Votre domaine peut envoyer des emails… sans votre accord 😱
Imaginez recevoir un email de votre propre entreprise… que vous n'avez jamais envoyé. C'est exactement ce que permettent les attaques par usurpation d'email (ou email spoofing) : un cybercriminel utilise votre nom de domaine pour envoyer des messages frauduleux à vos clients, partenaires ou collaborateurs.
Les conséquences sont sérieuses : perte de confiance, atteinte à la réputation, blacklistage de votre domaine auprès des fournisseurs de messagerie, voire des sanctions légales si des données sont volées en votre nom.
Heureusement, trois protocoles DNS permettent de s'en protéger efficacement : SPF, DKIM et DMARC. Voici comment ils fonctionnent et pourquoi leur configuration est aujourd'hui indispensable.
SPF : qui est autorisé à envoyer en votre nom ?
Le SPF (Sender Policy Framework) est un enregistrement DNS de type TXT qui liste les serveurs autorisés à envoyer des emails pour votre domaine. Lorsqu'un email arrive, le serveur destinataire vérifie si l'adresse IP de l'expéditeur figure dans cet enregistrement.
Si un serveur non autorisé tente d'envoyer un email depuis votre domaine, le SPF permet au destinataire de détecter l'anomalie et potentiellement de rejeter le message. Un enregistrement SPF basique ressemble à ceci :
v=spf1 include:_spf.google.com ~all
⚠️ Attention : le SPF seul ne suffit pas. Il indique d'où vient l'email, mais ne garantit pas que le contenu n'a pas été altéré. C'est là qu'intervient DKIM.
DKIM : une signature numérique pour chaque email
Le DKIM (DomainKeys Identified Mail) ajoute une signature cryptographique à chaque email envoyé depuis votre domaine. Cette signature est générée avec une clé privée que seul votre serveur possède, et vérifiable par n'importe quel destinataire grâce à une clé publique publiée dans vos DNS.
Concrètement, le DKIM garantit deux choses : que l'email provient bien de votre domaine, et que son contenu n'a pas été modifié en transit. C'est le serveur de messagerie destinataire qui vérifie automatiquement cette signature — de manière invisible pour l'utilisateur final. C'est une sorte de sceau d'authenticité apposé sur chaque message.
Mais même avec SPF et DKIM configurés, il manque encore une brique essentielle : une politique qui indique quoi faire lorsqu'un email échoue à ces vérifications. C'est le rôle de DMARC.
DMARC : la politique qui orchestre tout
Le DMARC (Domain-based Message Authentication, Reporting & Conformance) est la couche de gouvernance qui s'appuie sur SPF et DKIM. Il permet de définir ce que doit faire un serveur de messagerie lorsqu'un email reçu échoue aux vérifications SPF ou DKIM.
Un enregistrement DMARC se configure via une entrée DNS TXT et propose trois politiques principales :
- none : surveillance uniquement, aucune action n'est prise (idéal pour débuter et collecter des rapports)
- quarantine : les emails suspects sont placés en spam ou mis en quarantaine
- reject : les emails non conformes sont purement et simplement refusés (protection maximale)
Par exemple, un enregistrement DMARC en mode quarantine ressemble à ceci :
v=DMARC1; p=quarantine; rua=mailto:dmarc@votredomaine.com; pct=100 DMARC offre également un mécanisme de reporting : vous recevez des rapports réguliers indiquant qui envoie des emails en votre nom, ce qui vous permet d'identifier rapidement toute tentative d'usurpation.
Pourquoi ces trois protocoles impactent directement votre réputation email
Les grands fournisseurs de messagerie (Gmail, Outlook, Yahoo…) utilisent ces protocoles pour évaluer la légitimité des emails entrants. Un domaine mal configuré — ou pire, utilisé pour du spam — risque de voir ses emails légitimes massivement redirigés vers les spams, voire rejetés.
Depuis 2024, Google et Yahoo ont durci leurs exigences : tout expéditeur envoyant plus de 5 000 emails par jour doit obligatoirement avoir SPF, DKIM et DMARC configurés, sous peine de voir ses messages rejetés. Ces standards sont aujourd'hui devenus incontournables pour toute organisation qui envoie des emails à grande échelle.
Comment surveiller que vos enregistrements restent valides dans le temps ?
Configurer SPF, DKIM et DMARC une seule fois ne suffit pas. Ces enregistrements DNS peuvent être modifiés par erreur lors d'une migration d'hébergement, d'un changement de prestataire email ou d'une mise à jour technique. Une modification anodine peut silencieusement casser votre configuration et exposer votre domaine.
C'est pourquoi une surveillance continue de vos enregistrements DNS est essentielle. Domains Defender vous permet de monitorer en temps réel vos entrées SPF, DKIM et DMARC, et de recevoir une alerte immédiate dès qu'un changement est détecté — qu'il soit intentionnel ou malveillant.
En résumé : les trois piliers d'une messagerie sécurisée
- SPF définit quels serveurs peuvent envoyer en votre nom
- DKIM garantit l'authenticité et l'intégrité du contenu des emails
- DMARC orchestre les deux et vous donne de la visibilité sur l'utilisation de votre domaine
Ces trois protocoles forment un bouclier complémentaire. Ensemble, ils protègent à la fois votre marque, vos destinataires et votre délivrabilité email. Ne pas les configurer aujourd'hui, c'est laisser une porte ouverte aux attaquants — et risquer que vos vrais emails n'arrivent jamais à destination.
Domains Defender surveille vos DNS 24h/24 et vous alerte en temps réel dès qu'un de vos enregistrements SPF, DKIM ou DMARC change. Parce que la sécurité de votre messagerie ne devrait jamais reposer sur la chance.