Pourquoi DMARC est critique pour une association
Dans le Panorama de la cybersécurité dans l'ESS — baromètre 2026, sur 35 audits menés entre mars et mai 2026, plus de 80 % des associations auditées n'avaient pas de politique DMARC active. Sur ces domaines non protégés, n'importe qui sur Internet peut envoyer un email frauduleux qui apparaîtra comme provenant de tresorier@votreasso.org ou presidence@votreasso.org.
C'est exactement le mécanisme de deux fraudes massives dans le secteur associatif :
- La fraude au président — un faux email "du président" demande un virement urgent au trésorier ou au comptable.
- La fraude au changement de RIB — un faux email "d'un fournisseur" annonce un changement de coordonnées bancaires pour les prochains paiements.
Le coût d'un incident de ce type pour une asso : entre 5 000 € et 80 000 € selon les cas remontés. Le coût de la prévention : 0 € et environ une heure de travail technique. C'est le rapport effort / impact le plus favorable en cybersécurité associative.
Vous voulez vérifier l'état actuel de votre domaine ? Allez sur mxtoolbox.com/dmarc.aspx ou faites notre auto-diagnostic cybersécurité ESS (3 min).
SPF, DKIM, DMARC en deux minutes
Les trois protocoles forment une pile cohérente d'authentification d'email. Aucun ne suffit seul, mais ensemble ils permettent aux serveurs destinataires de reconnaître et de rejeter un email frauduleux.
| Protocole | Rôle | Forme technique |
|---|---|---|
| SPF Sender Policy Framework |
Liste publique des serveurs autorisés à envoyer en votre nom. | Enregistrement TXT à la racine du domaine. |
| DKIM DomainKeys Identified Mail |
Signature cryptographique de chaque email — preuve qu'il vient bien de votre serveur. | TXT sur un sous-domaine "sélecteur" (ex : selector1._domainkey). |
| DMARC Domain-based Message Authentication |
Politique : que faire si SPF et DKIM échouent ? Et envoyer des rapports. | TXT sur _dmarc.votredomaine.org. |
Important : DMARC ne fonctionne que si SPF ou DKIM passe ET que le domaine "alignement" correspond. Sans SPF/DKIM bien configurés, DMARC ne sert à rien.
Étape 1 — Configurer SPF (15 min)
Identifier votre messagerie principale
Microsoft 365, Google Workspace, Infomaniak, OVH, Gandi… Chaque hébergeur fournit la valeur SPF à utiliser.
Publier un enregistrement TXT à la racine du domaine
Exemples selon votre messagerie :
; Microsoft 365
@ IN TXT "v=spf1 include:spf.protection.outlook.com -all"
; Google Workspace
@ IN TXT "v=spf1 include:_spf.google.com ~all"
; Infomaniak
@ IN TXT "v=spf1 include:spf.infomaniak.ch ~all"
; OVH
@ IN TXT "v=spf1 include:mx.ovh.com ~all"Choisir entre ~all et -all
~all (softfail) : les emails non autorisés sont marqués suspects mais peuvent passer. Recommandé au début.
-all (hardfail) : les emails non autorisés sont rejetés. Plus strict, à activer après vérification.
Une seule ligne SPF par domaine. Si vous avez deux enregistrements TXT commençant par v=spf1, ils s'annulent et le SPF est invalide. Pour ajouter un nouvel expéditeur, on enrichit la ligne existante avec un include: supplémentaire.
Étape 2 — Activer DKIM (15 min)
DKIM signe cryptographiquement chaque email envoyé, prouvant qu'il vient bien de votre serveur de messagerie. La clé publique est publiée dans le DNS sous un nom appelé sélecteur.
Microsoft 365
Microsoft 365 propose deux sélecteurs : selector1 et selector2 (pour la rotation). Aller dans le Microsoft 365 Defender portal → Email & Collaboration → Policies & Rules → Threat Policies → Email Authentication → DKIM. Microsoft demande de publier deux CNAME :
selector1._domainkey.votredomaine.org IN CNAME selector1-votredomaine-org._domainkey.votretenant.onmicrosoft.com.
selector2._domainkey.votredomaine.org IN CNAME selector2-votredomaine-org._domainkey.votretenant.onmicrosoft.com.Une fois publiés, cliquer sur "Enable" dans la console.
Google Workspace
Aller dans la Console d'administration Google → Applications → Google Workspace → Gmail → Authentifier le courrier. Cliquer sur "Générer un nouvel enregistrement" avec un sélecteur (ex : google) et publier dans le DNS :
google._domainkey.votredomaine.org IN TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkq…"Attendre 48 h, puis cliquer sur "Démarrer l'authentification".
