Comment lire un rapport DMARC (étape par étape pour les expéditeurs B2B)

Un rapport agrégé DMARC est un résumé envoyé par les fournisseurs de boîtes mail qui montre comment les e-mails prétendant provenir de votre domaine ont été traités lors des contrôles d'authentification tels que SPF et DKIM.

Ces rapports sont essentiels pour comprendre qui envoie des e-mails en votre nom, le volume d'e-mails envoyés et si ces e-mails passent l'authentification. Ils constituent la principale source d'informations fiables pour identifier les expéditeurs légitimes, les erreurs de configuration et les abus potentiels.

Cependant, même les administrateurs informatiques expérimentés ont souvent du mal à interpréter les rapports DMARC. Les données sont denses, très techniques et difficiles à traduire en mesures claires et concrètes pour améliorer la délivrabilité et la sécurité des e-mails.

Pour les équipes non techniques, le défi est encore plus grand. Les rapports sont fournis au format XML et donnent peu d'indications sur ce qui importe réellement ou ce qu'il faut corriger en priorité.

Dans ce guide, nous décomposons les rapports agrégés DMARC en éléments pratiques, expliquons les points importants à retenir et montrons comment transformer les données en actions significatives afin d'améliorer les performances des e-mails.

Types de rapports DMARC

La norme DMARC définit deux types de rapports. Cependant, seul l'un d'entre eux est systématiquement disponible et utile pour la plupart des équipes B2B chargées de la délivrabilité des e-mails.

Rapports agrégés DMARC (RUA)

Les rapports agrégés DMARC (RUA) sont les principaux rapports avec lesquels vous travaillerez.

Ils sont envoyés quotidiennement par les fournisseurs de messagerie électronique et fournissent un résumé au niveau du domaine de toutes les activités de messagerie électronique observées pendant une période donnée. Chaque rapport regroupe les messages par source d'envoi et affiche les résultats d'authentification pour SPF, DKIM et DMARC.

Les fournisseurs de messagerie tels que Google et Microsoft fournissent régulièrement des rapports agrégés. Ils constituent donc la base de la surveillance DMARC et sont au cœur de ce guide.

Rapports d'analyse DMARC (RUF)

Les rapports d'analyse DMARC (RUF) sont conçus pour fournir des détails au niveau du message lorsque l'authentification échoue.

En réalité, ils sont rarement disponibles. De nombreux fournisseurs de messagerie électronique ne les envoient plus ou censurent fortement les données en raison des contraintes liées à la confidentialité. Le soutien varie considérablement, et la plupart des domaines B2B ne reçoivent jamais de rapports d'expertise, même lorsqu'ils en font la demande.

En conséquence, la plupart des équipes s'appuient presque exclusivement sur des rapports agrégés pour assurer un suivi continu et prendre des décisions.

Que contient un rapport agrégé DMARC ?

Un rapport agrégé DMARC est un résumé structuré de l'activité de messagerie associée à votre domaine sur une période définie. Ces rapports ont une portée intentionnellement limitée. Ils ne montrent pas les messages individuels, leur contenu ou leurs destinataires. Ils se concentrent plutôt sur les signaux d'authentification de haut niveau que les fournisseurs de boîtes aux lettres sont prêts à partager à grande échelle.

Comme les rapports sont fournis sous forme de fichiers XML, ils ne sont pas destinés à être examinés manuellement. La plupart des équipes utilisent des outils d'analyse ou des plateformes DMARC pour rendre les données lisibles. Cette limitation explique également pourquoi les fournisseurs de messagerie privilégient les rapports agrégés. Ceux-ci offrent un bon équilibre entre visibilité et confidentialité et sont pris en charge de manière cohérente par les principaux fournisseurs.

Au niveau structurel, chaque rapport agrégé DMARC contient les mêmes éléments fondamentaux.

Organisme déclarant

Cela identifie le fournisseur de messagerie qui a généré le rapport. Les organismes de reporting courants incluent Google et Microsoft. Chaque fournisseur envoie son propre rapport basé sur le trafic qu'il a observé pour votre domaine.

Période

Le rapport couvre une période spécifique, généralement de 24 heures. Cela vous permet de suivre le comportement d'authentification jour après jour et de repérer les changements au fil du temps plutôt que des événements isolés.

