ServicesBlogA proposContact
Retour au blog

Actualité

Adoption DMARC en France : où en sommes-nous en 2026 ?

73,6 % des domaines observés en France n'ont pas de protection DMARC efficace. Découvrez les statistiques 2026, les écarts et les actions concrètes à mener.

27 mai 2026 - 10 min

Infographie montrant les niveaux de protection DMARC en France en 2026 avec protection complète, partielle et absence de protection

La France progresse sur DMARC, mais une grande majorité des domaines observés restent insuffisamment protégés contre l’usurpation email. Pour une entreprise, cette situation concerne autant la sécurité de la marque que la maîtrise de ses propres flux d’envoi.

Cet article analyse la photographie du 26 mai 2026 fournie pour cette publication, à partir de la page DMARC Adoption in France de DmarcDkim.com. La source met à jour ses données régulièrement : la page consultée le 27 mai affiche déjà un nouveau relevé. Les chiffres ci-dessous correspondent donc au relevé daté du 26 mai, portant sur 15 908 domaines selon la méthodologie de la source, et non à un audit exhaustif de tous les domaines français.

Réponse directe

Au 26 mai 2026, 73,6 % des domaines observés en France ne disposent pas d’une protection DMARC efficace. Seuls 9,5 % atteignent une protection complète avec une politique p=reject appliquée à pct=100, tandis que 17,0 % disposent d’une protection partielle.

L’adoption stricte atteint 23,4 % et a progressé de 1,7 point de pourcentage en six mois. Cela montre une évolution positive, mais aussi un écart significatif entre publier un enregistrement DMARC et appliquer réellement une politique qui limite l’usurpation.

En bref

  • 73,6 % des domaines observés n’ont pas de protection DMARC efficace.
  • 9,5 % disposent d’une protection complète avec p=reject; pct=100.
  • 17,0 % présentent une protection partielle.
  • 23,4 % utilisent une politique stricte p=quarantine ou p=reject à pct=100.
  • 42,2 % n’ont aucun enregistrement DMARC.
  • La France reste sous les moyennes européenne et mondiale indiquées pour la protection complète.

Ce que montrent les statistiques

La première lecture est celle des niveaux de protection. Elle distingue une politique complète, une mise en protection partielle et l’absence de protection effective. Cette différence est importante : un domaine peut afficher un enregistrement DMARC dans son DNS sans demander aux serveurs receveurs d’agir contre les messages qui échouent à l’alignement.

Infographie montrant les niveaux de protection DMARC en France en 2026 avec protection complète, partielle et absence de protection
Au 26 mai 2026, la majorité des domaines observés en France ne disposent pas d'une protection DMARC efficace.
Niveau de protectionPart des domaines observésCe que cela signifie
Full protection9,5 %Politique p=reject appliquée à pct=100 : les échecs DMARC font l’objet d’une demande de rejet.
Partial protection17,0 %Quarantaine ou déploiement graduel : la politique réduit certains risques, sans atteindre la protection complète définie par la source.
No effective protection73,6 %Politique d’observation, enregistrement invalide ou absent : l’usurpation reste insuffisamment traitée par DMARC.

DMARC sert d’abord à établir si un message utilisant votre domaine visible passe l’alignement SPF ou DKIM, puis à exprimer une politique en cas d’échec. Il contribue à limiter le spoofing et certains scénarios de phishing, mais ne remplace ni l’antispam, ni le travail de réputation, ni la sécurité des boîtes mail compromises.

Pourquoi avoir DMARC ne veut pas dire être protégé

La publication d’un enregistrement est le début du déploiement, pas son aboutissement. Un domaine en p=none reçoit des informations utiles via ses rapports, mais ne demande pas la mise en quarantaine ou le rejet des échecs DMARC.

