DMARC obligatoire 2026 : pourquoi vos emails finissent en spam
DMARC, SPF, DKIM : depuis novembre 2025, Gmail et Outlook rejettent vos emails non authentifiés. Voici comment éviter le mur et restaurer votre délivrabilité en 2026.
DMARC, SPF, DKIM : depuis novembre 2025, Gmail et Outlook rejettent vos emails non authentifiés. Voici comment éviter le mur et restaurer votre délivrabilité en 2026.
Vous avez envoyé une facture, une relance commerciale, un devis. Le destinataire ne l'a jamais vu. Pire, il vous accuse de ne pas avoir répondu. Bienvenue dans la nouvelle réalité de la messagerie professionnelle en 2026. Depuis novembre 2025, Gmail rejette purement et simplement les emails dont le domaine ne publie pas d'enregistrement DMARC valide. Microsoft a emboîté le pas le 5 mai 2025 pour Outlook.com et Microsoft 365 grand public, avec un rejet complet activé depuis novembre 2025 (source : Mimecast, Microsoft Docs 2026). Yahoo, La Poste Groupe et de plus en plus de FAI français appliquent la même règle.
Le constat est brutal pour les PME françaises : seulement 18 % des dix millions de domaines les plus visités au monde publient un enregistrement DMARC valide, et à peine 4 % appliquent une politique de rejet stricte (Valimail, State of DMARC Report 2026). Conséquence directe : 43 % des TPE-PME françaises ont été victimes d'hameçonnage en 2025, contre 24 % en 2024. Le phishing représente désormais 80 % des cyberattaques signalées à l'ANSSI (panorama 2024).
Cet article décortique pourquoi DMARC n'est plus une option, comment diagnostiquer votre situation en moins d'une heure, et comment basculer en mode "reject" sans casser votre messagerie. Si votre infrastructure email tousse, lisez jusqu'au bout : on vous évite la chute en chiffre d'affaires que d'autres dirigeants découvrent trop tard.
Avant d'entrer dans la technique, posons les briques. Vos emails reposent sur trois protocoles d'authentification que les FAI utilisent comme un contrôle d'identité à l'entrée de la boîte mail.
Sans DMARC, n'importe quel attaquant peut envoyer un email en se faisant passer pour compta@votre-entreprise.fr. Avec DMARC en mode reject, l'usurpation est techniquement impossible. C'est pour cette raison que la norme PCI DSS v4.0 (requirement 10.4.1.1) rend DMARC obligatoire pour toute organisation traitant des données de cartes bancaires, avec des amendes mensuelles de 5 000 à 100 000 dollars en cas de non-conformité.
Les motifs de rejet ou de classification spam se sont multipliés en 2026. Voici les sept causes que nous rencontrons le plus souvent en audit chez nos clients PME.
Les chiffres parlent d'eux-mêmes : selon les analyses 2026, 89 % des menaces emailing parviennent encore à contourner partiellement SPF et DKIM seuls. DMARC est le seul protocole qui ferme la porte.
DMARC se déploie en trois paliers progressifs. Comprendre cette montée en puissance est essentiel pour éviter de couper toute votre messagerie du jour au lendemain.
| Politique | Effet sur les emails non authentifiés | Usage recommandé | Durée typique |
|---|---|---|---|
| p=none | Aucun blocage, simple collecte de rapports XML | Phase 1 : observation et cartographie des expéditeurs légitimes | 4 à 6 semaines |
| p=quarantine | Mise en spam des messages non conformes (pct ajustable) | Phase 2 : montée en puissance progressive (10 %, 25 %, 50 %, 100 %) | 3 à 4 semaines |
| p=reject | Rejet SMTP complet des emails frauduleux | Phase 3 : protection maximale, condition pour BIMI et conformité 2026 | Permanent |
Selon EasyDMARC (rapport 2026), seulement 11,1 % des domaines monitorés mondialement ont atteint p=reject. C'est précisément la barrière qui sépare les PME résilientes des cibles faciles. Le chemin complet (audit, fix, quarantaine, reject) prend généralement 6 à 10 semaines avec un prestataire compétent.
Voici la méthode éprouvée que nous appliquons sur les PME que nous accompagnons en infogérance nationale. Comptez deux à trois mois calendaires pour une bascule propre.
Listez tous les services qui envoient des emails depuis votre domaine : Microsoft 365, ERP, CRM, plateforme emailing, helpdesk, signature électronique, outil RH, formulaires de contact. Une PME de 50 salariés en cumule en moyenne 12 à 18. Cet inventaire conditionne 80 % de la réussite du projet.
Publiez un enregistrement TXT de type v=DMARC1; p=none; rua=mailto:dmarc@votredomaine.fr; ruf=mailto:dmarc@votredomaine.fr; fo=1; aspf=r; adkim=r. Pendant 4 à 6 semaines, vous recevrez des rapports XML quotidiens. Utilisez un outil d'agrégation (DMARC Analyzer, EasyDMARC, Postmark, dmarcian) pour visualiser les flux.
Pour chaque service identifié à l'étape 1, vérifiez qu'il est listé dans le SPF et qu'il signe en DKIM avec votre domaine. Activez DKIM dans Microsoft 365 via le centre de sécurité, configurez DKIM dans Mailchimp, HubSpot, etc. Surveillez le compteur de 10 lookups SPF, utilisez la macro ?all en cas de doute avant ~all puis -all.
Démarrez à p=quarantine; pct=10, montez à 25 %, 50 %, puis 100 % par paliers d'une semaine. Surveillez les rapports : aucun expéditeur légitime ne doit basculer en spam. Si un service échoue, retournez à l'étape 3.