Envoi des sources

Les sources d'envoi sont répertoriées au niveau de l'adresse IP. Chaque source représente un serveur qui a envoyé des e-mails en utilisant votre domaine pendant la période couverte par le rapport.

Volume de messages par source

Pour chaque source d'envoi, le rapport inclut le nombre de messages observés, fournissant ainsi une visibilité sur le volume d'e-mails envoyés par chaque adresse IP pour le compte de votre domaine pendant la période spécifiée.

Résultats de l'authentification

Chaque source d'envoi comprend des résultats d'authentification basés sur trois mécanismes.

o Les résultats SPF indiquent si le serveur expéditeur était autorisé à envoyer des e-mails au nom du domaine.

o Les résultats DKIM indiquent si les messages ont été signés cryptographiquement et si le domaine de signature correspond au domaine visible dans le champ « De ».

o La disposition DMARC indique comment le fournisseur de messagerie a traité les messages en fonction de votre politique DMARC publiée.

Cadre étape par étape pour lire un rapport DMARC 

Les rapports agrégés DMARC sont fournis sous forme de fichiers XML. Bien qu'ils puissent sembler techniques, il n'est pas nécessaire de comprendre chaque balise pour en tirer des informations utiles.

Voici un exemple simplifié d'un rapport agrégé DMARC pour example.com.

<feedback>
  <report_metadata>
    <org_name>google.com</org_name>
    <email>noreply-dmarc-support@google.com</email>
    <date_range>
      <begin>1705968000</begin>
      <end>1706054399</end>
    </date_range>
  </report_metadata>

  <policy_published>
    <domain>example.com</domain>
    <p>none</p>
    <adkim>r</adkim>
    <aspf>r</aspf>
  </policy_published>

  <record>
    <row>
      <source_ip>209.85.220.41</source_ip>
      <count>120</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>pass</spf>
      </policy_evaluated>
    </row>
  </record>

  <record>
    <row>
      <source_ip>198.51.100.23</source_ip>
      <count>450</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
  </record>

  <record>
    <row>
      <source_ip>203.0.113.77</source_ip>
      <count>6</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>fail</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
  </record>
</feedback>

Vous n'avez pas besoin de lire cette ligne par ligne. Appliquez plutôt les quatre étapes suivantes à chaque fois.

Étape 1 : Qui a envoyé l'e-mail ?

Look for the <source_ip> field in each record.

Dans cet exemple, trois adresses IP ont envoyé des e-mails à partir de example.com. Chaque adresse IP représente un système d'envoi observé par le fournisseur de messagerie. À ce stade, votre seule tâche consiste à reconnaître l'adresse IP. Demandez si l'adresse IP appartient à une source connue telle que Google Workspace, Microsoft 365, un outil de prospection commerciale ou une plateforme marketing.

Étape 2 : Volume d'e-mails envoyés

Next, look at the <count> value for each source.

Le volume vous aide à hiérarchiser votre attention. Les sources à volume élevé sont plus importantes que celles à faible volume. Une seule adresse IP inconnue envoyant des milliers d'e-mails mérite une enquête immédiate. Quelques messages peuvent simplement indiquer des tentatives d'usurpation d'identité en arrière-plan.

Étape 3 : L'authentification a-t-elle réussi ?

Lorsque vous examinez un rapport DMARC agrégé, vous répondez à trois questions fondamentales pour chaque source d'envoi. Chacune d'entre elles correspond directement à une balise XML spécifique dans le rapport.

Now look at the authentication outcomes inside <policy_evaluated>.

Vous ne diagnostiquez pas encore les causes profondes. Vous observez simplement les résultats :

• Le SPF a-t-il été adopté ?

SPF results appear in the <policy_evaluated> block under the <spf> tag. If the report shows <spf>fail</spf>, SPF validation failed. The sending IP was not authorized by your domain’s SPF record at the time the message was evaluated.

If it shows <spf>pass</spf>, the sending server was authorized to send email on behalf of the domain.

• Le DKIM a-t-il été validé ?

DKIM results appear under the <dkim> tag in the same block. A value of <dkim>pass</dkim> means the message was correctly signed and the signature aligned with the visible From domain.

A value of <dkim>fail</dkim> means the message was not properly signed, the signature was invalid, or domain alignment failed.

• Le DMARC l'a-t-il évalué comme conforme ?