Plusieurs situations expliquent l’écart entre présence et protection :

  • Un enregistrement p=none est utile à l’observation, mais ne constitue pas une politique d’application.
  • Un enregistrement invalide peut ne pas être exploitable par les destinataires.
  • Un pct inférieur à 100 signifie que la politique renforcée n’est appliquée qu’à une partie des messages.
  • Une politique stricte mal préparée peut gêner des flux légitimes non inventoriés ou mal alignés.

Dans le vocabulaire de la source, la protection complète est spécifiquement p=reject; pct=100. Une politique stricte en quarantine à 100 % constitue déjà une application significative, mais reste comptée séparément de la protection complète.

Répartition détaillée des politiques DMARC en France

La distribution des politiques indique où se situe le blocage opérationnel : la part des domaines sans record et la part des politiques désactivées en p=none restent très élevées.

Répartition des politiques DMARC en France avec strict policy, in progress, disabled, invalid record et no record
La publication d'un enregistrement DMARC ne garantit pas une protection forte : beaucoup de domaines restent en p=none, invalides ou sans enregistrement.
Catégorie de la sourcePourcentageDomaines estimés*Interprétation simple
Strict policy (p=quarantine/reject, pct=100)23,4 %env. 3 722Une politique d’application est active sur l’ensemble des messages.
In progress (pct < 100)2,8 %env. 445Le domaine est en transition vers une application plus large.
Disabled (p=none; pct=0)30,5 %env. 4 852Le record existe, mais reste sans action de protection demandée.
Invalid record1,1 %env. 175La configuration publiée présente une erreur.
No record42,2 %env. 6 713Aucun enregistrement DMARC n’est détecté.

* Estimations calculées à partir de la base de 15 908 domaines et des pourcentages arrondis communiqués pour le relevé du 26 mai ; leur total peut différer légèrement de la base à cause des arrondis.

France face à l’Europe et au monde

La France n’est pas à l’arrêt : l’adoption stricte a progressé de 1,7 point de pourcentage sur six mois. Elle conserve néanmoins une marge de progression importante sur les niveaux les plus protecteurs.

IndicateurFranceMoyenne UEMoyenne mondiale
Full protection (p=reject; pct=100)9,5 %12,6 %11,2 %
Strict adoption (p=quarantine/reject; pct=100)23,4 %-27,7 %

La protection complète française est donc inférieure de 3,1 points à la moyenne UE et de 1,7 point à la moyenne mondiale indiquées par la source. Pour l’adoption stricte, l’écart avec la moyenne mondiale est de 4,3 points.

Ce contexte rejoint l’évolution du standard lui-même : DMARCbis et les nouveaux RFC 9989, 9990 et 9991 clarifient le protocole et les rapports, sans dispenser les organisations de piloter leurs configurations.

Pourquoi ce retard est problématique

Quand un domaine n’applique pas de politique DMARC effective, une tentative d’usurpation du domaine visible est plus difficile à faire traiter de manière cohérente par les destinataires. Pour une organisation, les conséquences possibles sont concrètes :

  • Des messages de spoofing peuvent imiter une marque, un dirigeant ou un service comptable.
  • Des campagnes de phishing peuvent affaiblir la confiance de clients ou partenaires.
  • Une identité de domaine mal gouvernée rend l’analyse de réputation et d’incidents plus complexe.
  • La multiplication des expéditeurs marketing, transactionnels et humains peut masquer les flux non autorisés.

DMARC ne corrige pas à lui seul tous les problèmes de délivrabilité. En revanche, il fournit un signal d’authentification essentiel et des rapports permettant de gouverner l’usage du domaine.

Quelles actions concrètes pour les entreprises françaises ?

Pour progresser, il faut traiter DMARC comme un processus : observer, corriger, appliquer et surveiller. Une PME peut commencer sans bloquer ses emails légitimes, à condition d’avancer avec méthode.

