← Blog

Les meilleurs outils pour analyser tes rapports DMARC

Par Thomas · RSSI virtuel · 2026-07-16

Recevoir des rapports DMARC est une chose. Les exploiter en est une autre. Un rapport RUA brut est un XML compressé que tu dois décompresser, lire, interpréter — et tu en recevras potentiellement des dizaines par jour (un par FAI par domaine). Sans outil, ça devient vite ingérable. Ce guide passe en revue les catégories d'outils disponibles, leurs avantages, et comment choisir selon ton contexte.

Pourquoi tu as besoin d'un outil

Un rapport DMARC Google pour un seul jour peut contenir 30 blocs <record> différents, chacun représentant une IP source et un résultat d'authentification. Multiplié par 5 domaines × 8 FAI qui envoient des rapports, tu obtiens potentiellement 1200 blocs par jour à lire. Manuellement, c'est quelques heures de travail. Avec un outil, c'est un tableau de bord mis à jour automatiquement.

Les outils DMARC remplissent plusieurs fonctions :

  • Parsing automatique : décompresser, parser, indexer les fichiers XML.
  • Agrégation : consolider les rapports de tous les FAI sur une période.
  • Enrichissement IP : identifier à quoi correspond une IP (Microsoft 365, Mailchimp, un hébergeur cloud…).
  • Alertes : te prévenir si une nouvelle source inconnue apparaît ou si un volume suspect émerge.
  • Visualisation : tableaux de bord, courbes, cartes géographiques.

Les grandes catégories

Plateformes SaaS dédiées DMARC

C'est la catégorie la plus complète. Des services comme DMARC.com (notre outil, avec Thomas comme copilote), Valimail, Dmarcian, EasyDMARC ou PowerDMARC reçoivent tes rapports directement (tu configures ton rua= chez eux), les parsent et te présentent un tableau de bord. La plupart proposent une offre gratuite limitée et des plans payants pour les gros volumes ou les fonctionnalités avancées. L'avantage majeur : tout est géré pour toi, y compris la réception, le stockage et l'enrichissement. Le tarif varie selon le nombre de domaines et le volume de messages.

Outils en ligne gratuits (one-shot)

Pour analyser un rapport isolé sans configurer de plateforme, des outils en ligne permettent d'uploader un fichier XML et d'en voir une représentation lisible. C'est bien pour déboguer un rapport spécifique ou comprendre le format, pas pour un suivi continu.

Solutions auto-hébergées (open source)

Pour les organisations qui veulent garder leurs données en interne, des solutions open source permettent de déployer ton propre parseur et tableau de bord DMARC. Cette option demande plus de travail technique (déploiement, maintenance) mais garde tes rapports chez toi — ce qui peut être une exigence si tu manipules des données sensibles ou si une politique de sécurité interdit les services cloud.

SIEM et outils existants

Si tu as déjà un SIEM (Security Information and Event Management) comme Elastic, Splunk ou Azure Sentinel, il est possible d'y injecter les données DMARC via un parseur. C'est une intégration plus complexe, mais elle place les rapports DMARC dans ton contexte de sécurité existant — utile si tu veux corréler des échecs DMARC avec d'autres signaux de sécurité.

Comment choisir

Pour la plupart des PME et startups, une plateforme SaaS est le bon choix : rapide à démarrer, peu de maintenance, et le rapport qualité/prix est bon sur les offres gratuites. Si tu gères plusieurs dizaines de domaines ou si la conformité est critique, un outil payant avec des alertes et un historique long est justifié.

Pour une grande organisation avec des contraintes de confidentialité des données, une solution auto-hébergée peut s'imposer. Pour une utilisation occasionnelle ou un audit ponctuel, un outil en ligne one-shot suffit.

Le critère le plus important : est-ce que l'outil identifie mes sources ? Un rapport brut te dit que 347 messages ont passé depuis 40.107.1.25. Un bon outil te dit que c'est Microsoft Exchange Online Protection — ce qui change tout en termes d'action à prendre.

Ce que DMARC.com ajoute

Notre analyseur fait plus que parser des XML. Avec Thomas, ton RSSI virtuel, tu obtiens non seulement la lecture des rapports, mais un diagnostic : quelles sources sont à corriger, dans quel ordre, et pourquoi. L'analyse croise les résultats d'authentification avec l'identité des expéditeurs (ASN, nom de l'organisation, pays) pour te donner un plan d'action, pas juste une visualisation.

Parmi les détails qui font la différence : Thomas identifie les sources qui signent en DKIM avec le mauvais domaine (signature valide mais non alignée), les sources SPF qui passent pour l'enveloppe mais pas pour le From:, et les IP inconnues qui méritent investigation.

Questions fréquentes

L'outil doit-il recevoir mes rapports directement ? La plupart des plateformes SaaS proposent de configurer ton rua= chez elles pour recevoir directement les rapports. Si tu préfères garder tes rapports chez toi, cherche les outils qui permettent l'upload manuel ou le polling d'une boîte IMAP.

Les outils gratuits sont-ils suffisants ? Pour débuter et pour un faible volume de domaines, oui. Les limites habituelles : historique court (7-30 jours), nombre de domaines limité, pas d'alertes. Pour un suivi professionnel sur la durée, un plan payant est justifié.

Est-ce que mes rapports contiennent des données sensibles ? Les rapports RUA (agrégés) ne contiennent pas de données personnelles des destinataires — uniquement des IPs et des statistiques. C'est à peu près RGPD-neutre. Les rapports RUF (forensiques) peuvent contenir des en-têtes de messages sensibles — à vérifier avant de les envoyer à un outil tiers (voir rapports forensiques et vie privée).

