Ce que vous apprendrez dans cet article
- La mention "DMARC policy not enabled" signifie généralement que votre domaine n'a pas d'enregistrement DMARC publié ou que votre politique DMARC est réglée sur p=none, c'est-à-dire qu'elle surveille le courrier non authentifié mais ne prend aucune mesure.
- Pour y remédier, il faut d'abord publier un enregistrement DMARC valide (un enregistrement DNS TXT) et confirmer l'alignement des identifiants SPF/DKIM avant de passer à la mise en œuvre.
- Le passage de p=none → quarantaine → rejet doit se faire progressivement, en utilisant les rapports DMARC pour identifier d'abord toutes les sources de courrier électronique légitimes.
- Le DKIM est le plus efficace lorsqu'il est associé au SPF et au DMARC dans le cadre d'une stratégie plus large de sécurisation du courrier électronique.
- Des outils tels que Mimecast DMARC Analyzer peuvent aider à générer, publier et surveiller les enregistrements, rendant l'application plus sûre et plus facile à gérer à l'échelle.
Qu'est-ce que l'erreur "DMARC Policy Not Enabled" ?
L'erreur "DMARC policy not enabled" signifie que votre domaine n'applique pas de mesure d'exécution via DMARC. Dans de nombreux outils , il est déclenché quand :
- Il n'y a pas d'enregistrement DMARC publié pour votre domaine, ou
- Un enregistrement DMARC existe, mais la politique DMARC de est réglée sur p=none (surveillance uniquement), de sorte qu'elle ne peut pas prendre de mesures à l'égard des courriels non autorisés.
DMARC fonctionne avec Sender Policy Framework (SPF) et DKIM pour soutenir l'authentification du courrier électronique. SPF vérifie si l'IP d'envoi est autorisée (sur la base de votre enregistrement SPF). DKIM vérifie la signature DKIM à l'aide de votre enregistrement DKIM.
DMARC évalue ensuite l'alignement (également appelé alignement de l'identifiant) pour confirmer que SPF ou DKIM "correspond" au domaine From visible, ce qui rend l'authentification DMARC utile pour la protection de la marque.
Pourquoi une politique DMARC n'est-elle pas activée ?
Ce problème de politique DMARC non activée est généralement dû à l'une des deux choses suivantes : une configuration DNS manquante ou une mise en œuvre tardive de .
Causes techniques courantes
Ce problème est souvent lié à la configuration du DNS et à l'alignement de l'authentification. Avant de modifier les règles, confirmez que l'enregistrement existe, qu'il est valide et que SPF/DKIM est configuré pour s'aligner sur votre domaine From.
- Aucun enregistrement DMARC DNS TXT n'est publié sur votre serveur DNS (les outils affichent donc "no record" ou "DMARC record found : no").
- L'enregistrement DMARC existe mais est incomplet (v=DMARC1 ou p= manquants), la validation dmarc échoue.
- SPF/DKIM existent, mais l'alignement SPF ou DKIM ne passe pas, donc le propriétaire du domaine hésite à les appliquer.
- Les expéditeurs tiers (plateformes de marketing, systèmes de billetterie, outils de gestion de la relation client) envoient des courriers sans DKIM signature ou SPF aligné.
Causes organisationnelles communes
Même lorsque les éléments techniques sont disponibles, les organisations peuvent retarder l'application de la loi en raison de préoccupations liées au risque et d'une visibilité imprécise de l'expéditeur sur le site . Ces bloqueurs sont courants dans les environnements où les expéditeurs tiers sont nombreux et où la maturité des rapports DMARC est limitée.
- Se fier uniquement à SPF/DKIM, sans tenir compte du fait que DMARC ajoute l'application de la loi et Rapports DMARC
- Les anciens systèmes de messagerie et les écosystèmes complexes d'expéditeurs rendent la mise en œuvre de DMARC risquée.
- Crainte de perturber la délivrabilité des courriers électroniques si l'application de la loi est activée avant que tous les expéditeurs ne soient pris en compte.
- Visibilité limitée des flux de courrier, de sorte que les équipes ne savent pas quels systèmes envoient au nom du domaine jusqu'à ce qu'elles commencent à surveiller avec p=none.
C'est pourquoi les outils de reporting et de suivi sont importants pour réduire les conjectures et permettre une mise en œuvre contrôlée et échelonnée de .
Comment résoudre l'erreur "DMARC Policy Not Enabled" (Politique DMARC non activée) ?
Étape 1 : Vérifier l'existence d'un enregistrement DMARC
Effectuez une vérification à l'aide d'un outil de vérification DMARC / de recherche DMARC sur . Vous cherchez à confirmer qu'un enregistrement DMARC est présent en tant qu'enregistrement DNS TXT sur :
_dmarc.yourdomain.com
Si l'outil indique "pas d'enregistrement DMARC" (ou similaire), vous devez en publier un.