DMARC’s final decision appears in the <disposition> tag. A value of <disposition>none</disposition> means no enforcement was applied, which is typical when a domain is in monitoring mode.

Des valeurs telles que « quarantaine » ou « rejet » indiquent que le message n'a pas satisfait à l'évaluation DMARC et que la politique publiée a été appliquée.

Ces trois balises répondent à la troisième étape du cadre que vous avez vu précédemment. Une fois que vous savez qui a envoyé l'e-mail et combien il en a envoyé, SPF, DKIM et disposition vous indiquent si cette activité a été authentifiée et comment les fournisseurs de boîtes aux lettres l'ont traitée.

Étape 4 : Évaluer si le modèle est conforme aux attentes

Enfin, combinez les résultats relatifs à l'identité, au volume et à l'authentification.

• Une adresse IP Google Workspace connue, conforme aux protocoles SPF et DKIM, est attendue.
• Un outil connu qui échoue au test SPF mais réussit le test DKIM peut être normal.
• Une adresse IP inconnue qui échoue aux deux vérifications, même à faible volume, est inattendue.

C'est là que le XML brut devient un signal exploitable.

Comment interpréter les signaux d'authentification ?

Une fois que vous avez identifié l'expéditeur de l'e-mail et le volume envoyé, l'étape suivante consiste à interpréter les résultats de l'authentification. C'est là que les rapports DMARC s'avèrent utiles pour la prise de décision.

Les résultats d'authentification aident les fournisseurs de messagerie à déterminer si un e-mail est fiable. Votre travail consiste à comprendre la signification de ces signaux et à savoir comment les interpréter.

Envoi des sources et des tendances de volume
Chaque ligne d'un rapport DMARC représente un groupe de messages provenant d'une adresse IP spécifique. Les tendances de volume sont importantes, car les fournisseurs de boîtes mail établissent leur réputation progressivement. Les pics soudains indiquent souvent des erreurs de configuration, de nouveaux outils ou des abus.

Un volume faible mais récurrent provenant d'adresses IP inconnues indique généralement des tentatives d'usurpation de domaine.

Résultats SPF
SPF vérifie si une adresse IP expéditrice est autorisée à envoyer des e-mails au nom de votre domaine.

Les échecs SPF sont courants et ne constituent pas toujours un problème. Ils surviennent souvent en raison du transfert, d'enregistrements incomplets ou d'outils qui s'appuient plutôt sur DKIM.

Une défaillance SPF devient préoccupante lorsqu'elle se répète à grande échelle ou s'accompagne de défaillances DKIM.

Résultats DKIM
DKIM vérifie l'intégrité des messages et l'alignement des domaines. Il s'agit du signal d'authentification le plus puissant pour la délivrabilité B2B, car il résiste au transfert et bénéficie d'une grande confiance de la part de Google et Microsoft.
Pour la plupart des expéditeurs B2B, des vérifications DKIM cohérentes et un alignement entre tous les outils sont indispensables.

Comprendre les résultats de la politique DMARC

Les politiques DMARC définissent la manière dont les fournisseurs de boîtes mail doivent traiter les e-mails qui échouent aux contrôles d'authentification. Ces résultats apparaissent dans les rapports agrégés comme la disposition finale pour chaque source d'envoi.

Ces politiques gèrent l'exposition au risque, et non le placement dans la boîte de réception. Elles contrôlent ce qu'il advient des e-mails non authentifiés, et non si les e-mails authentifiés arrivent dans la boîte de réception.

Les politiques DMARC réduisent l'exposition à l'usurpation d'identité et à l'utilisation non autorisée de votre domaine. Elles n'améliorent pas en elles-mêmes l'engagement, la réputation de l'expéditeur ou le placement dans la boîte de réception.

L'authentification établit la légitimité. La délivrabilité est déterminée par la réputation et le comportement au fil du temps.

Identification des expéditeurs légitimes et des abus

Une fois que vous comprenez les résultats de l'authentification, l'étape suivante consiste à déterminer quelles sources d'envoi sont fiables et lesquelles nécessitent une attention particulière.

Cette détermination repose rarement sur un seul signal. Les adresses IP inconnues ou les échecs d'authentification isolés n'indiquent pas en soi un abus. La confiance s'établit à partir de schémas observés au fil du temps, en particulier lorsque le volume et la répétition sont présents.