Infomaniak, OVH, Gandi
L'activation DKIM est en général disponible dans l'interface de gestion email. Les enregistrements DNS sont fournis automatiquement.
Étape 3 — Publier DMARC en mode observation (5 min)
Une fois SPF et DKIM en place, publier un enregistrement DMARC en mode observation pendant 2 à 4 semaines pour collecter les rapports avant durcissement.
_dmarc.votredomaine.org IN TXT "v=DMARC1; p=none; rua=mailto:dmarc@votredomaine.org; ruf=mailto:dmarc@votredomaine.org; fo=1; adkim=r; aspf=r"Décodage des paramètres :
p=none— politique d'observation : ne rien faire des emails qui échouent, juste collecter les rapports.rua=— adresse pour les rapports agrégés (XML quotidiens).ruf=— adresse pour les rapports forensiques (par email échoué, optionnel).fo=1— envoyer un rapport forensique dès qu'un mécanisme échoue.adkim=r/aspf=r— alignement relaxe (recommandé au début).
Astuce association à budget zéro : créer une boîte dmarc@votredomaine.org dédiée à recevoir les rapports. Ne pas utiliser une boîte personnelle — vous allez recevoir beaucoup de XML.
Étape 4 — Analyser les rapports DMARC (1-4 semaines)
Les rapports DMARC sont des fichiers XML difficiles à lire à la main. Plusieurs services gratuits ou freemium les agrègent en interface lisible :
| Service | Plan gratuit | Plan asso |
|---|---|---|
| Postmark DMARC Monitoring | Illimité, gratuit | — |
| dmarcian | Limité (essai) | Tarif nonprofit disponible |
| Valimail Monitor | Gratuit (basique) | — |
| DMARC Report | Gratuit jusqu'à 100k emails/mois | Inclus |
L'objectif de cette phase : identifier tous les expéditeurs légitimes qui envoient en votre nom mais qui n'apparaissent pas dans votre SPF/DKIM. Sources fréquentes oubliées :
- Mailchimp, SendinBlue, Brevo, Mailjet pour la newsletter
- HelloAsso pour les notifications de don
- OVH ou Gandi pour les redirections d'email
- Outils CRM (Salesforce, HubSpot)
- L'imprimante de la salariée qui envoie des emails via le serveur de messagerie
Étape 5 — Durcir DMARC progressivement
Quand les rapports ne montrent plus que des expéditeurs légitimes (et des tentatives d'usurpation), on durcit la politique en trois étapes espacées de 2 semaines chacune :
Quarantine 50 %
v=DMARC1; p=quarantine; pct=50; rua=mailto:dmarc@votredomaine.orgLa moitié des emails qui échouent sont mis en quarantaine (spam) chez le destinataire.
Quarantine 100 %
v=DMARC1; p=quarantine; pct=100; rua=mailto:dmarc@votredomaine.orgTous les emails qui échouent sont en quarantaine. Vérifier qu'aucun email légitime ne tombe.
Reject
v=DMARC1; p=reject; rua=mailto:dmarc@votredomaine.org; adkim=s; aspf=sTous les emails qui échouent sont rejetés. Alignement strict. L'association est protégée.
Cas Microsoft 365 (le piège basic auth)
Si votre association est sur Microsoft 365, une attention particulière : l'authentification basic auth sur Exchange Online contourne le 2FA. Même avec MFA activé, un attaquant ayant le mot de passe peut se connecter via IMAP/POP3/SMTP en basic auth.
Vérifier dans le Microsoft 365 admin center → Settings → Org settings → Modern authentication que tous les protocoles legacy (IMAP, POP3, SMTP auth, Authenticated SMTP) sont désactivés. Cette mesure est complémentaire à DMARC et vaut autant.
Cas Google Workspace
Plus simple : un seul sélecteur DKIM par défaut. Bien penser à activer aussi le paramètre "Strict spam filtering" dans Gmail admin → Apps → Gmail → Spam, Phishing and Malware.
Le programme Google for Nonprofits donne accès gratuitement à Google Workspace pour les associations éligibles.
Cas OVH, Gandi, Infomaniak (messagerie d'hébergeur)
Si votre association n'a pas de suite type Microsoft 365 ou Google Workspace, vous utilisez probablement la messagerie de votre hébergeur de domaine. Les valeurs SPF varient :
- OVH :
v=spf1 include:mx.ovh.com ~all - Gandi :
v=spf1 include:_mailcust.gandi.net ~all - Infomaniak :
v=spf1 include:spf.infomaniak.ch ~all
Pour DKIM, l'activation se fait dans l'interface de gestion email de l'hébergeur (souvent un toggle "Activer DKIM" qui publie automatiquement la clé).
