L'IETF a officiellement publié RFC 9989 en mai 2026, promouvant DMARC au statut de Standard proposé. Cette mise à jour améliore la prévention de l'usurpation d'identité et l'authentification des emails avec une terminologie clarifiée et une protection renforcée des sous-domaines.
Le 20 mai 2026, l'Internet Engineering Task Force a publié RFC 9989, remplaçant officiellement la spécification DMARC de 2015 et faisant passer le protocole d'un document informatif à une désignation officielle de la piste des standards Internet. Pour les propriétaires d'entreprises, les responsables marketing et les équipes de croissance, ce changement a des implications directes : les règles qui gouvernent la façon dont vos emails sont authentifiés, livrés et protégés contre l'usurpation d'identité viennent de connaître leur mise à jour la plus importante en plus d'une décennie.
Ce que RFC 9989 change réellement
RFC 9989 est un document de la piste des standards publié en mai 2026. Il remplace à la fois RFC 7489 et RFC 9091, et est le fruit des travaux de la communauté IETF avec l'approbation de l'Internet Engineering Steering Group. Cette mise à jour fait partie d'une publication à trois documents. La spécification mise à jour, connue sous le nom DMARCbis, est divisée en trois documents dédiés : RFC 9989 couvre le mécanisme DMARC principal, et RFC 9990 gouverne les rapports agrégés.
Il ne s'agit pas d'une refonte majeure. Le protocole fonctionne largement de la même façon, les enregistrements DMARC commencent toujours par v=DMARC1, et la plupart des propriétaires de domaines n'auront pas besoin de modifier les politiques existantes. RFC 9989 clarifie principalement la terminologie, affine les définitions et normalise les comportements qui avaient auparavant été implémentés de manière incohérente.
Le changement techniquement le plus significatif concerne la façon dont les serveurs destinataires déterminent votre domaine organisationnel. RFC 9989 remplace l'approche de la Liste des suffixes publics par un algorithme de parcours de l'arborescence DNS, ce qui affecte à la fois la découverte des politiques DMARC et l'alignement des identifiants dans les paramètres de relaxe. Selon RFC 7489, les implémentations utilisaient une Liste des suffixes publics pour déterminer le domaine organisationnel, mais la RFC n'imposait pas une source spécifique ou une stratégie de mise à jour, ce qui entraînait un comportement incohérent entre les implémentations.
Malgré la portée de cette mise à jour, DMARCbis n'introduit aucun changement briseur de compatibilité. Les nouvelles balises et les règles révisées sont construites pour que les serveurs exécutant la norme héritée puissent les ignorer en toute sécurité sans erreurs.
L'IETF a officiellement publié RFC 9989 en mai 2026, promouvant DMARC au statut de Standard proposé. Cette mise à jour améliore la prévention de l'usurpation d'identité et l'authentification des emails avec une terminologie clarifiée et une protection renforcée des sous-domaines.
Le 20 mai 2026, l'Internet Engineering Task Force a publié RFC 9989, remplaçant officiellement la spécification DMARC de 2015 et faisant passer le protocole d'un document informatif à une désignation officielle de la piste des standards Internet. Pour les propriétaires d'entreprises, les responsables marketing et les équipes de croissance, ce changement a des implications directes : les règles qui gouvernent la façon dont vos emails sont authentifiés, livrés et protégés contre l'usurpation d'identité viennent de connaître leur mise à jour la plus importante en plus d'une décennie.
Ce que RFC 9989 change réellement
RFC 9989 est un document de la piste des standards publié en mai 2026. Il remplace à la fois RFC 7489 et RFC 9091, et est le fruit des travaux de la communauté IETF avec l'approbation de l'Internet Engineering Steering Group. Cette mise à jour fait partie d'une publication à trois documents. La spécification mise à jour, connue sous le nom DMARCbis, est divisée en trois documents dédiés : RFC 9989 couvre le mécanisme DMARC principal, et RFC 9990 gouverne les rapports agrégés.
Il ne s'agit pas d'une refonte majeure. Le protocole fonctionne largement de la même façon, les enregistrements DMARC commencent toujours par v=DMARC1, et la plupart des propriétaires de domaines n'auront pas besoin de modifier les politiques existantes. RFC 9989 clarifie principalement la terminologie, affine les définitions et normalise les comportements qui avaient auparavant été implémentés de manière incohérente.
Le changement techniquement le plus significatif concerne la façon dont les serveurs destinataires déterminent votre domaine organisationnel. RFC 9989 remplace l'approche de la Liste des suffixes publics par un algorithme de parcours de l'arborescence DNS, ce qui affecte à la fois la découverte des politiques DMARC et l'alignement des identifiants dans les paramètres de relaxe. Selon RFC 7489, les implémentations utilisaient une Liste des suffixes publics pour déterminer le domaine organisationnel, mais la RFC n'imposait pas une source spécifique ou une stratégie de mise à jour, ce qui entraînait un comportement incohérent entre les implémentations.
