS-RPT Politique de rapport TLS SMTP

Réseau et web

Vérification de certificat SSL Inspectez le certificat TLS d'un site et son expiration Vérification des en-têtes HTTP Inspectez les en-têtes de réponse, redirections et sécurité Ping (TCP) Accessibilité et latence via TCP Vérification de ports Quels ports courants sont ouverts

Domaine

Lookup WHOIS Données d'enregistrement pour domaines, IP et ASN

Qu'est-ce qu'un enregistrement DMARC ?

DMARC s'appuie sur SPF et DKIM pour indiquer aux destinataires quoi faire des e-mails qui échouent à l'authentification, et où envoyer les rapports. Une politique « p=none » se contente de surveiller ; « quarantine » et « reject » protègent réellement votre domaine contre l'usurpation. IPeek lit l'enregistrement à _dmarc.votre-domaine, analyse chaque balise et évalue la robustesse de la politique.

Comment DMARC fonctionne avec l'alignement

DMARC est un enregistrement TXT publié à _dmarc.votre-domaine, commençant par v=DMARC1. Il réussit lorsqu'un message passe le SPF ou le DKIM et que le domaine ainsi authentifié s'aligne sur le domaine From visible. L'alignement est la clé : les usurpateurs peuvent passer un SPF ou un DKIM brut sur leur propre domaine, mais ils ne peuvent pas l'aligner sur le vôtre. Un enregistrement tel que v=DMARC1; p=reject; rua=mailto:reports@votre-domaine; adkim=s; aspf=s impose le rejet et exige un alignement strict à la fois pour DKIM et SPF.

Comprendre p=none, quarantine et reject

La balise p définit votre politique. p=none se contente de surveiller — les e-mails continuent de circuler, mais vous collectez des rapports pour voir qui envoie en votre nom. p=quarantine achemine les e-mails en échec vers les spams, et p=reject les bloque purement et simplement, la protection la plus forte contre l'usurpation. La balise pct permet d'augmenter l'application de façon progressive (par exemple pct=25), et sp définit une politique distincte pour les sous-domaines. Commencez à none pour collecter des données, puis durcissez vers quarantine et reject une fois que vos expéditeurs légitimes réussissent. IPeek évalue la robustesse de votre politique actuelle.

Les rapports DMARC et la balise rua

C'est le système de rapports de DMARC qui le rend exploitable. La balise rua désigne une boîte aux lettres qui reçoit chaque jour des rapports agrégés au format XML résumant quelles sources ont envoyé des e-mails au nom de votre domaine et si elles ont passé le SPF, le DKIM et l'alignement. Servez-vous de ces rapports pour repérer les expéditeurs légitimes que vous auriez oublié d'autoriser avant de durcir votre politique. La balise facultative ruf demande des rapports forensiques (par échec), bien que la plupart des destinataires ne les envoient plus pour des raisons de confidentialité. Sans rua, vous appliquez votre politique à l'aveugle.

Questions fréquentes

Que signifie p=none dans un enregistrement DMARC ?

p=none est une politique de surveillance uniquement. Elle indique aux destinataires de ne prendre aucune mesure particulière sur les e-mails qui échouent à DMARC : les messages sont donc remis normalement, mais vous recevez tout de même des rapports agrégés montrant qui envoie des e-mails au nom de votre domaine. Utilisez p=none pour collecter des données et identifier les expéditeurs légitimes, puis passez à quarantine ou reject pour une véritable protection contre l'usurpation.

Quelle est la différence entre quarantine et reject en DMARC ?

Les deux appliquent votre politique, mais différemment. p=quarantine demande aux destinataires de remettre les e-mails en échec dans le dossier spam ou indésirables, tandis que p=reject leur demande de les bloquer entièrement afin qu'ils n'atteignent jamais le destinataire. Reject est la protection la plus forte contre l'usurpation. Quarantine est une étape intermédiaire courante avant de s'engager dans le rejet complet.

Qu'est-ce que l'alignement DMARC ?

L'alignement exige que le domaine authentifié par SPF ou DKIM corresponde au domaine présent dans l'en-tête From visible. DMARC ne réussit que lorsqu'au moins l'un des deux s'aligne. L'alignement relâché (par défaut) permet à un sous-domaine de correspondre au domaine organisationnel ; l'alignement strict (adkim=s, aspf=s) exige une correspondance exacte. C'est l'alignement qui empêche les attaquants de passer l'authentification sur leur propre domaine.

Où publie-t-on un enregistrement DMARC ?

Un enregistrement DMARC est un enregistrement TXT publié au sous-domaine _dmarc de votre domaine — par exemple, _dmarc.example.com. Il doit commencer par v=DMARC1 et se publie une seule fois par domaine organisationnel. Les destinataires interrogent cet emplacement précis pour trouver votre politique. IPeek lit automatiquement l'enregistrement à _dmarc.votre-domaine et analyse chaque balise qu'il contient.

Ai-je besoin à la fois de SPF et de DKIM pour que DMARC réussisse ?

Non. DMARC réussit si le SPF ou le DKIM réussit et s'aligne avec votre domaine From : vous n'avez donc pas strictement besoin des deux. Cependant, configurer les deux est fortement recommandé : cela ajoute de la redondance, et DKIM survit au transfert d'e-mails alors que le SPF se brise souvent à cette occasion. Disposer des deux méthodes d'authentification alignées vous offre les résultats DMARC les plus fiables.

Outils connexes

Deutsch | English | Español | Français | Italiano | Português | Русский | Українська | 日本語 | 简体中文 | 한국어