Services tiers : Mailchimp, HelloAsso, Brevo
Si vous envoyez des newsletters via Mailchimp, des reçus fiscaux via HelloAsso, ou des emails transactionnels via Brevo/SendinBlue, ces services doivent être autorisés dans votre SPF et idéalement signer en DKIM avec votre domaine.
| Service | SPF include | DKIM |
|---|---|---|
| Mailchimp | include:servers.mcsv.net | 2 CNAME (k1, k2) fournis dans Mailchimp |
| Brevo (ex-Sendinblue) | include:spf.brevo.com | 1 TXT fourni dans Brevo |
| SendGrid | include:sendgrid.net | 2 CNAME fournis dans SendGrid |
| HelloAsso | Pas d'envoi en votre nom (envoie depuis @helloasso.com) | — |
| Mailjet | include:spf.mailjet.com | 1 TXT fourni dans Mailjet |
Limite SPF : 10 lookups DNS maximum. Chaque include: consomme un lookup. Au-delà de 10, SPF est invalide. Pour les associations qui cumulent Mailchimp + Brevo + SendGrid + Outlook, utiliser un service de SPF flattening comme SPF Surveyor.
Vérifier que tout fonctionne
Trois outils gratuits pour vérifier votre configuration :
- MXToolbox SuperTool — vérifier SPF, DKIM, DMARC d'un seul coup.
- Mail-Tester — envoyer un email à l'adresse générée et obtenir un score /10.
- dmarcian DMARC Inspector — inspecter spécifiquement DMARC.
Bon score Mail-Tester pour une association : 9 / 10 ou plus. Si vous êtes en dessous de 8, un email légitime peut tomber en spam.
Questions fréquentes
Qu'est-ce que DMARC, SPF et DKIM ?
Trois standards qui authentifient un email comme provenant légitimement du domaine indiqué dans le "De :". SPF liste les serveurs autorisés à envoyer pour votre domaine. DKIM signe cryptographiquement chaque message. DMARC dit aux serveurs destinataires ce qu'ils doivent faire des emails qui échouent à ces vérifications, et envoie des rapports.
Une petite association a-t-elle vraiment besoin de DMARC ?
Oui. Les associations sont des cibles privilégiées de la fraude au président et au faux fournisseur précisément parce que leurs domaines sont souvent non protégés. Sans DMARC, n'importe qui peut envoyer un email "de la part de" tresorier@votreasso.org. Configurer SPF + DKIM + DMARC est gratuit et bloque la quasi-totalité de ces usurpations.
Combien de temps faut-il pour mettre en place DMARC ?
1 heure technique pour publier les enregistrements DNS initiaux. Puis 2 à 4 semaines d'observation (p=none) pour collecter les rapports et identifier tous les services tiers légitimes (Mailchimp, HelloAsso, Brevo) avant de durcir la politique en p=quarantine puis p=reject.
Comment savoir si DMARC est déjà configuré sur mon domaine ?
Outil gratuit : mxtoolbox.com/dmarc.aspx. Taper votre domaine. Si rien n'apparaît, vous n'avez pas DMARC. Si vous voyez p=none, vous êtes en observation. p=quarantine ou p=reject signifie politique active.
Quel est le risque si je publie DMARC=reject trop vite ?
Vos emails légitimes envoyés par Mailchimp, votre CRM, votre outil de billetterie ou un partenaire peuvent être rejetés. C'est pourquoi on passe par p=none pendant 2-4 semaines, on analyse les rapports XML pour repérer tous les expéditeurs légitimes, on les ajoute au SPF/DKIM, et seulement ensuite on durcit.
Faut-il un service payant pour analyser les rapports DMARC ?
Non pour les petites associations. Postmark DMARC Monitoring est gratuit et illimité. Pour une asso de moins de 100k emails sortants/mois, c'est largement suffisant.
Qu'est-ce que l'alignement strict (adkim=s) ?
L'alignement vérifie que le domaine "De :" visible correspond exactement au domaine signé par DKIM (ou listé dans SPF). En mode strict, news.votreasso.org ne peut pas être signé pour votreasso.org. Recommandé après stabilisation.
Pour aller plus loin
- Panorama cybersécurité ESS — baromètre 2026 : 35 audits, score médian 4,9/10, guide complet.
- Diagnostic cybersécurité ESS : auto-évaluation 3 minutes, gratuite et anonyme.
- ANSSI — Guide d'hygiène informatique
- CNIL — Sécurité des données personnelles
- Cybermalveillance.gouv.fr — Diag Cyber Asso
- RFC 7489 — spécification DMARC officielle