DMARCbis est désormais publié sous forme de nouveaux RFC. Cette évolution remplace l’ancien RFC 7489, publié en 2015 comme document informationnel, et donne à DMARC une base standardisée plus moderne.
Pour les PME, les équipes IT, les administrateurs systèmes et les responsables marketing, le message principal est simple : DMARC ne change pas de nature, mais sa spécification devient plus claire, plus structurée et mieux adaptée aux usages actuels de l’email.
Réponse directe
DMARCbis ne remplace pas le principe de DMARC. Il modernise sa spécification, clarifie certains comportements, sépare le protocole et les rapports dans plusieurs RFC, et prépare une meilleure interopérabilité entre les fournisseurs, les outils d’audit et les solutions de reporting.
Les enregistrements DMARC existants restent globalement valables. L’arrivée de DMARCbis ne signifie donc pas qu’il faut modifier dans l’urgence toutes les zones DNS. En revanche, c’est le bon moment pour auditer les enregistrements, les rapports XML, les sous-domaines et les outils qui traitent DMARC.
En bref
- DMARCbis est l’évolution moderne de DMARC.
- RFC 7489 est remplacé.
- RFC 9989 définit le cœur du protocole DMARC.
- RFC 9990 définit les rapports agrégés DMARC.
- RFC 9991 définit les rapports d’échec DMARC.
- Les enregistrements DMARC existants restent en grande partie utilisables.
- Les entreprises doivent surtout vérifier leurs enregistrements, leurs rapports et leurs outils de reporting.
Pourquoi DMARCbis est important ?
DMARC était déjà massivement utilisé par les domaines, les fournisseurs de messagerie, les plateformes marketing et les outils de sécurité. Pourtant, sa base historique reposait sur RFC 7489, un RFC informationnel publié en 2015 hors du processus standard IETF classique.
Depuis 2015, l’écosystème email a beaucoup changé. SPF, DKIM, DMARC, l’alignement des domaines, les politiques de rejet, les sous-domaines d’envoi, les rapports XML et la réputation de domaine sont devenus des sujets critiques pour les entreprises.
DMARCbis donne donc une base plus nette aux implémentations. Les fournisseurs de messagerie, les outils d’audit et les solutions de reporting peuvent s’appuyer sur des documents Standards Track récents, séparant mieux le protocole, les rapports agrégés et les rapports d’échec.
DMARC reste toutefois un signal d’authentification et de protection contre l’usurpation de domaine. Ce n’est pas un filtre anti-spam complet et ce n’est pas une garantie d’arrivée en boîte de réception.
Ce qui change avec les nouveaux RFC
| Ancien modèle | Nouveau modèle DMARCbis | Impact pratique |
|---|---|---|
| RFC 7489 unique | RFC 9989, RFC 9990 et RFC 9991 | La documentation est séparée par rôle : protocole, rapports agrégés, rapports d’échec. |
| DMARC informationnel | Standards Track | DMARC dispose d’une base de normalisation plus solide pour les implémentations. |
| Protocole et reporting dans un même ensemble | Séparation protocole / rapports agrégés / rapports d’échec | Les outils peuvent suivre plus précisément le périmètre de chaque RFC. |
| Découverte du domaine organisationnel historiquement liée à la Public Suffix List | Clarification avec DNS Tree Walk dans la nouvelle logique | La détermination du domaine organisationnel et du domaine de politique devient plus explicite. |
| Rapports agrégés intégrés à l’ensemble historique | RFC 9990 dédié | Les parseurs et plateformes de reporting disposent d’une référence spécifique pour les rapports XML agrégés. |
| Rapports d’échec intégrés à l’ensemble historique | RFC 9991 dédié | Les rapports plus sensibles sont encadrés séparément, avec une attention particulière à la confidentialité. |
| Enregistrements existants | Généralement toujours valides, mais à auditer | Il faut vérifier la cohérence des tags, des adresses de reporting, des sous-domaines et de l’alignement. |
La page du groupe de travail DMARC de l’IETF liste désormais ces RFC comme nouveaux documents DMARC Standards Track, aux côtés des autres travaux du groupe.
Faut-il modifier son enregistrement DMARC ?
Non, pas forcément immédiatement. Un enregistrement DMARC correctement construit avec v=DMARC1, une politique p=, des adresses de reporting valides et un alignement cohérent ne devient pas obsolète du jour au lendemain.
Oui, il faut en revanche vérifier sa cohérence. Les points à auditer en priorité sont :
p=: politique principale du domaine.sp=: politique appliquée aux sous-domaines.rua=: adresses de rapports agrégés.ruf=: adresses de rapports d’échec, si utilisées.adkim=: mode d’alignement DKIM.aspf=: mode d’alignement SPF.fo=: déclenchement des rapports d’échec.- La présence de tags anciens, inutiles ou mal compris.
- La validité des adresses de reporting.
- La gestion des sous-domaines.
- L’alignement SPF et DKIM avec le domaine visible dans le From.
- Le traitement réel des rapports XML.
Pour une méthode progressive, commencez par configurer SPF, DKIM et DMARC sans casser ses emails, puis utilisez les rapports DMARC XML pour identifier les flux réels.
