Comment lire un rapport DMARC (étape par étape pour les expéditeurs B2B)

Un rapport agrégé DMARC est un résumé envoyé par les fournisseurs de boîtes mail qui montre comment les e-mails prétendant provenir de votre domaine ont réussi les vérifications d'authentification comme SPF et DKIM.

Ces rapports sont essentiels pour comprendre qui envoie des e-mails en votre nom, le volume d'e-mails envoyés et si ces e-mails passent l'authentification. Ils sont la principale source d'information pour identifier les expéditeurs légitimes, les mauvaises configurations et les abus potentiels.

Pourtant, même les administrateurs IT expérimentés ont souvent du mal à interpréter les rapports DMARC. Les données sont denses, très techniques et difficiles à traduire en étapes claires et actionnables pour améliorer la délivrabilité et la sécurité des e-mails.

Pour les équipes non techniques, le défi est encore plus grand. Les rapports sont livrés au format XML et donnent peu d'indications sur ce qui compte vraiment ou sur ce qu'il faut corriger en premier.

Dans ce guide, nous décomposons les rapports agrégés DMARC en composants pratiques, expliquons sur quoi se concentrer et montrons comment transformer les données en actions significatives pour améliorer la performance des e-mails.

Types de rapports DMARC

Le standard DMARC définit deux types de rapports. Cependant, un seul d'entre eux est constamment disponible et utile pour la plupart des équipes B2B en charge de la délivrabilité des e-mails.

Rapports agrégés DMARC (RUA)

Les rapports agrégés DMARC (RUA) sont les rapports principaux avec lesquels vous allez travailler.

Ils sont envoyés quotidiennement par les fournisseurs de boîtes mail et offrent un résumé au niveau du domaine de toute l'activité e-mail observée sur une période donnée. Chaque rapport regroupe les messages par source d'envoi et affiche les résultats d'authentification pour SPF, DKIM et DMARC.

Les fournisseurs de boîtes mail comme Google et Microsoft fournissent systématiquement des rapports agrégés. Par conséquent, ils constituent la base de la surveillance DMARC et sont le point central de ce guide.

Rapports DMARC forensiques (RUF)

Les rapports DMARC forensiques (RUF) sont conçus pour fournir des détails au niveau du message lorsque l'authentification échoue.

En réalité, ils sont rarement disponibles. De nombreux fournisseurs de boîtes mail ne les envoient plus ou censurent fortement les données en raison de contraintes de confidentialité. Le support varie considérablement, et la plupart des domaines B2B ne reçoivent jamais de rapports forensiques même lorsqu'ils sont demandés.

Par conséquent, la plupart des équipes s'appuient presque entièrement sur les rapports agrégés pour la surveillance continue et la prise de décision.

Que contient un rapport DMARC agrégé ?

Un rapport DMARC agrégé est un résumé structuré de l'activité email liée à votre domaine sur une période donnée. Ces rapports ont une portée volontairement limitée. Ils ne montrent pas les messages individuels, leur contenu ou les destinataires. Au lieu de cela, ils se concentrent sur des signaux d'authentification de haut niveau que les fournisseurs de boîtes mail sont prêts à partager à grande échelle.

Comme les rapports sont livrés sous forme de fichiers XML, ils ne sont pas faits pour être consultés manuellement. La plupart des équipes utilisent des outils de parsing ou des plateformes DMARC pour rendre les données lisibles. Cette limitation est aussi la raison pour laquelle les rapports agrégés sont privilégiés par les fournisseurs de boîtes mail. Ils équilibrent visibilité et confidentialité, et sont constamment pris en charge par les principaux fournisseurs.

Au niveau structurel, chaque rapport DMARC agrégé contient les mêmes composants essentiels.

Organisation émettrice

Cela identifie le fournisseur de boîte mail qui a généré le rapport. Parmi les organisations émettrices courantes, on trouve Google et Microsoft. Chaque fournisseur envoie son propre rapport basé sur le trafic qu'il a observé pour votre domaine.

Plage de dates

Le rapport couvre une fenêtre de temps spécifique, généralement une période de 24 heures. Cela vous permet de suivre le comportement d'authentification jour après jour et de repérer les changements au fil du temps plutôt que des événements isolés.

