Mimecast Logo
Obtenir un devis
    Aperçus sur la Cyber Resilience
    Tous les thèmes
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Brand Protection

    Exigences DMARC de Google, Yahoo ! et Microsoft - Mise à jour 2026

    Conseils pour protéger votre organisation contre l'usurpation d'identité en configurant DMARC dans Google Workspace et pour répondre aux exigences DMARC de la norme PCI DSS pour les cartes de crédit.

    by Andrew Williams

    Key Points

    • À partir de février 2024, les expéditeurs qui envoient plus de 5 000 courriels par jour aux comptes Google et Yahoo ! devaient avoir une  politiqueDMARC active. En 2026, cette exigence est strictement appliquée, les messages non conformes étant désormais rejetés au niveau SMTP.
    • Les expéditeurs doivent également définir des enregistrements SPF et DKIM par domaine et garantir l'alignement, ainsi qu'utiliser l'authentification ARC pour les messages transférés.
    • Les politiques DMARC peuvent être définies pour rejeter, mettre en quarantaine ou simplement délivrer les messages électroniques qui n'ont pas été authentifiés ; les politiques peuvent être définies séparément pour tous les noms de domaine de l'organisation ; les rapports fournissent un retour d'information sur l'utilisation - et l'abus potentiel - des domaines.
    • Les exigences de la norme PCI DSS v4.0 DMARC seront désormais actives en 2026, affectant toutes les organisations traitant des données de cartes de crédit.

    Exigences en matière d'envoi de courrier électronique

    En février 2024, Google et Yahoo ! ont introduit de nouvelles normes d'authentification obligatoires pour les expéditeurs de courriers électroniques en nombre, exigeant qu'ils disposent d'une politiqueactive d'authentification, de signalement et de conformité des messages basés sur le domaine (DMARC). Au début de l'année 2025, Microsoft leur a emboîté le pas. Puis, à la fin de l'année 2025, Gmail a commencé à appliquer des règles strictes au niveau SMTP pour les messages non conformes, y compris les rejets et les reports de livraison.

    Cela signifie qu'aujourd'hui, en 2026, le fait de ne pas répondre aux exigences de DMARC a des conséquences importantes :

    • Délivrabilité des campagnes de marketing
    • Fiabilité du courrier électronique transactionnel
    • CRM et flux de courriels automatisés
    • Outils d'envoi tiers (HubSpot, Salesforce, Mailchimp, etc.)

    En outre, les expéditeurs sont tenus de définir des enregistrements SPF et DKIM par domaine et d'utiliser l'authentification ARC pour les messages transférés.

    Les courriels qui ne sont pas authentifiés sont rejetés ou marqués comme spam, ce qui compromet la livraison des communications envoyées par des organisations qui ne respectent pas les règles de Google, Yahoo ! et Microsoft. 

    Qu'est-ce qui a motivé ces exigences ?

    Ces fournisseurs de courrier électronique ont cherché à réduire la capacité des attaquants à se cacher parmi les expéditeurs de masse qui ne sécurisent pas souvent leurs systèmes de courrier électronique. Ils étaient déterminés à atteindre cet objectif en se concentrant sur la validation des courriels afin d'empêcher les mauvais acteurs potentiels d'atteindre les boîtes de réception de leurs clients.

    Il y a aussi d'autres avantages à cela. Les domaines qui ont mis en place DMARC bénéficient d'un meilleur positionnement dans la boîte de réception, ce qui signifie que les courriels sont moins susceptibles d'être signalés comme étant du spam ou d'être purement et simplement rejetés.

    Informations techniques à connaître sur DMARC et les politiques DMARC

    Qu’est-ce qu’un enregistrement DMARC ?

    Un enregistrement DMARC indique au serveur de messagerie destinataire ce qu'il doit faire si un message Gmail provenant du domaine d'une organisation échoue à l'authentification.

    DMARC fonctionne avec deux méthodes d'authentification du courrier électronique : Sender Policy Framework (SPF) et Domain Keys Identified Mail (DKIM). SPF permet de spécifier quelles adresses IP du domaine d'une organisation sont autorisées à envoyer du courrier électronique. DKIM ajoute une signature numérique aux messages sortants. Le serveur de réception utilise SPF pour authentifier le message comme provenant d'une source fiable et DKIM pour vérifier que le message n'a pas été modifié en cours de route.