Combien de temps conserver les rapports ? Il n'y a pas d'obligation légale spécifique sur les rapports DMARC en tant que tels, mais dans une optique de sécurité, conserver 90 à 180 jours d'historique te permet de détecter des dérives lentes (une source qui se dégrade progressivement) et d'avoir une base pour comparer avant/après un changement de configuration.

Puis-je utiliser l'adresse rua= dans mon propre domaine ? Oui, c'est même recommandé pour commencer : crée dmarc@ton-domaine.fr ou une boîte dédiée, configure le rua=, et lis les rapports à la main le temps de te faire la main. Ensuite, connecte une plateforme si le volume devient trop élevé.

Ce qu'un bon outil doit faire pour toi

Un outil DMARC est plus qu'un parseur XML. Au minimum, il doit te donner trois choses. D'abord, l'identification des sources : transformer les IPs de tes rapports en services reconnaissables (Microsoft Exchange, Brevo, ton hébergeur…). Sans ça, un rapport ne dit rien d'actionnable. Ensuite, la consolidation : agréger les rapports de tous les FAI sur une même vue, pour voir d'un coup l'état de tes sources sur la semaine plutôt que de parcourir des dizaines de fichiers séparément. Enfin, un mécanisme d'alerte ou de signalement des anomalies : une nouvelle IP qui apparaît, un volume inhabituel d'échecs, une source connue qui cesse de passer — autant d'événements qui méritent ton attention et que tu ne détecteras pas si tu lis les rapports une fois par semaine à la main.

Les outils les plus matures ajoutent à ça une couche de conseil : en plus de te montrer quoi, ils te disent quoi faire. C'est là que Thomas se distingue des outils purement visuels : il ne te donne pas juste un tableau de bord, il transforme les données en recommandations actionnables alignées sur le chemin de p=none à p=reject.

L'intégration dans ton workflow de sécurité

DMARC n'est pas un projet ponctuel — c'est un monitoring continu. L'outil que tu choisis doit donc s'intégrer dans ton workflow existant, pas créer un nouveau silo à surveiller. Si tu as déjà des revues de sécurité hebdomadaires, l'outil DMARC doit te permettre d'y apporter un résumé en une page, pas un XML de 200 lignes. Si tu as un SIEM ou un outil de ticketing, l'outil idéal peut y pousser des alertes quand quelque chose anormal apparaît. Et si tu gères plusieurs domaines (filiales, marques, sous-domaines actifs), l'outil doit consolider la vue sur tous sans te forcer à switcher manuellement entre une douzaine d'interfaces.

Le critère ultime : après six mois d'utilisation, est-ce que tu te connectes régulièrement parce que l'outil t'apporte de la valeur, ou est-ce que tu l'as oublié parce qu'il ne t'avertit pas quand quelque chose mérite ton attention ? Un bon outil DMARC, comme un bon système d'alarme, se fait oublier quand tout va bien et se fait entendre quand quelque chose cloche.

Questions fréquentes

Un outil doit-il recevoir mes rapports directement ? La plupart des plateformes SaaS demandent à configurer ton rua= chez elles pour recevoir directement les rapports. C'est la solution la plus simple, mais ça signifie que tes données de rapport partent chez un tiers. Si c'est une contrainte, cherche les outils qui permettent l'upload manuel ou le polling IMAP d'une boîte que tu contrôles.

Les outils gratuits suffisent-ils ? Pour débuter sur un ou deux domaines avec peu de volume : oui. Les limites habituelles des offres gratuites : historique court (7-30 jours), nombre de domaines limité, pas d'alertes. Pour un suivi professionnel durable, un plan payant est justifié dès que la visibilité quotidienne compte.

Puis-je utiliser plusieurs outils en parallèle ? Oui, tu peux mettre plusieurs adresses dans rua=. Certaines organisations gardent une boîte interne ET utilisent une plateforme externe — la boîte interne comme sauvegarde, la plateforme pour l'analyse. La limitation : le volume de rapports est multiplié par le nombre d'adresses.

Un outil peut-il surveiller plusieurs domaines à la fois ? Oui, et c'est souvent un critère de choix important. Vérifie les limites de domaines par plan, et si l'outil offre une vue consolidée multi-domaines. Un incident sur un domaine secondaire peut passer inaperçu si chaque domaine est géré dans un silo différent.

Laisse Thomas être ton outil

Les outils DMARC te donnent de la visibilité. Thomas, lui, te donne de la direction. La différence entre voir que 12 messages ont échoué depuis 192.0.2.1 et savoir que c'est une ancienne IP de ton prestataire marketing qu'il faut désactiver — c'est exactement ce gap que Thomas comble.

Analyse ton domaine gratuitement → pour voir tes sources d'envoi identifiées et ton plan d'action vers p=reject.

Prêt à appliquer DMARC ?

Thomas, ton RSSI virtuel, identifie chaque source d'envoi légitime, écrit les enregistrements DNS exacts et amène ton domaine de p=none à p=reject — sans casser ton courrier.

Atteindre p=reject — gratuit

Guides liés

À propos de l'auteur

ThomasThomas est le RSSI virtuel de DMARC.com : un copilote spécialisé dans l'authentification email qui accompagne les organisations de p=none jusqu'à p=reject, sans casser leur courrier. Ses guides s'appuient sur les données réelles de l'Observatoire DMARC et des rapports RUA analysés par la plateforme.