Sources d'envoi

Les sources d'envoi sont listées au niveau de l'adresse IP. Chaque source représente un serveur qui a envoyé des emails en utilisant votre domaine pendant la période de rapport.

Volume de messages par source

Pour chaque source d'envoi, le rapport inclut le nombre de messages observés, offrant une visibilité sur le volume d'emails envoyés par chaque IP au nom de votre domaine pendant la plage de temps spécifiée.

Résultats d'authentification

Chaque source d'envoi inclut les résultats d'authentification basés sur trois mécanismes.

o   Les résultats SPF montrent si le serveur d'envoi était autorisé à envoyer des emails au nom du domaine.

o   Les résultats DKIM montrent si les messages étaient signés cryptographiquement et si le domaine de signature correspondait au domaine From visible.

o   La disposition DMARC montre comment le fournisseur de boîte mail a traité les messages en fonction de votre politique DMARC publiée.

Guide étape par étape pour lire un rapport DMARC 

Les rapports DMARC agrégés sont livrés sous forme de fichiers XML. Même s'ils peuvent paraître techniques, il n'est pas nécessaire de comprendre chaque balise pour en tirer des informations utiles.

Voici un exemple simplifié de rapport DMARC agrégé pour example.com.

<feedback>
  <report_metadata>
    <org_name>google.com</org_name>
    <email>noreply-dmarc-support@google.com</email>
    <date_range>
      <begin>1705968000</begin>
      <end>1706054399</end>
    </date_range>
  </report_metadata>

  <policy_published>
    <domain>example.com</domain>
    <p>none</p>
    <adkim>r</adkim>
    <aspf>r</aspf>
  </policy_published>

  <record>
    <row>
      <source_ip>209.85.220.41</source_ip>
      <count>120</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>pass</spf>
      </policy_evaluated>
    </row>
  </record>

  <record>
    <row>
      <source_ip>198.51.100.23</source_ip>
      <count>450</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
  </record>

  <record>
    <row>
      <source_ip>203.0.113.77</source_ip>
      <count>6</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>fail</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
  </record>
</feedback>

Vous n'avez pas besoin de lire ligne par ligne. Appliquez plutôt le scan en quatre étapes suivant à chaque fois.

Étape 1 : Qui a envoyé l'email

Look for the <source_ip> field in each record.

Dans cet exemple, trois adresses IP ont envoyé des emails en utilisant example.com. Chaque IP représente un système d'envoi observé par le fournisseur de boîte mail. À ce stade, votre seule tâche est de reconnaître. Demandez-vous si l'IP appartient à une source connue comme Google Workspace, Microsoft 365, un outil de prospection commerciale ou une plateforme marketing.

Étape 2 : Volume d'emails envoyés

Next, look at the <count> value for each source.

Le volume t'aide à savoir où porter ton attention. Les sources à gros volume sont plus importantes que celles à faible volume. Une seule IP inconnue qui envoie des milliers d'e-mails mérite une enquête immédiate. Quelques messages peuvent simplement indiquer des tentatives de spoofing en arrière-plan.

Étape 3 : L'authentification a-t-elle réussi ?

Quand tu examines un rapport agrégé DMARC, tu réponds à trois questions clés pour chaque source d'envoi. Chacune correspond directement à une balise XML spécifique dans le rapport.

Now look at the authentication outcomes inside <policy_evaluated>.

Tu ne diagnostiques pas encore les causes profondes. Tu observes simplement les résultats :

• Le SPF a-t-il réussi ?

SPF results appear in the <policy_evaluated> block under the <spf> tag. If the report shows <spf>fail</spf>, SPF validation failed. The sending IP was not authorized by your domain’s SPF record at the time the message was evaluated.

If it shows <spf>pass</spf>, the sending server was authorized to send email on behalf of the domain.

• Le DKIM a-t-il réussi ?

DKIM results appear under the <dkim> tag in the same block. A value of <dkim>pass</dkim> means the message was correctly signed and the signature aligned with the visible From domain.

A value of <dkim>fail</dkim> means the message was not properly signed, the signature was invalid, or domain alignment failed.