Étape 2 : Générer et publier un enregistrement DMARC de base (p=none)
Commencez par le mode surveillance pour éviter d'interrompre le courrier légitime. Un exemple simple d'enregistrement DMARC :
v=DMARC1 ; p=none ; rua=mailto:dmarc-reports@yourdomain.com ; adkim=r ; aspf=r ; pct=100
- p=none signifie surveillance uniquement (pas d'application)
- rua= active les rapports DMARC agrégés pour vous aider à voir qui envoie les messages que vous recevez.
- adkim / aspf définir le comportement d'alignement (relaxé est un point de départ plus sûr)
Vous pouvez créer cet enregistrement à l'aide d'un générateur d'enregistrements DMARC (ou d'un flux de travail "générer un enregistrement DMARC"), puis le publier en tant qu'enregistrement TXT dans le DNS.
Étape 3 : Validation de l'alignement SPF et DKIM avant la mise en œuvre
Avant de passer à la quarantaine ou au rejet :
- Confirmez que votre authentification SPF fonctionne (votre enregistrement SPF autorise les bons expéditeurs).
- Confirmez que la signature DKIM fonctionne ( signature DKIM valide sur pour chaque flux d'envoi).
- Confirmer l'alignement pour le domaine From (alignement SPF et/ou alignement DKIM)
Si vous ne validez pas d'abord l'alignement, l'application peut avoir un impact sur l'acceptation du fournisseur d'email et sur la délivrabilité globale de l'email .
Étape 4 : Passer du contrôle à l'application en toute sécurité
Une fois que les rapports montrent que vos flux d'e-mails légitimes sont alignés, la politique de progrès peut être mise en œuvre :
- p=none → p=quarantine (les messages qui échouent à DMARC peuvent être considérés comme suspects ; ils sont souvent acheminés vers le spam)
- p=quarantaine → p=rejet (application la plus stricte ; le courrier qui échoue est bloqué)
Cette approche est largement recommandée : surveiller d'abord, renforcer ensuite. Pour résoudre le problème "DMARC policy not enabled", de nombreux vérificateurs attendent une mise en quarantaine ou un rejet (c'est-à-dire que l'application soit activée).
Étape 5 : Utiliser des outils pour gérer la complexité à grande échelle
Si vous avez de nombreux domaines, de nombreux expéditeurs ou des changements fréquents, une approche DMARC hébergée peut vous aider :
- Vues centralisées des statistiques DMARC
- Faciliter la mise à jour des enregistrements
- Identification plus rapide des sources à l'origine des échecs DMARC
- Simplification de la progression de l'application de la législation
Mimecast DMARC Analyzer comprend des flux de travail pour la génération et la publication d'enregistrements DMARC et l'analyse des données DMARC, ce qui, à l'adresse , permet de réduire les risques de perturbation lors du déploiement.
Pourquoi l'activation de DMARC est-elle importante pour la sécurité du courrier électronique ?
Si vous ne résolvez pas la question "DMARC policy not enabled", votre domaine est plus facile à usurper. En l'absence d'application, les destinataires ont moins d'instructions sur ce qu'il faut faire avec les messages non authentifiés prétendant provenir de vous, ce qui augmente l'exposition au phishing et à l'usurpation d'identité de marque.
L'activation de la mise en œuvre de DMARC prend en charge :
-
Renforcement de la sécurité du courrier électronique (réduction du nombre d'e-mails non authentifiés parvenant aux destinataires)
-
Amélioration de la confiance dans la marque et de la réputation de l'expéditeur au fil du temps
-
Amélioration de la cohérence de l'emplacement de la boîte de réception lorsque le courrier authentique est aligné
-
Des rapports plus propres et une détection plus rapide des expéditeurs mal configurés
Il peut également s'agir d'une condition préalable à l'obtention de certains indicateurs de marque. De nombreuses implémentations BIMI exigent l'application de DMARC (p=quarantine ou p=reject), ce qui signifie qu'une "politique non activée" peut bloquer la progression de BIMI.
Passer de "DMARC Policy Not Enabled" à une protection totale
Le message "DMARC policy not enabled" indique que votre domaine n'applique pas encore DMARC, soit parce qu'il n'existe pas d'enregistrement DMARC, soit parce que votre politique est encore réglée sur le mode de surveillance p=none. La solution la plus sûre consiste à procéder par étapes : publier un enregistrement DMARC TXT valide, utiliser les rapports pour confirmer l'alignement de tous les expéditeurs, puis passer à la quarantaine et enfin au rejet.
Si vous souhaitez réduire les risques tout en accélérant la mise en place et l'application de DMARC, des outils tels que Mimecast DMARC Analyzer peuvent vous aider à suivre les expéditeurs, à valider les changements et à gérer les rapports à grande échelle.