Accueil 5 News 5 DMARC : un tournant critique pour l’authentification des e-mails en 2025

DMARC : un tournant critique pour l’authentification des e-mails en 2025

par | 2 Juin 2025

Avec la montée en puissance des attaques par usurpation d’identité et l’évolution des exigences des géants du web, 2025 marque une étape décisive dans la généralisation du protocole DMARC (Domain-based Message Authentication, Reporting and Conformance). Ce standard, encore trop souvent mal maîtrisé, est désormais un passage obligé pour les entreprises soucieuses de la sécurité de leurs communications électroniques.

Un protocole à la croisée des chemins : SPF, DKIM et DMARC

DMARC repose sur deux mécanismes préexistants : SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail). Le protocole vérifie que l’expéditeur d’un message est bien autorisé à envoyer depuis un domaine donné, et que le contenu n’a pas été modifié. DMARC ajoute une couche supplémentaire : l’alignement entre l’adresse visible pour l’utilisateur et celle réellement utilisée dans l’en-tête technique. Il permet aussi de spécifier ce qu’il faut faire en cas d’échec (ne rien faire, mettre en quarantaine, ou rejeter), et de recevoir des rapports détaillés sur les envois.

À cela s’ajoute une fonction pédagogique précieuse : les rapports DMARC (agrégés ou forensiques) permettent de mieux comprendre comment un domaine est utilisé — ou abusé — à travers le monde. Ils aident ainsi les administrateurs à identifier les services tiers envoyant au nom de leur domaine, à corriger les configurations erronées ou à détecter des tentatives de phishing.

Des erreurs classiques encore trop fréquentes

De nombreuses organisations pensent avoir « activé » DMARC alors qu’elles n’ont qu’un enregistrement en mode « none ». Cela revient à observer sans agir. D’autres pièges fréquents :

  • Un enregistrement SPF dépassant la limite de 10 consultations DNS
  • Une signature DKIM mal configurée, ou expirée
  • L’absence d’adresse de retour pour les rapports (RUA/RUF)
  • Une mauvaise interprétation du champ « pct » (pourcentage d’application), souvent laissé à 100 % sans phase de test

Ces erreurs rendent la politique DMARC inopérante, voire contre-productive. Pire encore : une politique trop restrictive sans tests préalables peut bloquer des messages légitimes. Certaines entreprises, pensant renforcer leur sécurité, se retrouvent à ne plus pouvoir communiquer efficacement avec leurs clients ou partenaires.

Les raisons du durcissement en 2025

Google, Yahoo, et d’autres opérateurs majeurs exigent désormais une stricte conformité DMARC pour garantir la délivrabilité des e-mails. Cette évolution découle directement de la recrudescence des fraudes par usurpation de domaines, notamment dans les secteurs bancaires, de la santé et des administrations.

La pression réglementaire s’accentue également : plusieurs autorités nationales envisagent de faire de DMARC une exigence minimale dans leurs référentiels de cybersécurité pour les organisations publiques. Dans certains appels d’offres, la présence d’un DMARC strictement configuré devient même un critère de sélection. Des initiatives de normalisation, comme le NIS2 ou DORA dans l’Union européenne, incluent de plus en plus la sécurité des échanges électroniques dans leurs attendus de conformité.

Comment se mettre en conformité ?

  • Mettre à jour SPF et DKIM : s’assurer qu’ils sont bien configurés, que les clés DKIM sont suffisamment longues (2048 bits) et valides
  • Publier un enregistrement DMARC en mode « none », pour débuter une phase de collecte
  • Analyser les rapports XML reçus via un outil de visualisation (Agari, Dmarcian, Postmark, etc.)
  • Ajuster progressivement la politique vers « quarantine », puis « reject », en s’appuyant sur l’analyse des rapports
  • Former les équipes à la lecture des rapports et à la gestion DNS. Une formation interne ou l’appui d’un prestataire externe est souvent recommandé
  • Documenter la politique de gestion des e-mails sortants : quels services sont autorisés à envoyer depuis le domaine ? Où sont-ils hébergés ? Quels flux doivent être exclus ?
  • Mettre en place une supervision continue : des outils automatisés permettent aujourd’hui de recevoir des alertes en cas de changement dans les comportements d’envoi ou de détection d’anomalies

Vers une nouvelle culture de la délivrabilité

Mettre en place DMARC, ce n’est pas seulement un impératif technique : c’est un acte stratégique. Cela signifie reprendre le contrôle de son identité d’expéditeur, protéger sa marque et ses clients, et s’inscrire dans une culture de la confiance numérique. Loin d’être une contrainte, c’est un signal positif envoyé à tout l’écosystème.

Les bénéfices vont au-delà de la sécurité : une meilleure délivrabilité, une réputation de domaine améliorée, une visibilité sur les usages légitimes et abusifs, et une posture proactive face aux menaces. En outre, une configuration rigoureuse de DMARC s’accompagne souvent d’une revue complète des flux de courriel, permettant de rationaliser les usages et de supprimer les services obsolètes ou mal maîtrisés.

L’enjeu de la pédagogie auprès des dirigeants

Trop souvent encore, la configuration des politiques DMARC reste cantonnée aux équipes techniques. Pourtant, les conséquences d’un mauvais paramétrage (perte de délivrabilité, usurpation d’identité, atteinte à la réputation) sont stratégiques. Sensibiliser les décideurs aux enjeux business du protocole est essentiel pour obtenir les ressources nécessaires, arbitrer les priorités, et éviter les blocages internes.

Il est aussi utile d’inclure DMARC dans les formations de sensibilisation à la cybersécurité. Une compréhension même sommaire de ce protocole par les équipes métier contribue à créer une culture commune autour de l’authenticité des communications.

DMARC : une exigence, plus un choix

DMARC est un outil puissant, mais sa mise en œuvre nécessite rigueur, pédagogie et anticipation. À l’heure où l’authenticité des communications devient un enjeu central de la cybersécurité, 2025 pourrait bien marquer le basculement définitif vers une adoption de masse. Encore faut-il éviter les pièges de la configuration approximative, et comprendre que cette démarche s’inscrit dans un projet global de sécurisation des flux numériques.

La bonne nouvelle ? L’écosystème d’outils, de guides et de retours d’expérience n’a jamais été aussi riche. Pour les organisations qui veulent s’y mettre, il n’a jamais été aussi facile de bien faire. Et pour celles qui hésitent encore, il est temps de comprendre que DMARC n’est plus un “plus”, mais une exigence.

Cyberlégal

cyberlegal.fr

Accompagnement juridique & veille réglementaire dédiée à la technologie de l’information

Plus de détail

Logo CERT-FR

CERT-FR
Alertes de sécurité

Site web CERT-FR

Services

CSM Cybersécurité Audit SSI, audit informatique en Corse à bastia et Ajaccio

Audit SSI

Audit RGPD de votre structure : Charte informatique, politique de sécurité des systèmes d'information (PSSI), registre des activités de traitement, gestion des sous-traitants dans la conformité RGPD, expertise RGPD de notre juriste. cabinet CSM - Cybersécurité Management en Corse à Ajaccio et Bastia.

Audit RGPD

Soc Managé par CSM Cybersécurité Management en Corse sur Bastia et Ajaccio une analyse constantes de l’activité sur les postes de travail et serveurs.

SOC managé

Auteurs blog

Publications Carlos BARBOSA

Publications Arnaud BASCOU

Publications CSM

Dernières publications