• Le DMARC l'a-t-il évalué comme conforme ?

DMARC’s final decision appears in the <disposition> tag. A value of <disposition>none</disposition> means no enforcement was applied, which is typical when a domain is in monitoring mode.

Des valeurs comme "quarantine" (mise en quarantaine) ou "reject" (rejet) indiquent que le message n'a pas réussi l'évaluation DMARC et que la politique d'application a été appliquée conformément à la politique publiée.

Ces trois balises répondent à la troisième étape du cadre que tu as vu plus tôt. Une fois que tu sais qui a envoyé l'e-mail et en quelle quantité, le SPF, le DKIM et la "disposition" t'indiquent si cette activité a été authentifiée et comment les fournisseurs de boîtes mail l'ont traitée.

Étape 4 : Évalue si le schéma est attendu

Enfin, combine l'identité, le volume et les résultats d'authentification.

• Une IP Google Workspace connue qui passe le SPF et le DKIM est attendue.
• Un outil connu qui échoue au SPF mais passe le DKIM peut être normal.
• Une IP inconnue qui échoue aux deux vérifications, même à faible volume, est inattendue.

C'est là que le XML brut devient un signal exploitable.

Comment interpréter les signaux d'authentification ?

Une fois que tu as compris qui a envoyé l'e-mail et le volume envoyé, l'étape suivante consiste à interpréter les résultats d'authentification. C'est là que les rapports DMARC deviennent utiles pour la prise de décision.

Les résultats d'authentification aident les fournisseurs de boîtes mail à décider si un e-mail est fiable. Ton travail est de comprendre ce que ces signaux signifient et comment les lire.

Sources d'envoi et tendances de volume
Chaque ligne d'un rapport DMARC représente un groupe de messages provenant d'une IP spécifique. Les tendances de volume sont importantes car les fournisseurs de boîtes mail construisent leur réputation progressivement. Les pics soudains indiquent souvent des erreurs de configuration, de nouveaux outils ou des abus.

Un volume faible mais récurrent provenant d'IPs inconnues signale généralement des tentatives de "domain spoofing".

Résultats SPF
Le SPF vérifie si une IP d'envoi est autorisée à envoyer des e-mails au nom de ton domaine.

Les échecs SPF sont courants et ne sont pas toujours un problème. Ils se produisent fréquemment en raison de redirections, d'enregistrements incomplets ou d'outils qui s'appuient plutôt sur le DKIM.

Un échec SPF devient préoccupant lorsqu'il se répète à grande échelle ou se combine avec des échecs DKIM.

Résultats DKIM
Le DKIM vérifie l'intégrité du message et l'alignement du domaine. C'est le signal d'authentification le plus fort pour la délivrabilité B2B car il survit aux redirections et est fortement approuvé par Google et Microsoft.
Pour la plupart des expéditeurs B2B, des vérifications DKIM cohérentes et un alignement sur tous les outils sont non négociables.

Comprendre les résultats des politiques DMARC

Les politiques DMARC définissent comment les fournisseurs de boîtes mail doivent gérer les e-mails qui échouent aux vérifications d'authentification. Ces résultats apparaissent dans les rapports agrégés comme la disposition finale pour chaque source d'envoi.

Ces politiques gèrent l'exposition aux risques, pas le placement en boîte de réception. Elles contrôlent ce qui arrive aux e-mails non authentifiés, pas si les e-mails authentifiés atterrissent dans la boîte de réception.

Les politiques DMARC réduisent l'exposition au spoofing et à l'utilisation non autorisée de votre domaine. Elles n'améliorent pas l'engagement, la réputation de l'expéditeur ou le placement en boîte de réception par elles-mêmes.

L'authentification établit la légitimité. La délivrabilité est déterminée par la réputation et le comportement au fil du temps.

Identifier les expéditeurs légitimes et les abus

Une fois que vous comprenez les résultats d'authentification, l'étape suivante est de décider quelles sources d'envoi sont fiables et lesquelles nécessitent une attention particulière.

Cette détermination est rarement basée sur un seul signal. Des IP inconnues ou des échecs d'authentification isolés n'indiquent pas, à eux seuls, un abus. La confiance s'établit à travers des schémas observés au fil du temps, en particulier lorsque le volume et la répétition sont présents.