Malgré la portée de cette mise à jour, DMARCbis n'introduit aucun changement briseur de compatibilité. Les nouvelles balises et les règles révisées sont construites pour que les serveurs exécutant la norme héritée puissent les ignorer en toute sécurité sans erreurs.
Pourquoi la formalisation compte pour la délivrabilité des emails
Le passage à la piste des standards n'est pas seulement une question administrative. Avec RFC 9989, DMARC a officiellement atteint le statut de Standard proposé IETF. En pratique, cela signifie que les fournisseurs de boîtes aux lettres du monde entier interpréteront et mettront en œuvre le protocole de manière plus cohérente, avec des définitions plus claires, de meilleurs exemples et des orientations plus exploitables pour les administrateurs.
Pour les responsables marketing, une implémentation cohérente entre les fournisseurs se traduit directement par un placement en boîte de réception plus prévisible. Les enjeux de délivrabilité ici sont importants. Selon l'analyse du marketing par email de Digital Applied en 2026, l'écart de placement en boîte de réception entre les expéditeurs authentifiés et non authentifiés est de 45 points de pourcentage. Les domaines entièrement authentifiés (SPF + DKIM + DMARC) obtiennent une probabilité 2,7 fois plus élevée de placement en boîte de réception par rapport aux emails non authentifiés.
Le marketing par email génère un rendement moyen de 36 à 42 euros pour chaque euro dépensé, surpassant régulièrement les publicités payantes, les réseaux sociaux et le SEO en tant que canal marketing offrant le ROI le plus élevé. Mais ce rendement dépend entièrement de la question de savoir si vos emails atteignent réellement la boîte de réception.
L'écart d'application qui doit encore être comblé
Malgré la maturité du protocole, l'adoption sans application reste le modèle dominant. Le rapport d'adoption DMARC 2026 d'EasyDMARC a révélé que l'adoption mondiale de DMARC a atteint 52,1 % des 1,8 millions de meilleurs domaines, contre 47,7 % en 2025. Mais parmi les 937 931 domaines avec des enregistrements DMARC valides, plus de la moitié restent bloqués sur p=none, la politique de surveillance uniquement qui ne fournit aucune protection contre l'usurpation d'identité.
Les taux de réussite DMARC ont atteint 88,99 % au niveau mondial au premier trimestre 2026, en hausse par rapport à 86,42 % au premier trimestre 2025, mais le taux de réussite et la politique d'application sont des choses différentes. L'adoption de DMARC parmi les domaines d'envoi d'emails s'élève à 64 %, ce qui signifie que plus d'un tiers n'ont toujours aucune politique DMARC.
Les principaux fournisseurs de boîtes aux lettres ont déjà tracé une ligne dure. Google, Yahoo (février 2024), Microsoft (mai 2025) et La Poste (septembre 2025) exigent désormais une authentification SPF, DKIM et DMARC pour les expéditeurs d'emails en masse. Les emails non conformes seront rejetés ou envoyés au spam. Depuis novembre 2025, Gmail rejette activement les emails non conformes au niveau SMTP.
La conséquence commerciale de l'inaction est mesurable. Le placement en boîte de réception Microsoft Office 365 a chuté de 26,7 points de pourcentage d'une année sur l'autre, et Outlook/Hotmail a chuté de 22,6 points de pourcentage. Les organisations envoyant 1 million d'emails ou plus chaque mois ont connu une baisse de 22,35 points de pourcentage du placement en boîte de réception, tombant à seulement 27,63 %.
Ce que les propriétaires d'entreprises et les responsables marketing devraient faire maintenant
La publication de RFC 9989 élimine une ambiguïté longue de longue date quant à la façon dont DMARC devrait se comporter sur les différents systèmes de courrier. Pour des fins pratiques, le protocole que vous implémentez aujourd'hui ressemble à celui d'avant, mais l'infrastructure d'application et de rapport est désormais construite sur une base stable et sans ambiguïté.
L'écart à combler est l'application, pas seulement la configuration. Passer de p=none à p=quarantine ou p=reject est l'endroit où les avantages réels en matière de protection et de délivrabilité se matérialisent. L'une des conclusions les plus convaincantes du rapport EasyDMARC 2025 est la corrélation directe entre les mandats DMARC nationaux et les résultats de phishing. Les États-Unis, qui ont des mandats DMARC gouvernementaux pour les agences fédérales, ont vu la livraison réussie d'emails de phishing chuter de 69 % à 14 %. Les Pays-Bas, qui n'ont pas de mandats d'application, ont vu la vulnérabilité au phishing augmenter à 97 %.
Pour les équipes qui ne sont pas encore à l'étape de l'application, le chemin est simple : auditez vos enregistrements SPF, DKIM et DMARC actuels, confirmez l'alignement sur toutes les sources d'envoi, examinez vos rapports agrégés DMARC et faites progresser votre politique progressivement vers le rejet. La mise à jour RFC 9989 améliore l'interopérabilité DMARC, la clarté des rapports, le support de l'internationalisation et les orientations de sécurité pour renforcer la protection contre le phishing et l'usurpation d'identité des domaines dans le monde entier. La norme est désormais formelle. La question est de savoir si votre domaine est prêt à la respecter.