Exemple d’enregistrement DMARC à auditer
_dmarc.example.com. TXT "v=DMARC1; p=none; rua=mailto:dmarc@example.com; adkim=r; aspf=r"Dans cet exemple :
p=nonepermet l’observation sans demander de quarantaine ou de rejet.ruapermet la réception de rapports agrégés.adkimetaspfcontrôlent l’alignement DKIM et SPF.- L’étape suivante consiste à analyser les flux avant de passer à
quarantineoureject.
Cette approche correspond à l’esprit de DMARC : comprendre les sources légitimes, corriger ce qui ne s’aligne pas, puis durcir progressivement. Les flux marketing, transactionnels et humains doivent être identifiés séparément, surtout lorsque plusieurs outils envoient pour le même domaine.
Quels impacts pour les PME ?
Pour une PME, DMARCbis ne doit pas être lu comme une urgence DNS. C’est plutôt un signal de maturité : l’authentification email est désormais un sujet structuré, auditable et attendu par l’écosystème.
Les impacts pratiques sont surtout métier :
- Meilleure lisibilité des standards.
- Meilleure compatibilité future des outils.
- Plus de rigueur dans les audits DMARC.
- Nécessité d’avoir une vraie supervision des rapports DMARC.
- Importance de séparer les flux marketing, transactionnels et humains.
- Intérêt de maintenir une politique DMARC progressive et documentée.
Si vous utilisez Brevo, ActiveCampaign, Mailjet ou une autre plateforme marketing, un sous-domaine d’envoi dédié aide à isoler la réputation et à rendre les rapports plus lisibles.
Quels impacts pour les outils de reporting ?
Les outils de reporting DMARC devront suivre RFC 9990 pour les rapports agrégés. Ces rapports restent essentiels pour identifier les flux légitimes, repérer les sources suspectes, mesurer l’alignement SPF/DKIM et préparer une politique plus stricte.
Les parseurs devront aussi être robustes face aux variantes de rapports envoyées par différents receveurs. En pratique, une entreprise ne doit pas seulement recevoir des fichiers XML : elle doit les consolider, les interpréter et les relier à ses plateformes d’envoi.
Les rapports d’échec, encadrés séparément par RFC 9991, sont plus sensibles parce qu’ils peuvent contenir des informations sur des messages individuels. Ils doivent donc être utilisés avec prudence, en tenant compte de la confidentialité, de la volumétrie et de la valeur opérationnelle réelle.
Ce que Dharmail recommande
- Inventorier tous les expéditeurs légitimes.
- Vérifier SPF et DKIM.
- Vérifier l’alignement DMARC.
- Vérifier
p=,sp=,rua=etruf=. - Contrôler les sous-domaines.
- Analyser les rapports XML.
- Supprimer les configurations inutiles.
- Documenter les flux d’envoi.
- Durcir progressivement vers
quarantine, puisreject, si les flux sont maîtrisés.
Cette checklist doit être reliée au diagnostic de délivrabilité. Si vos emails arrivent en spam ou dans Promotions Gmail, l’authentification est un prérequis important, mais elle doit être complétée par l’analyse de la réputation, du contenu, des plaintes et des bounces. Les guides Pourquoi mes emails arrivent en spam ou dans Promotions Gmail ?, Google Postmaster Tools et Liste des erreurs SMTP peuvent aider à élargir le diagnostic.
FAQ
Qu’est-ce que DMARCbis ?
DMARCbis est la modernisation de la spécification DMARC. Il conserve le principe de DMARC, mais le formalise dans des RFC Standards Track plus clairs et séparés.
DMARCbis remplace-t-il DMARC ?
Non. DMARCbis ne remplace pas le mécanisme DMARC utilisé par les domaines ; il remplace l’ancienne spécification RFC 7489 par les RFC 9989, 9990 et 9991.
Dois-je changer mon enregistrement DMARC ?
Pas forcément immédiatement. Les enregistrements DMARC existants restent généralement utilisables, mais ils doivent être audités avec les rapports, les sous-domaines et les outils associés.
Que devient RFC 7489 ?
RFC 7489, publié en 2015 comme RFC informationnel, est remplacé par les nouveaux documents DMARCbis, dont RFC 9989 pour le cœur du protocole.
À quoi sert RFC 9989 ?
RFC 9989 définit le cœur du protocole DMARC : découverte de politique, alignement SPF et DKIM, enregistrement de politique et logique de traitement.
À quoi sert RFC 9990 ?
RFC 9990 définit les rapports agrégés DMARC, notamment leur structure XML, leur découverte et leur livraison vers les adresses rua.
À quoi sert RFC 9991 ?
RFC 9991 définit les rapports d’échec DMARC, qui concernent des messages individuels et demandent une attention particulière pour la confidentialité.
DMARCbis améliore-t-il automatiquement la délivrabilité ?
Non. DMARCbis améliore la normalisation et l’interopérabilité, mais DMARC reste un signal d’authentification et de protection contre l’usurpation, pas une garantie d’arrivée en boîte de réception.
Conclusion
DMARCbis marque une étape importante dans la maturité de l’authentification email. Pour les entreprises, le principal enjeu n’est pas de modifier les DNS dans l’urgence, mais de vérifier que leur configuration DMARC, leurs flux d’envoi et leurs rapports sont réellement maîtrisés.
Si vous souhaitez vérifier la conformité de votre configuration SPF, DKIM et DMARC, analyser vos rapports DMARC ou préparer votre domaine aux évolutions du standard, Dharmail peut réaliser un audit complet et actionnable de votre infrastructure email. Contactez Dharmail pour transformer cette évolution de standard en plan d’action clair.