SPF, DKIM, DMARC : protéger ses emails de l'usurpation

Sans SPF, DKIM et DMARC bien configurés, vos emails finissent en spam et n'importe qui peut envoyer du courrier en se faisant passer pour vous. Ces trois enregistrements DNS demandent moins d'une heure de mise en place et bloquent une catégorie entière d'attaques.

Par Constantin Boulanger
Publié le
Mis à jour le
9 min de lecture
spf dkim dmarc email security phishing délivrabilité

SPF, DKIM et DMARC sont trois enregistrements TXT à ajouter à votre zone DNS qui authentifient vos emails sortants. SPF liste les serveurs autorisés à envoyer pour votre domaine, DKIM signe cryptographiquement chaque email avec une clé privée, DMARC indique aux serveurs de réception comment traiter les emails qui échouent SPF/DKIM. Ensemble, ils empêchent l'usurpation de votre domaine et améliorent significativement votre délivrabilité.

Sans cette triple authentification, n'importe qui peut envoyer du courrier en se faisant passer pour contact@votre-domaine.fr, et vos vrais emails commerciaux finissent souvent en spam chez Gmail, Outlook et Yahoo. Voici comment configurer les trois enregistrements correctement.

Pourquoi SPF, DKIM et DMARC sont devenus obligatoires

Depuis février 2024, Google et Yahoo exigent SPF, DKIM et DMARC alignés pour tout expéditeur envoyant plus de 5 000 emails par jour vers leurs utilisateurs. Microsoft suit le mouvement. Sans cette triple authentification, vos emails commerciaux et transactionnels finissent en spam ou sont rejetés sans notification.

Au-delà de la délivrabilité, ces trois enregistrements bloquent l'usurpation de votre domaine. Sans eux, un attaquant peut envoyer des factures frauduleuses, des fausses confirmations ou des emails de phishing depuis direction@votre-domaine.fr sans que rien ne signale la fraude au destinataire.

SPF : qui peut envoyer pour vous

Le Sender Policy Framework (SPF) est un enregistrement TXT qui liste les adresses IP et serveurs autorisés à envoyer des emails depuis votre domaine. Quand un serveur de réception reçoit un email se prétendant venir de votre domaine, il vérifie si l'IP émettrice figure dans votre SPF.

Format type

v=spf1 include:_spf.google.com include:sendgrid.net ip4:51.158.43.12 -all

Décodage :

  • v=spf1 : version du protocole
  • include:_spf.google.com : autoriser les serveurs Google Workspace
  • include:sendgrid.net : autoriser SendGrid pour les emails transactionnels
  • ip4:51.158.43.12 : autoriser une IP spécifique (votre serveur)
  • -all : rejeter strictement tout autre expéditeur (alternatives : ~all softfail, ?all neutral)

Limites courantes

Une zone SPF est limitée à 10 lookups DNS maximum. Chaque include: compte comme au moins un lookup. Si vous dépassez, votre SPF devient invalide et tous vos emails perdent l'authentification. Solution : agrégateurs SPF (DMARC.org Aggregator, EasyDMARC) qui flatten les includes en IPs directes.

DKIM : la signature cryptographique

Le DomainKeys Identified Mail (DKIM) signe chaque email avec une clé privée stockée chez votre fournisseur d'envoi (Google Workspace, Microsoft 365, SendGrid, etc.). La clé publique correspondante est publiée en TXT dans votre DNS, sous un sélecteur (ex. google._domainkey.votre-domaine.fr).

Quand un serveur reçoit un email, il récupère la clé publique via DNS, vérifie la signature, et sait avec certitude que :

  • L'email provient bien d'un serveur autorisé par votre domaine
  • Le contenu n'a pas été modifié en transit

Configuration

Chaque fournisseur d'envoi génère sa propre paire de clés et fournit l'enregistrement TXT à ajouter à votre DNS. Procédure typique :

  1. Activer DKIM dans le panel admin de votre fournisseur (Google Workspace, Microsoft 365, etc.)
  2. Récupérer le sélecteur et la valeur TXT à ajouter
  3. Créer l'enregistrement DNS (ex. selector1._domainkey.votre-domaine.fr TXT "v=DKIM1; k=rsa; p=MIGfMA0G...")
  4. Attendre la propagation (jusqu'à 24 h selon TTL)
  5. Activer DKIM côté fournisseur

DMARC : la politique de traitement

Le Domain-based Message Authentication, Reporting and Conformance (DMARC) repose sur SPF et DKIM et ajoute deux choses cruciales :

  • Une politique qui dit aux serveurs de réception quoi faire des emails qui échouent SPF/DKIM (ne rien faire, mettre en quarantaine, rejeter)
  • Des rapports envoyés à une adresse email que vous configurez, listant tous les emails envoyés depuis votre domaine — légitimes ou frauduleux

Format type

v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@votre-domaine.fr; pct=100; aspf=s; adkim=s
  • p=quarantine : mettre en spam les emails qui échouent (alternatives : none monitoring uniquement, reject rejeter complètement)
  • rua=mailto:... : adresse qui reçoit les rapports agrégés quotidiens
  • pct=100 : appliquer la politique à 100 % des emails (peut être progressif : 10, puis 50, puis 100)
  • aspf=s adkim=s : alignement strict (le domaine SPF/DKIM doit correspondre exactement au From)

Stratégie de déploiement progressive

Trois phases recommandées sur 4-8 semaines :

  1. Phase 1 — monitoring : p=none pendant 2-4 semaines. Vous recevez les rapports DMARC sans impact sur la délivrabilité, ce qui permet d'identifier tous les services légitimes qui envoient pour votre domaine.
  2. Phase 2 — quarantine : p=quarantine pct=10 puis 50 puis 100. Les emails non authentifiés partent en spam.
  3. Phase 3 — reject : p=reject. Les emails non authentifiés sont rejetés. Application réservée aux organisations matures sur leur stack email.

