DMARC reject représente la défense la plus forte contre l’usurpation d’e-mails, mais passer de la quarantaine au rejet sans préparation adéquate entraîne l’échec des e-mails légitimes. Les organisations qui sautent les étapes de validation découvrent souvent des expéditeurs critiques manquants dans leur chaîne d’authentification après le début de l’application quand il est trop tard pour prévenir les échecs de livraison.
Ce guide explique quand l’application du rejet devient sûre, ce qui peut encore échouer même après validation, et comment implémenter le rejet sans perturber les opérations commerciales.
I. Ce que fait réellement DMARC Reject

DMARC reject ordonne aux serveurs de messagerie récepteurs de refuser la livraison des messages qui échouent à l’authentification DMARC. Contrairement à la quarantaine (qui achemine les échecs vers les dossiers spam) ou à none (qui surveille sans application), reject empêche les messages usurpés d’atteindre n’importe quel dossier—y compris les indésirables.
Le mécanisme de base
Lorsqu’un serveur récepteur traite un e-mail prétendant provenir de votre domaine :
- Vérification SPF : L’IP d’envoi correspond-elle à votre enregistrement SPF ?
- Vérification DKIM : Le message est-il signé avec une clé DKIM valide pour votre domaine ?
- Vérification de l’alignement : Au moins une méthode d’authentification réussie s’aligne-t-elle avec le domaine de l’en-tête From ?
- Application de la politique : Si l’alignement échoue, appliquer la politique déclarée dans votre enregistrement DMARC
Une politique de rejet ressemble à ceci :
v=DMARC1; p=reject; rua=mailto:[email protected]Cela indique aux destinataires : « Si DMARC échoue, rejetez le message. Envoyez les rapports agrégés à [email protected]. »
Ce qui peut encore échouer avec Reject
L’application du rejet protège contre l’usurpation externe mais ne prévient pas tous les scénarios d’échec :
Échecs de transfert silencieux : Lorsqu’un e-mail légitime transite par un service de transfert qui casse SPF et ne préserve pas les signatures DKIM, DMARC échoue même si l’expéditeur original était autorisé. L’application du rejet bloque ces messages sans notifier l’expéditeur original.
Désalignements : Si votre fournisseur de services e-mail (ESP) utilise un domaine différent dans l’expéditeur d’enveloppe (pour SPF) et ne signe pas avec DKIM qui s’aligne avec votre en-tête From, DMARC échoue même si SPF et DKIM passent individuellement. Cela arrive couramment lorsque les plateformes marketing utilisent leur propre domaine return-path.
Héritage des sous-domaines : Une politique de rejet sur example.com ne s’applique pas automatiquement à marketing.example.com ou support.example.com à moins de définir explicitement des politiques de sous-domaine avec sp=reject.
Dérogations de réputation : Certains fournisseurs de boîtes de messagerie peuvent outrepasser le rejet pour les expéditeurs à haute réputation ou dans des contextes d’abus spécifiques, bien que ce comportement soit incohérent et ne doive pas être considéré comme fiable.
II. Quand le rejet devient sûr

L’application du rejet devient sûre lorsque vous avez confirmé que tous les expéditeurs légitimes s’authentifient correctement et s’alignent avec DMARC—pas seulement réussissent SPF ou DKIM.
Les prérequis de validation
Avant de passer au rejet, vous avez besoin de :
- 100 % de taux de réussite DMARC pour toutes les sources légitimes sur au moins 30 jours de surveillance
- Aucun échec légitime dans les rapports agrégés des principaux fournisseurs de boîtes de messagerie (Gmail, Microsoft, Yahoo, Apple)
- Alignement confirmé pour chaque expéditeur autorisé (pas seulement l’authentification réussie)
- Couverture des sous-domaines avec des enregistrements DMARC explicites ou une politique d’héritage sp=reject
- Stratégie de transfert pour les scénarios de transfert connus qui cassent l’authentification
Comment lire les rapports DMARC pour la préparation au rejet

Les rapports agrégés montrent les résultats d’authentification groupés par source d’envoi. Avant l’application du rejet, analysez les rapports pour :
Cohérence du volume : Voyez-vous les mêmes expéditeurs autorisés semaine après semaine, ou de nouvelles sources apparaissent-elles régulièrement ? De nouvelles sources indiquent une identification incomplète des expéditeurs.
