Configurer DMARC sur Microsoft 365 / Office 365
Mis à jour le 1 décembre 2025
Guide complet pour configurer DMARC sur votre domaine Microsoft 365 et protéger vos emails professionnels contre l'usurpation d'identité.
DMARC (Domain-based Message Authentication, Reporting & Conformance) est la pièce finale du puzzle de l'authentification email. Il s'appuie sur SPF et DKIM pour indiquer aux serveurs destinataires comment traiter les emails non authentifiés envoyés depuis votre domaine.
Avec Microsoft 365, DMARC ne se configure pas dans le centre d'administration Exchange. L'enregistrement doit être ajouté directement dans la zone DNS de votre registrar (OVH, Gandi, GoDaddy, Cloudflare, etc.).
Objectif : bloquer les tentatives de phishing et spoofing utilisant votre domaine, améliorer votre délivrabilité et recevoir des rapports détaillés sur les emails envoyés en votre nom.
Pourquoi DMARC complète SPF et DKIM
SPF et DKIM authentifient vos emails, mais ne définissent pas ce qui doit arriver aux emails qui échouent. C'est le rôle de DMARC :
SPF vérifie le serveur d'envoi
Est-ce que l'IP qui envoie est autorisée ?
DKIM vérifie l'intégrité du message
Est-ce que l'email a été modifié en transit ?
DMARC définit la politique
Que faire si SPF ou DKIM échoue ?
1Prérequis : SPF et DKIM configurés
Attention : configurez SPF et DKIM avant DMARC
DMARC s'appuie sur SPF et DKIM pour évaluer l'authenticité des emails. Si ces enregistrements ne sont pas correctement configurés pour Microsoft 365, une politique DMARC stricte bloquera vos propres emails légitimes.
Checklist avant de continuer :
- □Enregistrement SPF incluant
include:spf.protection.outlook.com - □DKIM activé dans le centre d'administration Exchange Online
- □Tests d'envoi réussis (emails arrivent en inbox sans alerte)
2Accéder à votre zone DNS
Important : DMARC se configure dans votre zone DNS, pas dans Microsoft 365. Connectez-vous au panneau de contrôle de votre registrar (OVH, Gandi, GoDaddy, Cloudflare, Namecheap, etc.) pour ajouter l'enregistrement.
Connectez-vous à votre registrar
Accédez au panneau de gestion DNS de votre hébergeur de domaine
Localisez la zone DNS de votre domaine
Sélectionnez votre domaine et accédez à la section "Zone DNS" ou "Enregistrements DNS"
Préparez-vous à ajouter un enregistrement TXT
Cliquez sur "Ajouter un enregistrement" et sélectionnez le type TXT
3Créer l'enregistrement DMARC
Ajoutez un nouvel enregistrement TXT avec les paramètres suivants :
| Type | TXT |
| Nom / Host | _dmarc |
| TTL | 3600 (ou par défaut) |
| Valeur | v=DMARC1; p=none; rua=mailto:dmarc@votredomaine.fr |
Remplacez dmarc@votredomaine.fr par une adresse email réelle de votre domaine. C'est là que vous recevrez les rapports DMARC quotidiens.
4Déploiement progressif : none → quarantine → reject
Ne passez jamais directement à p=reject. Adoptez une approche progressive pour identifier tous vos services d'envoi légitimes.
Phase 1 (Semaines 1-2) : p=none - Monitoring
Mode observation. Les emails sont délivrés normalement, mais vous recevez des rapports sur toutes les sources d'envoi. Identifiez les services tiers (CRM, newsletter, etc.) qui envoient en votre nom.
Phase 2 (Semaines 3-4) : p=quarantine - Test
Les emails non authentifiés vont en spam. Utilisez le paramètre pct pour appliquer progressivement la politique à 25%, 50%, 75% puis 100% du trafic.
Phase 3 (Après 1 mois) : p=reject - Protection maximale
Les emails non authentifiés sont rejetés complètement. Votre domaine est protégé contre le spoofing et le phishing.
5Exemples d'enregistrements DMARC complets
DMARC basique (démarrage)
DMARC avec rapports agrégés et forensiques
rua = rapports agrégés quotidiens | ruf = rapports d'échec détaillés
DMARC strict avec alignement
adkim=s et aspf=s = alignement strict (domaine exact requis)
6Rapports DMARC avec Microsoft 365 Defender
Microsoft 365 Defender offre une visibilité sur l'authentification email de votre organisation. Bien que les rapports DMARC arrivent par email (à l'adresse rua), Defender permet de visualiser les statistiques d'authentification.
Accéder aux rapports dans Defender
- 1.Accédez à security.microsoft.com
- 2.Naviguez vers Email & collaboration → Reports
- 3.Consultez le rapport Email authentication
Ce que Defender montre
- •Taux de réussite SPF, DKIM et DMARC pour les emails entrants
- •Emails détectés comme spoofing potentiel
- •Tendances d'authentification sur 7, 14 ou 30 jours
Outils tiers pour analyser les rapports DMARC
Les rapports DMARC bruts (fichiers XML) sont difficiles à lire. Utilisez un de ces outils gratuits :
- •Postmark DMARC - Rapports hebdomadaires gratuits et lisibles
- •DMARC Analyzer - Interface visuelle pour comprendre vos données
- •DMARCian - Version gratuite pour petits volumes
Erreurs courantes et dépannage
Passer directement à p=reject
Sans monitoring préalable, vous risquez de bloquer vos propres emails légitimes (newsletters, CRM, outils marketing) qui ne sont pas encore correctement authentifiés.
Oublier le sous-domaine _dmarc
L'enregistrement doit être sur _dmarc.votredomaine.fr, pas à la racine du domaine. Certains registrars ajoutent automatiquement le domaine.
Adresse rua invalide ou inexistante
L'email dans rua=mailto: doit exister et pouvoir recevoir des emails. Créez une boîte dédiée ou un alias.
Ignorer les services tiers
Si vous utilisez Mailchimp, HubSpot, Salesforce ou d'autres outils, assurez-vous qu'ils sont inclus dans votre SPF et que leur DKIM est configuré.
Créer plusieurs enregistrements DMARC
Un seul enregistrement _dmarc est autorisé par domaine. Plusieurs enregistrements causeront des erreurs de validation.
Conseil de dépannage
Après avoir ajouté l'enregistrement, attendez 24-48h pour la propagation DNS complète. Vous pouvez vérifier avec notre outil si l'enregistrement est détecté et correctement formaté.
Besoin d'une infrastructure complète ?
MilleMail construit votre infrastructure cold email clé en main :
- • Agents d'acquisition IA qui scrapent vos leads qualifiés 24/7
- • Infrastructure Microsoft 365 dédiée (domaines, IP, inboxes)
- • Warmup réel avec vrais emails, pas de bots
- • Séquences hyper-personnalisées automatisées
1,000 emails/jour. 100% propriétaire. Zéro technique.
Appel Découverte — 15 min