    Règles DMARC de Google Workspace

    Un enregistrement DMARC doit spécifier une politique concernant l'action que le serveur de réception doit entreprendre si le courrier électronique entrant échoue à l'authentification SPF ou DKIM. Il existe trois options de stratégie DMARC pour Gmail :

    • Aucun: Délivrer le message normalement.
    • Quarantaine: Envoyez le message dans le dossier spam du destinataire ou en quarantaine si une option de quarantaine est configurée.
    • Rejeter: Ne pas délivrer le message. Souvent, le serveur de réception informe l'expéditeur de l'échec du message.

    Google Workspace recommande de commencer par p=none, d'examiner les rapports, puis de passer progressivement à la quarantaine et au rejet au fur et à mesure que les expéditeurs légitimes et illégitimes sont identifiés. Les rapports permettent de savoir quels serveurs envoient des messages en votre nom et de connaître le pourcentage de messages qui passent ou qui échouent.

    Marche à suivre pour configurer unenregistrementDMARC pour Google Workspace1

    DMARC est configuré comme un enregistrement DNS TXT sur l'hôte du domaine d'une organisation. L'enregistrement contient des drapeaux spécifiant des paramètres pour le serveur de réception. Chaque paramètre est une paire balise-valeur. Par exemple, pour définir la politique de rejet, la paire balise-valeur serait "p=reject". En suivant ces étapes, l'enregistrement DMARC de l'organisation sera configuré et publié :

    1. Configurez SPF et DKIM, puis attendez 48 heures avant de publier l'enregistrement DMARC.

    2. Créez l'enregistrement DMARC sous la forme d'une ligne de texte avec des paires balise-valeur séparées par des points-virgules. Le tableau ci-dessous présente des exemples de balises et de valeurs possibles. Sachez que ces balises et valeurs peuvent varier d'un hôte à l'autre. Les balises v et p sont obligatoires et doivent être placées en premier. Les autres balises sont facultatives.

    TAG

    VALEURS

    vVersion. Il doit s'agir de DMARC1.
    pPolitique pour les messages qui échouent à l'authentification. Les valeurs possibles sont rejeter, mettre en quarantaine ou aucun.
    spPolitique pour les sous-domaines. Les valeurs possibles sont rejeter, mettre en quarantaine ou aucun. Par défaut, la politique appliquée est la même que celle du domaine.
    pctLe pourcentage de messages non valides auxquels il faut donner suite. La valeur doit être comprise entre 1 et 100, 100 étant la valeur par défaut.
    aspfLa politique d'alignement pour SPF. Peut être s (strict) ou r (détendu). L'option "détendu" est l'option par défaut.
    adkimLa politique d'alignement pour DKIM. Peut être s (strict) ou r (détendu). L'option "détendu" est l'option par défaut.
    ruaL'adresse électronique (précédée de mailto :) à laquelle les rapports DMARC doivent être envoyés.

    3. Dans la console de gestion de l'hôte du domaine, localisez l'endroit où l'enregistrement DNS peut être mis à jour. Saisissez le nom de l'enregistrement DMARC TXT de l'organisation sous la forme "dmarc", suivi d'un point et du nom de domaine de l'organisation. Certains hôtes ajouteront automatiquement le nom de domaine. Téléchargez l'enregistrement et enregistrez les modifications. Répétez ce processus pour chaque domaine.

    Renforcement de l'application de l'alignement

    Comme les organisations adoptent de plus en plus de services de messagerie SaaS et de tiers, les problèmes d'alignement sont devenus l'un des problèmes DMARC les plus courants. En 2026, les fournisseurs de boîtes aux lettres signalent plus fréquemment :

    • Domaines "From" mal alignés
    • Expéditeurs tiers sans SPF/DKIM autorisé
    • Messages transférés sans authentification ARC

    Il est désormais essentiel d'aligner correctement tous les canaux de messagerie, y compris les plateformes de marketing, les systèmes de billetterie, l'automatisation de la gestion de la relation client et les applications en nuage, afin de maintenir la délivrabilité.

    Exigences supplémentaires imminentes pour les paiements par carte de crédit

    Le secteur des cartes de crédit a mis en place ses propres exigences en matière de DMARC. À partir de 2025, le Payment Card Industry Security Standards Council (PCI SSC) impose l'utilisation de DMARC à toute entreprise traitant des cartes de crédit et d'autres paiements, ainsi qu'aux prestataires de services financiers. DMARC fait officiellement partie de la nouvelle norme de sécurité des données PCI, version 4 (PCI DSS v4.0).