Comment vérifier si tout est bien configuré

Trois outils gratuits :

  1. mail-tester.com : envoyer un email vers l'adresse fournie, recevoir un score sur 10 avec détail SPF/DKIM/DMARC.
  2. MXToolbox.com : audit complet de votre zone DNS email (SPF, DKIM, DMARC, MX, blacklists).
  3. DNS Lookup Domains Defender : vérifier rapidement la présence des trois TXT.

Erreurs fréquentes à éviter

  • Plusieurs SPF : un seul enregistrement TXT SPF par domaine. Plusieurs SPF = invalide.
  • SPF trop large : +all autorise n'importe qui à envoyer pour votre domaine. À éviter absolument.
  • DKIM manquant pour un service : si vous utilisez SendGrid, Mailchimp, Brevo, etc., chacun a besoin de son propre DKIM. Oublier un sélecteur = emails de ce service non authentifiés.
  • DMARC trop strict trop vite : passer directement à p=reject sans phase monitoring rejette aussi des emails légitimes que vous n'aviez pas identifiés.
  • Pas de monitoring DNS : si quelqu'un modifie ces TXT (par erreur ou malveillance), votre délivrabilité s'effondre. Solution : surveiller la zone DNS en continu.

Ce qu'il faut retenir

  • SPF, DKIM et DMARC sont devenus obligatoires en 2024 pour livrer chez Gmail/Yahoo en volume.
  • SPF liste les serveurs autorisés ; DKIM signe cryptographiquement ; DMARC dit quoi faire des emails qui échouent.
  • Déploiement progressif : p=nonep=quarantinep=reject sur 4-8 semaines.
  • Trois outils gratuits permettent de vérifier la config : mail-tester, MXToolbox, DNS Lookup.
  • Le monitoring DNS est essentiel : si quelqu'un modifie ces TXT, votre délivrabilité s'effondre sans alerte.

Questions fréquentes

Combien de temps prend la configuration SPF/DKIM/DMARC ?

La mise en place initiale prend 1 à 2 heures pour un domaine standard avec un seul fournisseur d'envoi. Pour une organisation utilisant plusieurs services (Google Workspace + SendGrid + Mailchimp), compter 3-4 heures pour tout aligner. La phase monitoring DMARC dure 2-4 semaines avant de passer à p=quarantine.

Puis-je utiliser p=reject directement sans phase monitoring ?

Non, c'est risqué. La phase p=none permet d'identifier tous les services légitimes qui envoient pour votre domaine via les rapports DMARC. Sauter cette étape rejette potentiellement des emails légitimes (un service oublié, une intégration tiers, des emails depuis votre CRM).

Que se passe-t-il si SPF est invalide ?

Les serveurs de réception ne peuvent pas vérifier l'authenticité de l'expéditeur. Conséquences : taux de délivrabilité en chute libre, emails massivement classés en spam, et impossibilité d'appliquer DMARC strict.

Faut-il configurer DKIM si on a déjà SPF ?

Oui. SPF vérifie l'IP émettrice, DKIM vérifie cryptographiquement le contenu. Les deux sont nécessaires pour DMARC. Sans DKIM, vos emails forwardés (auto-transfert depuis Gmail vers une autre adresse) cassent SPF et finissent en spam.

Les rapports DMARC sont-ils obligatoires ?

Pas techniquement, mais sans rapports vous êtes aveugle sur les tentatives d'usurpation et sur les services légitimes oubliés. Recommandé : utiliser un service gratuit comme Postmark DMARC Digests ou EasyDMARC pour parser les rapports XML automatiquement.

SPF, DKIM, DMARC protègent-ils contre toutes les attaques email ?

Non. Ils protègent contre l'usurpation de domaine (qu'un attaquant envoie un email se prétendant venir de votre domaine). Ils ne protègent pas contre le phishing depuis un domaine ressemblant (typosquatting comme votre-d0maine.fr) ni contre la compromission de votre propre compte email. Couches complémentaires : 2FA sur les comptes, monitoring des domaines proches, sensibilisation des équipes.

Sécuriser votre email maintenant

Configurer SPF, DKIM et DMARC est l'investissement à plus fort ROI sur votre infrastructure email : quelques heures de travail, votre délivrabilité protégée, l'usurpation bloquée. Une fois en place, surveiller la stabilité de ces enregistrements est essentiel — une suppression accidentelle ou malveillante détruit immédiatement votre réputation email.

Domains Defender vérifie en continu l'intégrité de vos enregistrements DNS — y compris vos TXT SPF, DKIM et DMARC — et alerte instantanément en cas de modification. Hébergé en France, conforme RGPD, essai gratuit 7 jours à partir de 4,99€ HT/mois.

Vérifier votre SPF/DKIM/DMARC gratuitement — ou activer la surveillance continue.

Articles similaires