Une fois stabilisé, passez à p=reject. Vous êtes désormais conforme aux exigences Gmail, Yahoo, Outlook et La Poste Groupe. Vous pouvez activer BIMI (Brand Indicators for Message Identification) qui affichera votre logo dans la boîte de réception Gmail. Google a publié un gain moyen de +10 % de taux d'ouverture chez les expéditeurs BIMI.
Le coût direct d'un déploiement DMARC reste modeste : entre 0 et 2 000 euros HT par an pour un outil de monitoring SaaS (EasyDMARC, dmarcian, Postmark), plus 5 à 15 heures de prestation technique. Pour une PME de 50 salariés accompagnée en infogérance, ces étapes sont souvent incluses dans le forfait sécurité.
Le retour sur investissement, lui, se compte différemment. Une attaque par ransomware réussie coûte en moyenne 70 000 euros à une PME française (source : panorama cybercriminalité 2025), et 78 % des dirigeants redoutent qu'une violation les mette en faillite. Une simple usurpation d'identité d'un dirigeant (BEC, Business Email Compromise) suffit à déclencher un virement frauduleux de plusieurs dizaines de milliers d'euros. DMARC en mode reject neutralise ce risque vectoriel.
Ajoutez le gain commercial : les emails de relance, devis, factures arrivent vraiment dans la boîte du destinataire. Pour une PME qui envoie 2 000 emails commerciaux par mois, une chute de délivrabilité de 30 % représente plusieurs dossiers perdus chaque trimestre.
Au-delà de la délivrabilité, DMARC est devenu une exigence réglementaire de fait. La directive NIS2 applicable aux PME depuis 2026 impose des mesures de sécurité de la messagerie pour toutes les entités essentielles et importantes. Le RGPD oblige à protéger l'intégrité des communications électroniques contenant des données personnelles. PCI DSS v4.0 mentionne explicitement DMARC depuis mars 2025.
L'ANSSI a mis à jour son guide d'hygiène informatique en intégrant un chapitre dédié à la sécurisation de la messagerie : SPF, DKIM et DMARC y sont présentés comme les trois protections de base non négociables. Les audits de cybersécurité intègrent désormais systématiquement la vérification de ces trois enregistrements.
En cas d'incident, l'absence de DMARC en mode strict peut être qualifiée de défaut de mesure de sécurité raisonnable, exposant le dirigeant à une responsabilité personnelle. Si vous découvrez une compromission, suivez notre guide opérationnel des 24 premières heures après une cyberattaque.
Notre équipe d'auditeurs infrastructure rencontre régulièrement les mêmes erreurs qui font dérailler un projet DMARC.
sp=reject en plus de p=reject.adkim=s) en phase finale.v=DMARC1; p=reject; pour bloquer le spoofing.DMARC n'est qu'une couche. La pile email moderne 2026 inclut :
Cette pile complète constitue ce que l'industrie appelle désormais le Zero Trust Email. C'est la nouvelle norme attendue par les grands donneurs d'ordre lors d'un appel d'offres.
DMARC est passé en quelques mois de bonne pratique à condition d'existence numérique pour votre PME. Gmail, Microsoft, Yahoo et La Poste Groupe ont basculé. Vos emails de facturation, de prospection et de support client en dépendent. Vos clients vous jugent sur la fiabilité de votre messagerie, pas sur votre tolérance au risque.
La bonne nouvelle : un déploiement structuré sur 8 à 10 semaines, avec un prestataire qui maîtrise SPF, DKIM, DMARC, MTA-STS et BIMI, vous remet à niveau pour la décennie. Le coût est négligeable face à l'enjeu. Notre équipe accompagne actuellement des dizaines de PME françaises sur cette bascule. Si vous voulez savoir où vous en êtes en moins de 48 heures, demandez un diagnostic gratuit de votre configuration email : nous analysons votre DNS et vos rapports DMARC actuels, et nous vous remettons un plan de remise à plat chiffré.
Oui, de facto. Gmail rejette à partir de 5 000 emails par jour et dégrade la délivrabilité en dessous. Microsoft applique le rejet depuis novembre 2025. La directive NIS2 et PCI DSS v4.0 le rendent obligatoire pour de nombreux secteurs.
Entre 6 et 10 semaines selon la complexité de votre infrastructure email. L'observation en p=none dure 4 à 6 semaines, la montée en p=quarantine puis p=reject prend 3 à 4 semaines supplémentaires.
Reject est la cible finale et la seule qui protège vraiment. Mais on y arrive par paliers : d'abord none pour observer, puis quarantine progressif, puis reject. Sauter les étapes casse votre messagerie.
C'est la cause la plus fréquente d'échec. Utilisez un service de SPF flattening ou un macro service comme EasyDMARC qui compresse les includes. Réduisez le nombre de prestataires emailing si possible.
Non. BIMI exige une politique DMARC en p=quarantine ou p=reject avec 100 % d'enforcement. Une politique p=none ne permet pas l'affichage du logo dans Gmail, Yahoo ou Apple Mail.
Vos emails légitimes (devis, factures, relances) atterriront en spam ou seront rejetés. Pire, des attaquants peuvent usurper votre domaine pour escroquer vos clients, engageant votre responsabilité civile et pénale.
Avec un administrateur réseau expérimenté, c'est faisable. Mais l'analyse quotidienne des rapports XML, l'alignement multiservices et la maintenance long terme justifient un prestataire d'infogérance pour la plupart des PME.
Mots-clés
À propos de l'auteur
Fondateur et Expert Infrastructure IT
Fondateur d'Infranat en 2018 à Lyon, Jonathan Clais capitalise sur plus de sept ans d'expérience en infrastructure IT et cybersécurité pour accompagner les TPE et PME françaises. Il pilote personnellement les projets stratégiques et la vision technique d'Infranat.
Audit informatique gratuit, réponse sous 2h ouvrées.
Demander un audit gratuit