    L'exigence DMARC vise à aider les organisations à fonctionner de manière plus sûre dans un paysage économique où les violations de données et les vols de cartes de crédit continuent d'augmenter en nombre et en coût, selon des statistiques récentes sur la cybersécurité. Elle devrait également accélérer l'adoption de DMARC, car le non-respect de la norme PCI DSS peut entraîner des amendes et des pénalités pouvant aller jusqu'à la perte du droit de traiter des paiements. D'un autre côté, la plupart des entreprises - en particulier les petites et moyennes entreprises (PME) - ont du mal à adopter la norme d'authentification du courrier électronique, car les outils DMARC se sont révélés compliqués à déployer. Pour répondre à ce besoin, Mimecast a créé une solution de sécurité tout-en-un pour Google Workspace. 

    Gouvernance DMARC multi-domaines

    Pour compliquer encore les choses, les organisations gèrent de plus en plus souvent des dizaines, voire des centaines, de domaines enregistrés. Par conséquent, la gouvernance DMARC va désormais au-delà de l'installation :

    • Contrôle continu
    • Gestion du cycle de vie des domaines dormants ou inutilisés
    • Détection des expéditeurs non autorisés
    • Normaliser l'alignement au sein des équipes distribuées

    L'évolution vers une surveillance multi-domaine a rendu les outils centralisés essentiels au maintien du contrôle.

    Obtenir de l'aide de Mimecast

    Si le processus DMARC de Google Workspace ou la mise en œuvre de DMARC pour répondre aux exigences de la prochaine norme PCI DSS vous semble un peu intimidant, la bonne nouvelle est que des fournisseurs de services de sécurité tels que Mimecast proposent des outils DMARC basés sur le cloud. Ces outils simplifient la mise en œuvre de DMARC - par exemple, en fournissant des assistants de configuration pour créer des enregistrements DMARC pour tous les domaines. D'autres outils valident les enregistrements DMARC et créent des rapports et des graphiques conviviaux pour analyser les messages dont l'authentification a échoué, ainsi que des rapports judiciaires pour trouver la source des messages électroniques malveillants.

    Alors que l'usurpation d'identité en ligne continue de se développer, des sites comme Google, Yahoo ! et Microsoft vont continuer à mettre en place des normes plus strictes pour les expéditeurs, en particulier ceux qui envoient des milliers d'emails par jour. Mimecast est prêt à vous aider avec DMARC Analyzer et l'expertise nécessaire pour répondre aux directives DMARC existantes et nouvelles.

    Solution SaaS, DMARC Analyzer de Mimecast permet aux clients de gérer facilement des projets de déploiement complexes et offre une visibilité et une gouvernance à 360°. Il permet une mise en application rapide et simple à l'aide d'outils intuitifs en libre-service, y compris une gestion de projet intégrée, ce qui permet une mise en application à faible risque.

    La solution DMARC Analyzer de Mimecast protège les marques en fournissant les outils nécessaires pour mettre fin à l'usurpation et à l'utilisation abusive des domaines détenus. Conçue pour réduire le temps et les ressources nécessaires à la mise en conformité DMARC, la solution en libre-service de Mimecast fournit les rapports et les analyses nécessaires pour obtenir une visibilité complète de tous les canaux de messagerie. L'utilisation de DMARC pour empêcher l'usurpation de domaine direct protège contre les abus de marque et les escroqueries qui ternissent la réputation et causent des pertes directes pour une organisation ainsi que pour ses clients et partenaires. 

    En plus de la capacité de libre-service de DMARC Analyzer, Mimecast offre des services gérés pour guider de manière proactive les organisations à travers chaque étape du déploiement et de la maintenance de DMARC, garantissant ainsi des bénéfices importants de la gamme complète des capacités de DMARC. De nombreuses organisations rencontrent des difficultés à mettre en œuvre DMARC par elles-mêmes, ce qui est compréhensible en raison de la complexité de la solution. C'est pourquoi Mimecast a développé une solution complète de services gérés pour aider ces organisations.

    Obtenez un essai gratuit du DMARC Analyzer de Mimecast ici.

     

     

    **Ce blog a été mis à jour à partir d'une version précédente.

    1 Voir les instructions DMARC de Google

    Related Articles

    Brand Protection
    DMARC Basics: What It Is and How It Works  
    Ready to secure the human layer? REQUEST A DEMO

    Abonnez-vous à Cyber Resilience Insights pour plus d'articles comme ceux-ci

    Recevez toutes les dernières nouvelles et analyses de l'industrie de la cybersécurité directement dans votre boîte de réception.

    Inscription réussie

    Merci de vous être inscrit pour recevoir les mises à jour de notre blog.

    Nous vous contacterons !

    Haut de la page