Succès de l’alignement : Recherchez les lignes où dkim_aligned ou spf_aligned affiche « pass » mais dmarc_result affiche « fail ». Ces lignes représentent une authentification réussie sans alignement—le rejet bloquera ces messages.
Indicateurs de transfert : Vérifiez les lignes où source_ip diffère de votre infrastructure d’envoi connue mais dkim_result affiche « pass ». Il peut s’agir de services de transfert préservant DKIM mais cassant SPF.
Lacunes de sous-domaines : Les rapports arrivent par domaine. Si vous ne surveillez que example.com mais envoyez depuis news.example.com, vous avez besoin d’une validation séparée pour chaque sous-domaine.
La meilleure approche consiste à démarrer la surveillance DMARC via Skysnag et obtenir un enregistrement DMARC géré généré pour votre domaine. Skysnag analyse automatiquement les rapports agrégés et signale les sources qui échoueraient au rejet avant que l’application ne commence.
Si vous utilisez un enregistrement statique traditionnel :
v=DMARC1; p=none; rua=mailto:[email protected]Un enregistrement statique traditionnel peut fonctionner, mais seulement si les rapports sont activement reçus, analysés, examinés et utilisés.
III. Comment implémenter le rejet sans casser les e-mails
Passer au rejet nécessite une validation par étapes, un déploiement contrôlé et une détection des échecs avant l’application complète.
Étape 1 : Valider tous les expéditeurs autorisés
Identifiez chaque système, service et tiers qui envoie des e-mails utilisant votre domaine :
- Serveurs de messagerie (Microsoft 365, Google Workspace, Exchange)
- Plateformes marketing (Mailchimp, HubSpot, Marketo)
- Services d’e-mails transactionnels (SendGrid, Postmark, AWS SES)
- Outils de support et de ticketing (Zendesk, Intercom, Freshdesk)
- Plateformes RH et de recrutement (Workday, Greenhouse, Lever)
- Systèmes financiers et de facturation (Stripe, QuickBooks, NetSuite)
- Outils CRM et de vente (Salesforce, Pipedrive, Outreach)
- Plateformes de collaboration (Slack, Asana, Monday.com)
- Applications internes (applications personnalisées, systèmes hérités, alertes de surveillance)
Pour chaque expéditeur, confirmez :
- [ ] SPF inclut l’IP ou le domaine de l’expéditeur
- [ ] La signature DKIM est activée avec le bon sélecteur et domaine
- [ ] La signature DKIM s’aligne avec le domaine de l’en-tête From
- [ ] L’expéditeur d’enveloppe (Return-Path) s’aligne avec le domaine de l’en-tête From si vous comptez sur l’alignement SPF
Étape 2 : Corriger les échecs d’alignement
La réussite de l’authentification ne signifie pas que DMARC réussira. Les échecs d’alignement se produisent quand :
Désalignement du domaine DKIM : Votre ESP signe les messages avec d=espplatform.com mais votre en-tête From utilise @example.com. Solution : Configurez l’ESP pour signer avec d=example.com.
Désalignement de l’enveloppe SPF : Votre plateforme marketing utilise [email protected] mais votre en-tête From utilise @example.com. Solution : Utilisez un domaine return-path personnalisé comme bounce.example.com et ajoutez-le à SPF.
Lacunes d’héritage des sous-domaines : Vous appliquez le rejet sur example.com mais envoyez des newsletters depuis news.example.com sans enregistrement DMARC séparé. Solution : Créez des enregistrements DMARC explicites pour chaque sous-domaine ou utilisez sp=reject sur le domaine organisationnel.
