Comprendre un rapport DMARC

DMARC produit deux familles de rapports, configurées par les balises rua et ruf :

• Rapports agrégés (RUA) — envoyés quotidiennement par les fournisseurs. Format XML, ils résument volumes, résultats SPF/DKIM et alignement par source d'envoi. C'est ton outil principal.
• Rapports forensiques (RUF) — échantillons d'emails individuels ayant échoué. Plus rares (peu de fournisseurs les envoient) et sensibles côté vie privée.

Un rapport RUA contient des blocs <record>, un par source d'envoi. Les champs clés :

• source_ip — l'IP qui a envoyé.
• count — le nombre d'emails depuis cette source.
• spf / dkim — résultat de chaque mécanisme (pass / fail).
• disposition — ce que le destinataire a fait (none, quarantine, reject).

L'alignement, le point central

DMARC ne demande pas juste que SPF ou DKIM passent : il exige l'alignement. Le domaine validé par SPF/DKIM doit correspondre au domaine visible dans le From. Un email peut avoir SPF pass mais DMARC fail si les domaines ne s'alignent pas — c'est le piège n°1.

1. Identifie les sources légitimes — ton provider d'envoi, ton CRM, ta facturation… vérifie qu'elles s'alignent toutes.
2. Repère les sources inconnues — une IP que tu ne reconnais pas qui envoie en ton nom = usurpation ou outil oublié.
3. Corrige avant de durcir — tant que des sources légitimes échouent, ne passe pas en p=reject sous peine de bloquer tes propres emails.
4. Durcis progressivement — none → quarantine → reject une fois tout aligné.

Plutôt que de parser du XML à la main :

• Mail-Reacher vérifie ton alignement DMARC directement dans le Mail-Check.
• Il te dit si ta policy actuelle est cohérente avec ce que tes envois réels supportent.
• Il t'évite de passer en reject trop tôt et de bloquer tes propres emails.