Pour les e-mail marketeurs, cela a une dimension délivrabilité directe. Les professionnels du marketing prennent conscience que le DMARC améliore non seulement la sécurité, mais aussi la délivrabilité des e-mails. Lorsque les FAI constatent qu'un expéditeur dispose d'une solide posture d'authentification, les campagnes légitimes ont moins de risques d'être identifiées comme spam, ce qui est déterminant pour le succès d'une stratégie d'e-mail marketing.

Le retard d'adoption qui crée le risque

Le défi est que la majorité des organisations n'ont pas encore atteint une application complète du DMARC. Le taux d'adoption du DMARC parmi les principaux domaines est passé de 27,2 % à 47,7 % entre 2023 et 2025, soit une hausse de 75 % des domaines protégés, avec des politiques d'application (quarantaine et rejet) en progression de 50 % sur cette période. Cette croissance semble encourageante, mais le détail de l'application raconte une autre histoire.

L'adoption valide du DMARC est passée de 523 921 domaines en 2023 à 858 782 en 2025, puis à 937 931 début 2026. Toutefois, p=none reste la politique la plus répandue dans le monde, et de nombreuses organisations utilisent encore le DMARC principalement à des fins de visibilité plutôt que de protection active. En 2026, 525 996 domaines étaient toujours en p=none.

Une politique p=none génère des données de reporting, mais ne fait rien pour bloquer les e-mails usurpés ou non authentifiés. L'analyse des 10 millions de domaines internet les plus visités révèle que seulement 22,9 % des domaines qui s'envoient leurs propres données de reporting DMARC disposent d'une politique de rejet DMARC. Avec le nouveau système de notation Bitsight, une configuration p=none recevra vraisemblablement une note inférieure à celle d'une politique p=reject pleinement appliquée, ce qui signifie que l'écart de notation entre les organisations qui ont déployé une politique d'application et celles qui ne l'ont pas fait sera bientôt visible dans un score externe.

Comment Bitsight notera le DMARC

Seuls les domaines répondant à des critères spécifiques génèreront une évaluation DMARC : les domaines protégés par un enregistrement DMARC, et les domaines non protégés par un enregistrement DMARC qui sont associés à un enregistrement MX. Si un enregistrement MX est présent et qu'aucun enregistrement DMARC n'est configuré, cela génère une évaluation avec le problème "L'enregistrement n'existe pas" et une note Mauvaise.

Pour les entités qui n'ont pas de domaines associés, le SPF et le DKIM afficheront désormais par défaut N/A et n'auront aucun impact négatif sur la note. Auparavant, ces entités recevaient des notes par défaut malgré l'absence de domaines à évaluer.

En mesurant le DMARC aux côtés du SPF et du DKIM, Bitsight renforce la capacité du Rating à mettre en évidence des protections fondées sur des preuves contre l'usurpation d'identité et le phishing, offrant ainsi aux équipes sécurité et gestion des risques un indicateur plus clair et plus actionnable pour démontrer l'amélioration de leur posture de sécurité e-mail.

Ce que les e-mail marketeurs et les dirigeants d'entreprise doivent faire dès maintenant

La fenêtre de préversion est une opportunité concrète de combler les lacunes avant que les scores n'évoluent. Voici les étapes les plus pertinentes pour les équipes marketing et croissance :

1. Auditez votre enregistrement DMARC actuel. Vérifiez si vos domaines d'envoi disposent d'un enregistrement TXT _dmarc valide dans le DNS. Des outils comme MXToolbox permettent de le vérifier en quelques secondes.
2. Allez au-delà du p=none. Une politique de surveillance uniquement ne permettra pas d'obtenir une bonne note Bitsight. Visez p=quarantine ou p=reject avec pct=100. Une politique active utilisant p=reject ou p=quarantine agissant sur tous les échecs d'authentification avec pct=100 est requise pour obtenir la meilleure note possible.
3. Vérifiez tous vos domaines d'envoi, y compris les domaines non utilisés pour l'e-mail. Bitsight recherche des enregistrements SPF correctement configurés pour l'ensemble des domaines d'une organisation, même ceux qui ne sont pas utilisés pour l'envoi d'e-mails, car des acteurs malveillants peuvent tenter d'usurper un domaine même si l'organisation ne l'utilise pas pour ses communications.
4. Informez les parties prenantes avant la fin de la période de préversion. De nombreuses organisations partagent leur Bitsight Rating avec leurs fournisseurs, partenaires, conseils d'administration et assureurs. La période de préversion est l'occasion d'informer ces parties prenantes et d'assurer une bonne coordination.

Les données globales sont claires sur les raisons pour lesquelles cela est important. Les pays disposant d'exigences DMARC obligatoires affichent des schémas d'attaques de phishing très différents. Les États-Unis ont réduit la livraison réussie de phishing de 69 % à 14 %, tandis que des pays sans obligation d'application, comme les Pays-Bas, ont vu leur vulnérabilité atteindre 97 %. Pour toute organisation gérant l'e-mail marketing à grande échelle, en France comme ailleurs, l'argumentaire en faveur de l'application du DMARC est désormais à la fois un argument de sécurité et un argument de notation.