Comment classer chaque source d'envoi

Une bonne façon de traiter les rapports DMARC est de classer chaque ligne dans l'une des trois catégories.

Cette classification simple rend l'examen DMARC efficace et évite les changements inutiles qui pourraient perturber le flux d'e-mails légitimes.

Schémas courants d'échec DMARC

Les rapports agrégés DMARC ont tendance à montrer les mêmes combinaisons de résultats d'authentification au fil du temps. Ces combinaisons sont utiles car elles indiquent des causes probables, pas garanties.

Les fournisseurs de boîtes mail évaluent l'authentification légèrement différemment, et les chemins d'envoi peuvent varier en fonction du forwarding, des passerelles et des outils. Les schémas ci-dessous doivent être lus comme des raccourcis de diagnostic, pas des conclusions absolues.

• SPF OK, DKIM échec
  Souvent un DKIM manquant ou mal aligné.
  
  
• DKIM OK, SPF échec
  Courant avec le forwarding ou une infrastructure partagée. Généralement acceptable.
  
  
• SPF fail, DKIM fail
  Un schéma à haut risque. Indique une usurpation d'identité ou une mauvaise configuration.
  
• 
  Un pass mais DMARC fail
  Problème d'alignement entre l'authentification et le domaine d'expéditeur.

Comment corriger ce que les rapports DMARC montrent

Les rapports DMARC indiquent les problèmes exacts de configuration de tes e-mails. Corrige d'abord les problèmes les plus importants, puis occupe-toi des autres étape par étape.

• Autorise les outils d'e-mail légitimes: Ajoute chaque outil que tu utilises (Outlook, plateformes marketing) à ta liste d'expéditeurs approuvés. Cela évite les erreurs d'« expéditeur non autorisé ».
• Active DKIM pour tous tes e-mails: DKIM ajoute une signature numérique pour prouver que les e-mails viennent de toi et n'ont pas été modifiés. Active-le partout où tu envoies des e-mails.
• Simplifie tes enregistrements SPF: Garde ta liste d'expéditeurs approuvés courte et à jour. Trop d'entrées peuvent perturber les systèmes d'e-mail. Supprime les outils anciens ou inutilisés.
• Bloque les sources d'e-mails indésirables: Bloque les mauvais expéditeurs qui se font passer pour ta boîte. Concentre-toi sur les IP inconnues qui envoient beaucoup de messages.
• Vérifie les résultats après les changements: Surveille les rapports pendant 7 à 14 jours. Les problèmes corrigés se traduisent par une baisse du volume d'erreurs et une augmentation des taux de réussite.

Commence par les gros problèmes

Comment prioriser les problèmes ?

Les rapports DMARC arrivent tous les jours. Tous les problèmes ne nécessitent pas une action immédiate. Surveille les tendances sur plusieurs jours pour distinguer les changements normaux des problèmes à fort impact.

De l'authentification au placement en boîte de réception

DMARC prouve la légitimité. Il ne gagne pas la confiance.

Les fournisseurs de boîtes mail récompensent finalement les comportements comme l'engagement positif des utilisateurs, la cohérence et la réputation sur le long terme. C'est là que beaucoup d'équipes bloquent. Ils corrigent l'authentification, voient tout passer, et continuent de se retrouver en spam.

C'est normal.

L'authentification supprime les blocages. La réputation détermine les résultats.

MailReach complète DMARC en gérant la couche que DMARC ne peut pas influencer. L'email warmup progressif génère des signaux d'engagement qui apprennent à Google et Microsoft à faire confiance à votre comportement d'envoi. Les spam tests révèlent les risques liés au contenu et au formatage avant qu'ils n'endommagent votre réputation. La surveillance continue garantit que les problèmes techniques n'érodent pas discrètement votre délivrabilité.

DMARC ouvre la voie. MailReach construit la confiance qui fait que les emails sont lus et reçoivent des réponses.

Commencez à construire une réputation d'expéditeur à laquelle les boîtes de réception font confiance. Utilisez MailReach pour faire l'email warmup de vos comptes, tester le placement en boîte de réception et protéger votre délivrabilité.