Checklist des actions recommandées pour améliorer la protection DMARC des domaines français
Le vrai enjeu n'est pas seulement de publier DMARC, mais de corriger les flux, analyser les rapports et durcir progressivement la politique.
  • Inventorier tous les expéditeurs légitimes du domaine.
  • Vérifier SPF sans dépasser ses limites techniques.
  • Activer DKIM sur chaque flux capable de signer.
  • Publier DMARC en mode observation lorsque l’inventaire n’est pas complet.
  • Collecter et analyser les rapports DMARC XML.
  • Corriger les flux non alignés ou inconnus.
  • Séparer les flux marketing, transactionnels et humains, notamment via un sous-domaine d’envoi.
  • Monter progressivement vers quarantine, puis reject lorsque les flux sont maîtrisés.
  • Surveiller réputation, plaintes et erreurs de remise.

La démarche détaillée est présentée dans Configurer SPF, DKIM et DMARC sans casser ses emails. Une fois l’authentification en place, Google Postmaster Tools, le diagnostic des emails en spam ou Promotions Gmail et la liste des erreurs SMTP complètent utilement la supervision.

Ce que Dharmail recommande

Pour une PME, le bon objectif n’est pas seulement d’« avoir DMARC ». Il est d’avoir un DMARC utile, compris, piloté et progressivement durci : les expéditeurs sont connus, les rapports sont lus, les écarts sont corrigés et la politique reflète un risque réellement maîtrisé.

Une politique p=none bien suivie peut constituer une bonne étape de départ. Elle ne doit pas devenir un état permanent par défaut si les flux légitimes sont identifiés et alignés.

FAQ

Qu’est-ce que signifie une protection DMARC complète ?

Dans les statistiques analysées, la protection complète correspond à une politique p=reject appliquée à 100 % des messages avec pct=100.

Pourquoi un domaine avec DMARC peut-il rester vulnérable ?

Un domaine peut publier DMARC tout en restant en p=none, avec un déploiement partiel, un enregistrement invalide ou des flux légitimes non alignés.

Quelle est la différence entre p=none, quarantine et reject ?

p=none sert à observer, quarantine demande de traiter les messages non alignés comme suspects, et reject demande leur rejet. Le passage à l’application doit être piloté par les rapports.

Faut-il passer directement en reject ?

Non dans la plupart des cas. Il est préférable d’inventorier les expéditeurs, d’activer SPF et DKIM, d’analyser les rapports puis de durcir progressivement.

Pourquoi tant de domaines n’ont-ils pas encore DMARC ?

DMARC suppose de connaître tous les outils d’envoi et de corriger leur alignement. Les environnements mêlant messagerie, marketing, facturation et applications rendent ce chantier plus exigeant.

Comment savoir si mon domaine est protégé ?

Vérifiez l’enregistrement DMARC, sa politique et son pourcentage d’application, puis analysez les rapports afin de confirmer que SPF ou DKIM s’aligne pour les flux autorisés.

Que faire si plusieurs outils envoient des emails pour mon domaine ?

Inventoriez chaque outil, configurez DKIM et SPF lorsque nécessaire, distinguez les flux par sous-domaines et suivez les rapports DMARC avant de renforcer la politique.

DMARC améliore-t-il automatiquement la délivrabilité ?

Non. DMARC protège principalement contre l’usurpation par l’authentification et l’alignement ; la délivrabilité dépend aussi de la réputation, des plaintes, du contenu et des pratiques d’envoi.

Conclusion

Les chiffres français montrent une prise de conscience, mais aussi un retard encore important. La vraie maturité ne consiste pas à publier un enregistrement symbolique, mais à piloter l’authentification email dans la durée.

Si vous souhaitez savoir si votre domaine est réellement protégé, vérifier votre configuration SPF/DKIM/DMARC ou analyser vos flux d’envoi, Dharmail peut vous accompagner avec un audit concret et actionnable. Contactez Dharmail pour établir votre niveau de protection et vos prochaines étapes.

Source principale : DmarcDkim.com DMARC Adoption in France, données de référence du 26 mai 2026 reproduites selon le relevé fourni pour cet article.