Pourquoi la formalisation compte pour la délivrabilité des emails
Le passage à la piste des standards n'est pas seulement une question administrative. Avec RFC 9989, DMARC a officiellement atteint le statut de Standard proposé IETF. En pratique, cela signifie que les fournisseurs de boîtes aux lettres du monde entier interpréteront et mettront en œuvre le protocole de manière plus cohérente, avec des définitions plus claires, de meilleurs exemples et des orientations plus exploitables pour les administrateurs.
Pour les responsables marketing, une implémentation cohérente entre les fournisseurs se traduit directement par un placement en boîte de réception plus prévisible. Les enjeux de délivrabilité ici sont importants. Selon l'analyse du marketing par email de Digital Applied en 2026, l'écart de placement en boîte de réception entre les expéditeurs authentifiés et non authentifiés est de 45 points de pourcentage. Les domaines entièrement authentifiés (SPF + DKIM + DMARC) obtiennent une probabilité 2,7 fois plus élevée de placement en boîte de réception par rapport aux emails non authentifiés.
Le marketing par email génère un rendement moyen de 36 à 42 euros pour chaque euro dépensé, surpassant régulièrement les publicités payantes, les réseaux sociaux et le SEO en tant que canal marketing offrant le ROI le plus élevé. Mais ce rendement dépend entièrement de la question de savoir si vos emails atteignent réellement la boîte de réception.
L'écart d'application qui doit encore être comblé
Malgré la maturité du protocole, l'adoption sans application reste le modèle dominant. Le rapport d'adoption DMARC 2026 d'EasyDMARC a révélé que l'adoption mondiale de DMARC a atteint 52,1 % des 1,8 millions de meilleurs domaines, contre 47,7 % en 2025. Mais parmi les 937 931 domaines avec des enregistrements DMARC valides, plus de la moitié restent bloqués sur p=none, la politique de surveillance uniquement qui ne fournit aucune protection contre l'usurpation d'identité.
Les taux de réussite DMARC ont atteint 88,99 % au niveau mondial au premier trimestre 2026, en hausse par rapport à 86,42 % au premier trimestre 2025, mais le taux de réussite et la politique d'application sont des choses différentes. L'adoption de DMARC parmi les domaines d'envoi d'emails s'élève à 64 %, ce qui signifie que plus d'un tiers n'ont toujours aucune politique DMARC.
Les principaux fournisseurs de boîtes aux lettres ont déjà tracé une ligne dure. Google, Yahoo (février 2024), Microsoft (mai 2025) et La Poste (septembre 2025) exigent désormais une authentification SPF, DKIM et DMARC pour les expéditeurs d'emails en masse. Les emails non conformes seront rejetés ou envoyés au spam. Depuis novembre 2025, Gmail rejette activement les emails non conformes au niveau SMTP.
La conséquence commerciale de l'inaction est mesurable. Le placement en boîte de réception Microsoft Office 365 a chuté de 26,7 points de pourcentage d'une année sur l'autre, et Outlook/Hotmail a chuté de 22,6 points de pourcentage. Les organisations envoyant 1 million d'emails ou plus chaque mois ont connu une baisse de 22,35 points de pourcentage du placement en boîte de réception, tombant à seulement 27,63 %.
Ce que les propriétaires d'entreprises et les responsables marketing devraient faire maintenant
La publication de RFC 9989 élimine une ambiguïté longue de longue date quant à la façon dont DMARC devrait se comporter sur les différents systèmes de courrier. Pour des fins pratiques, le protocole que vous implémentez aujourd'hui ressemble à celui d'avant, mais l'infrastructure d'application et de rapport est désormais construite sur une base stable et sans ambiguïté.
L'écart à combler est l'application, pas seulement la configuration. Passer de p=none à p=quarantine ou p=reject est l'endroit où les avantages réels en matière de protection et de délivrabilité se matérialisent. L'une des conclusions les plus convaincantes du rapport EasyDMARC 2025 est la corrélation directe entre les mandats DMARC nationaux et les résultats de phishing. Les États-Unis, qui ont des mandats DMARC gouvernementaux pour les agences fédérales, ont vu la livraison réussie d'emails de phishing chuter de 69 % à 14 %. Les Pays-Bas, qui n'ont pas de mandats d'application, ont vu la vulnérabilité au phishing augmenter à 97 %.
Pour les équipes qui ne sont pas encore à l'étape de l'application, le chemin est simple : auditez vos enregistrements SPF, DKIM et DMARC actuels, confirmez l'alignement sur toutes les sources d'envoi, examinez vos rapports agrégés DMARC et faites progresser votre politique progressivement vers le rejet. La mise à jour RFC 9989 améliore l'interopérabilité DMARC, la clarté des rapports, le support de l'internationalisation et les orientations de sécurité pour renforcer la protection contre le phishing et l'usurpation d'identité des domaines dans le monde entier. La norme est désormais formelle. La question est de savoir si votre domaine est prêt à la respecter.