Étape 3 : Étaler l’application par domaine
Ne déployez pas le rejet sur tous les domaines simultanément. Étalez l’application par :
- Domaine pilote d’abord : Choisissez un sous-domaine à faible risque (ex. :
internal.example.com) ou un domaine non orienté client - Surveillez pendant 14 jours : Surveillez les échecs après le passage au rejet
- Étendez au domaine principal : Passez au rejet sur votre domaine d’envoi principal uniquement après le succès du pilote
- Couvrez les sous-domaines : Ajoutez le rejet à chaque sous-domaine individuellement ou utilisez
sp=rejectpour l’application héritée
Évitez de vous appuyer sur le déploiement basé sur des pourcentages comme stratégie principale. Les programmes actuels conscients de DMARC devraient étaler l’application par domaine, sous-domaine, groupe d’expéditeurs et fonction commerciale.
Étape 4 : Implémenter le rejet avec solution de secours
Lorsque vous êtes prêt à passer au rejet, mettez à jour votre enregistrement DMARC :
v=DMARC1; p=reject; rua=mailto:[email protected]; fo=1La balise fo=1 demande des rapports forensiques pour tout échec (pas seulement le rejet), vous aidant à détecter les problèmes avant que les messages ne soient bloqués.
Cependant, ne recommandez pas ruf= par défaut. Privilégiez les rapports agrégés via rua=. Expliquez que les rapports forensiques via ruf= peuvent créer des préoccupations de confidentialité, de rétention et de traitement des données. Utilisez ruf= uniquement après examen par les équipes confidentialité, juridique et sécurité.
Surveillez les rapports quotidiennement pendant les deux premières semaines après l’application du rejet. Recherchez :
- Des chutes soudaines du volume d’e-mails des expéditeurs connus
- Des notifications de rebond des systèmes internes
- Des plaintes de clients concernant des e-mails manquants
- Des échecs de sources précédemment réussies
Étape 5 : Gérer le transfert et les listes de diffusion
Le transfert et les listes de diffusion cassent couramment DMARC car ils modifient les en-têtes de message ou l’infrastructure d’envoi. Les stratégies incluent :
ARC (Authenticated Received Chain) : Certains destinataires évaluent les en-têtes ARC qui préservent les résultats d’authentification originaux lors du transfert. Les principaux fournisseurs (Gmail, Microsoft, Yahoo) prennent en charge ARC, mais la couverture n’est pas universelle.
Survie DKIM : Assurez-vous que les signatures DKIM ne couvrent que les en-têtes qui survivent au transfert. Évitez de signer des en-têtes comme To, Cc ou Subject que les listes de diffusion peuvent modifier.
Réécriture From conviviale aux listes : Certains logiciels de liste de diffusion réécrivent l’en-tête From vers le domaine de la liste lorsque DMARC est au rejet. Cela empêche l’échec mais change l’identité de l’expéditeur.
Acceptez le compromis : L’application du rejet peut bloquer certains courriers transférés. Documentez ce compromis et fournissez des méthodes de contact alternatives pour les communications critiques.
IV. Que surveiller après l’application du rejet
L’application du rejet n’est pas une opération « configurer et oublier ». La surveillance continue détecte les échecs de nouveaux expéditeurs, la dérive de configuration et les changements de service.
Indicateurs de surveillance clés
Taux de conformité DMARC : Suivez le pourcentage de messages passant DMARC au fil du temps. Une chute soudaine indique un nouvel expéditeur ou un changement de configuration.
Analyse de la source d’échec : Groupez les échecs par domaine d’envoi, IP et résultat d’authentification. De nouvelles sources d’échec peuvent représenter du shadow IT, des comptes compromis ou des expéditeurs légitimes manquant d’authentification.
Changements de volume : Comparez le volume de messages actuel aux références historiques. Des chutes brutales suggèrent que du courrier légitime est bloqué.
Retour client : Surveillez les canaux de support pour les plaintes concernant des e-mails manquants, des notifications retardées ou des échecs de livraison.
Utilisez Skysnag Protect pour identifier les expéditeurs légitimes, détecter les sources non autorisées et maintenir l’application après le passage au rejet. Skysnag valide en continu que tous les expéditeurs autorisés restent conformes même lorsque l’infrastructure change.