Comment classer chaque source d'envoi

Une bonne façon de traiter les rapports DMARC consiste à classer chaque ligne dans l'une des trois catégories suivantes.

Cette classification simple garantit l'efficacité de l'examen DMARC et évite les modifications inutiles qui pourraient perturber le flux légitime des e-mails.

Modèles courants d'échec DMARC

Les rapports agrégés DMARC ont tendance à afficher les mêmes combinaisons de résultats d'authentification au fil du temps. Ces combinaisons sont utiles car elles indiquent des causes probables, et non des causes certaines.

Les fournisseurs de boîtes aux lettres évaluent l'authentification de manière légèrement différente, et les chemins d'envoi peuvent varier en fonction du transfert, des passerelles et des outils utilisés. Les modèles ci-dessous doivent être considérés comme des raccourcis diagnostiques et non comme des conclusions absolues.

• SPF réussi, DKIM échoué
  DKIM souvent manquant ou mal aligné.
  
  
• DKIM réussi, SPF échoué
  Fréquent avec le transfert ou une infrastructure partagée. Généralement acceptable.
  
  
• Échec SPF, échec DKIM
  Modèle à haut risque. Indique une usurpation d'identité ou une mauvaise configuration.
  
• 
  Une seule passe mais DMARC échoué
  Problème d'alignement entre l'authentification et le domaine d'origine.

Correction des informations affichées dans les rapports DMARC

Les rapports DMARC indiquent les problèmes précis liés à la configuration de la messagerie électronique. Commencez par résoudre les problèmes les plus importants, puis traitez les autres étape par étape.

• Autorisez les outils de messagerie légitimes: ajoutez tous les outils que vous utilisez (Outlook, plateformes marketing) à votre liste d'expéditeurs approuvés. Cela permet d'éviter les erreurs liées aux « expéditeurs non autorisés ».
• Activez DKIM pour tous les e-mails: DKIM ajoute une signature numérique pour prouver que les e-mails proviennent bien de vous et n'ont pas été modifiés. Activez-le partout où vous envoyez des e-mails.
• Simplifiez vos enregistrements SPF: veillez à ce que la liste des expéditeurs approuvés reste courte et à jour. Un nombre trop important d'entrées perturbe les systèmes de messagerie. Supprimez les outils anciens ou inutilisés.
• Bloquez les sources d'e-mails indésirables: bloquez les expéditeurs malveillants qui se font passer pour votre entreprise. Concentrez-vous sur les adresses IP inconnues qui envoient beaucoup de messages.
• Vérifiez les résultats après les modifications: surveillez les rapports pendant 7 à 14 jours. Les problèmes résolus se traduisent par une baisse du nombre d'erreurs et une augmentation des taux de réussite.

Commencez par les problèmes importants

Comment hiérarchiser les problèmes ?

Les rapports DMARC arrivent quotidiennement. Tous les problèmes ne nécessitent pas une action immédiate. Observez les tendances sur plusieurs jours afin de distinguer les changements normaux des problèmes ayant un impact important.

De l'authentification au placement dans la boîte de réception

DMARC prouve la légitimité. Il ne gagne pas la confiance.

Les fournisseurs de messagerie récompensent en fin de compte les comportements tels que l'engagement positif des utilisateurs, la cohérence et la réputation au fil du temps. C'est là que de nombreuses équipes échouent. Elles corrigent l'authentification, voient tout passer, mais continuent à recevoir des spams.

C'est normal.

L'authentification élimine les obstacles. La réputation influence les résultats.

MailReach complète DMARC en gérant la couche sur laquelle DMARC n'a aucune influence. email warmup progressif email warmup des signaux d'engagement qui apprennent à Google et Microsoft à faire confiance à votre comportement d'envoi. Les tests anti-spam permettent de détecter les risques liés au contenu et à la mise en forme avant qu'ils ne nuisent à votre réputation. La surveillance continue garantit que les problèmes techniques n'affectent pas discrètement la délivrabilité.

DMARC ouvre la voie. MailReach instaure la confiance qui permet aux e-mails d'être lus et de recevoir une réponse.

Commencez à bâtir une réputation d'expéditeur digne de confiance. Utilisez MailReach pour activer vos comptes de messagerie, tester le placement dans la boîte de réception et protéger votre délivrabilité.