Pour les e-mail marketeurs, cela a une dimension délivrabilité directe. Les professionnels du marketing prennent conscience que le DMARC améliore non seulement la sécurité, mais aussi la délivrabilité des e-mails. Lorsque les FAI constatent qu'un expéditeur dispose d'une solide posture d'authentification, les campagnes légitimes ont moins de risques d'être identifiées comme spam, ce qui est déterminant pour le succès d'une stratégie d'e-mail marketing.

Le retard d'adoption qui crée le risque

Le défi est que la majorité des organisations n'ont pas encore atteint une application complète du DMARC. Le taux d'adoption du DMARC parmi les principaux domaines est passé de 27,2 % à 47,7 % entre 2023 et 2025, soit une hausse de 75 % des domaines protégés, avec des politiques d'application (quarantaine et rejet) en progression de 50 % sur cette période. Cette croissance semble encourageante, mais le détail de l'application raconte une autre histoire.

L'adoption valide du DMARC est passée de 523 921 domaines en 2023 à 858 782 en 2025, puis à 937 931 début 2026. Toutefois, p=none reste la politique la plus répandue dans le monde, et de nombreuses organisations utilisent encore le DMARC principalement à des fins de visibilité plutôt que de protection active. En 2026, 525 996 domaines étaient toujours en p=none.

Une politique p=none génère des données de reporting, mais ne fait rien pour bloquer les e-mails usurpés ou non authentifiés. L'analyse des 10 millions de domaines internet les plus visités révèle que seulement 22,9 % des domaines qui s'envoient leurs propres données de reporting DMARC disposent d'une politique de rejet DMARC. Avec le nouveau système de notation Bitsight, une configuration p=none recevra vraisemblablement une note inférieure à celle d'une politique p=reject pleinement appliquée, ce qui signifie que l'écart de notation entre les organisations qui ont déployé une politique d'application et celles qui ne l'ont pas fait sera bientôt visible dans un score externe.

Comment Bitsight notera le DMARC

Seuls les domaines répondant à des critères spécifiques génèreront une évaluation DMARC : les domaines protégés par un enregistrement DMARC, et les domaines non protégés par un enregistrement DMARC qui sont associés à un enregistrement MX. Si un enregistrement MX est présent et qu'aucun enregistrement DMARC n'est configuré, cela génère une évaluation avec le problème "L'enregistrement n'existe pas" et une note Mauvaise.

Pour les entités qui n'ont pas de domaines associés, le SPF et le DKIM afficheront désormais par défaut N/A et n'auront aucun impact négatif sur la note. Auparavant, ces entités recevaient des notes par défaut malgré l'absence de domaines à évaluer.

En mesurant le DMARC aux côtés du SPF et du DKIM, Bitsight renforce la capacité du Rating à mettre en évidence des protections fondées sur des preuves contre l'usurpation d'identité et le phishing, offrant ainsi aux équipes sécurité et gestion des risques un indicateur plus clair et plus actionnable pour démontrer l'amélioration de leur posture de sécurité e-mail.

Ce que les e-mail marketeurs et les dirigeants d'entreprise doivent faire dès maintenant

La fenêtre de préversion est une opportunité concrète de combler les lacunes avant que les scores n'évoluent. Voici les étapes les plus pertinentes pour les équipes marketing et croissance :

1. Auditez votre enregistrement DMARC actuel. Vérifiez si vos domaines d'envoi disposent d'un enregistrement TXT _dmarc valide dans le DNS. Des outils comme MXToolbox permettent de le vérifier en quelques secondes.
2. Allez au-delà du p=none. Une politique de surveillance uniquement ne permettra pas d'obtenir une bonne note Bitsight. Visez p=quarantine ou p=reject avec pct=100. Une politique active utilisant p=reject ou p=quarantine agissant sur tous les échecs d'authentification avec pct=100 est requise pour obtenir la meilleure note possible.
3. Vérifiez tous vos domaines d'envoi, y compris les domaines non utilisés pour l'e-mail. Bitsight recherche des enregistrements SPF correctement configurés pour l'ensemble des domaines d'une organisation, même ceux qui ne sont pas utilisés pour l'envoi d'e-mails, car des acteurs malveillants peuvent tenter d'usurper un domaine même si l'organisation ne l'utilise pas pour ses communications.
4. Informez les parties prenantes avant la fin de la période de préversion. De nombreuses organisations partagent leur Bitsight Rating avec leurs fournisseurs, partenaires, conseils d'administration et assureurs. La période de préversion est l'occasion d'informer ces parties prenantes et d'assurer une bonne coordination.

Les données globales sont claires sur les raisons pour lesquelles cela est important. Les pays disposant d'exigences DMARC obligatoires affichent des schémas d'attaques de phishing très différents. Les États-Unis ont réduit la livraison réussie de phishing de 69 % à 14 %, tandis que des pays sans obligation d'application, comme les Pays-Bas, ont vu leur vulnérabilité atteindre 97 %. Pour toute organisation gérant l'e-mail marketing à grande échelle, en France comme ailleurs, l'argumentaire en faveur de l'application du DMARC est désormais à la fois un argument de sécurité et un argument de notation.