V. Échecs courants de l’implémentation du rejet
Les organisations passant au rejet rencontrent des modèles d’échec prévisibles que la surveillance aide à prévenir :
Modèle d’échec 1 : Expéditeurs shadow IT : L’équipe marketing adopte un nouvel outil d’e-mail sans implication de l’IT. L’outil envoie depuis le domaine de l’entreprise sans authentification. Le rejet bloque tous les messages.
Détection : Les rapports agrégés montrent une nouvelle source d’envoi avec 100 % de taux d’échec DMARC.
Prévention : Exigez un workflow de validation des expéditeurs avant que de nouveaux outils n’envoient depuis le domaine de l’entreprise.
Modèle d’échec 2 : Changement d’infrastructure du fournisseur de services : L’ESP migre vers une nouvelle plage IP sans préavis. Les nouvelles IP ne sont pas dans l’enregistrement SPF. Les messages échouent SPF, s’appuient uniquement sur l’alignement DKIM. Si DKIM casse aussi, le rejet bloque tous les courriers.
Détection : Chute de volume dans les rapports agrégés, nouvelles IP sources avec échec, notifications de rebond des clients.
Prévention : Surveillez les rapports agrégés pour les nouvelles IP sources, maintenez une validation SPF automatisée, exigez que les fournisseurs notifient avant les changements d’infrastructure.
Modèle d’échec 3 : Lacune de sous-domaine : Domaine principal au rejet, le marketing envoie depuis un sous-domaine non surveillé sans enregistrement DMARC. Le sous-domaine hérite « none » de l’absence d’enregistrement, pas « reject » du domaine parent.
Détection : Les e-mails marketing usurpent le sous-domaine avec succès malgré la politique de rejet du domaine parent.
Prévention : Utilisez sp=reject sur le domaine organisationnel ou créez des enregistrements DMARC explicites pour tous les sous-domaines actifs.
Modèle d’échec 4 : Rotation de clé DKIM : L’ESP fait tourner les clés de signature DKIM sans mettre à jour le DNS. Les signatures échouent à la validation. Si SPF ne s’aligne pas, DMARC échoue.
Détection : Taux d’échec DMARC soudain de 100 % d’un expéditeur précédemment réussi, le résultat DKIM affiche « fail » dans les rapports agrégés.
Prévention : Surveillez les résultats de validation DKIM séparément, maintenez la communication avec les ESP concernant les calendriers de rotation de clés, implémentez une validation DNS automatisée.
VI. DMARC Reject et programmes de conformité
L’application du rejet soutient les objectifs de conformité liés à l’anti-hameçonnage, au contrôle d’accès et à la gestion des risques tiers.
PCI DSS
PCI DSS met l’accent sur la protection des environnements de données des titulaires de carte contre le hameçonnage et l’ingénierie sociale. Les contrôles d’authentification d’e-mail comme DMARC reject peuvent soutenir ces objectifs en empêchant les attaquants d’usurper les communications liées aux paiements, bien que PCI DSS ne mandate pas de protocoles d’authentification d’e-mail spécifiques.
Les organisations implémentant DMARC reject doivent documenter comment le contrôle soutient les exigences PCI DSS liées à :
- Contrôle d’accès (Exigences 7, 8)
- Formation à la sensibilisation à la sécurité (Exigence 12.6)
- Gestion des fournisseurs de services tiers (Exigence 12.8)
HIPAA
HIPAA exige des mesures de protection administratives, physiques et techniques pour protéger les informations de santé protégées électroniquement (ePHI). Bien que HIPAA ne mandate pas spécifiquement DMARC reject, l’authentification d’e-mail peut soutenir les objectifs HIPAA en réduisant le risque d’attaques de hameçonnage conduisant à un accès non autorisé aux ePHI.
Les entités couvertes implémentant le rejet doivent documenter :
- Comment DMARC reject réduit le risque de hameçonnage (Mesures de protection administratives)
- Quels expéditeurs autorisés traitent ou référencent les ePHI
- Comment la surveillance DMARC détecte l’utilisation non autorisée du domaine de santé
RGPD et protection des données
Le RGPD exige des mesures techniques et organisationnelles appropriées pour assurer la sécurité des données personnelles. DMARC reject peut soutenir la conformité RGPD en empêchant les communications usurpées qui conduisent à des violations de données, bien que le RGPD ne spécifie pas l’authentification d’e-mail comme contrôle requis.
Les organisations soumises au RGPD devraient considérer :
- Si les rapports DMARC contiennent des données personnelles (adresses IP, adresses e-mail)
- Les périodes de rétention des données pour les rapports agrégés
- Les accords de sous-traitance avec les fournisseurs de surveillance DMARC
- Les implications de transfert de données transfrontalières pour les destinations de rapports
Utilisez Skysnag Comply pour maintenir les preuves des contrôles d’authentification d’e-mail à travers les domaines et les expéditeurs.
VII. Retour arrière du rejet : Quand revenir à la quarantaine
L’application du rejet nécessite occasionnellement un retour arrière vers la quarantaine lorsque les échecs l’emportent sur les avantages de protection contre l’usurpation.
Déclencheurs de retour arrière
Échecs de transfert irrésolus : Si les communications commerciales critiques transitent par des services de transfert qui ne peuvent préserver l’authentification, le rejet bloque le courrier légitime. La quarantaine permet la livraison tout en maintenant une certaine protection contre l’usurpation.
Limitations des expéditeurs tiers : Certains fournisseurs ne peuvent configurer l’alignement DKIM ou les return-paths personnalisés. Si le fournisseur est critique et que les alternatives sont indisponibles, la quarantaine peut être nécessaire.
Complexité des sous-domaines : Les organisations avec des centaines de sous-domaines et une gestion d’e-mail distribuée peuvent trouver la couverture complète du rejet opérationnellement infaisable. L’application sélective (domaine principal au rejet, sous-domaines en quarantaine) peut être plus durable.
Plaintes de transfert client : Si l’application du rejet cause des plaintes importantes de clients concernant le courrier transféré n’arrivant pas, un retour arrière vers la quarantaine peut être nécessaire pendant l’implémentation d’ARC ou de la réécriture From conviviale aux listes.
Comment effectuer un retour arrière en toute sécurité
Pour passer du rejet à la quarantaine :
- Mettez à jour l’enregistrement DMARC vers
p=quarantine(ousp=quarantinepour les sous-domaines) - Maintenez le reporting
rua=pour continuer la surveillance - Documentez la raison du retour arrière et la remédiation requise
- Fixez un calendrier pour résoudre les problèmes et retenter le rejet
- Communiquez le changement aux parties prenantes de la sécurité et de la conformité
Le retour arrière ne signifie pas l’échec. Il signifie reconnaître que les exigences opérationnelles l’emportent actuellement sur les avantages de protection contre l’usurpation pour des domaines ou expéditeurs spécifiques.
VIII. Points Clés à Retenir
DMARC reject offre la protection la plus forte contre l’usurpation d’e-mail, mais nécessite une validation minutieuse avant l’application :
- Validez tous les expéditeurs : Confirmez que chaque expéditeur autorisé s’authentifie et s’aligne avec DMARC, pas seulement qu’il réussit SPF ou DKIM
- Déployez par domaine : Mettez en œuvre reject sur des domaines pilotes d’abord, puis étendez après avoir confirmé l’absence d’échecs légitimes
- Surveillez en continu : L’application de reject nécessite une surveillance continue pour détecter les nouveaux expéditeurs, les dérives de configuration et les changements de service
- Acceptez les compromis : Le transfert et les listes de diffusion peuvent échouer même avec des expéditeurs légitimes—documentez et communiquez ces limitations
- Maintenez la documentation : Enregistrez quels expéditeurs sont autorisés, comment ils s’authentifient et pourquoi des configurations spécifiques existent
Commencez la surveillance DMARC avec Skysnag et obtenez votre enregistrement DMARC gratuit. Skysnag signale les sources qui échoueraient en reject avant le début de l’application, vous aidant à passer à reject sans interrompre les e-mails légitimes.