Introduction
Vos emails se retrouvent en spam ? Des expéditeurs malveillants envoient des emails en usurpant votre domaine ? Ces problèmes ont une solution : SPF, DKIM et DMARC. Ces trois protocoles forment le socle de la sécurité email moderne et sont devenus indispensables depuis que Google et Yahoo ont rendu obligatoire leur configuration pour les expéditeurs en masse.
Ce guide complet vous explique ce que sont SPF, DKIM et DMARC, comment les configurer et comment vérifier qu'ils fonctionnent correctement.
Pourquoi SPF, DKIM et DMARC sont essentiels
Le problème : le protocole SMTP n'authentifie pas les expéditeurs
Le protocole SMTP (Simple Mail Transfer Protocol) utilisé pour envoyer des emails a été conçu dans les années 1980, sans mécanisme d'authentification. N'importe qui peut envoyer un email en prétendant être n'importe quelle adresse.
C'est pourquoi le phishing (hameçonnage) et l'usurpation d'identité par email sont si répandus. Un attaquant peut envoyer un email qui semble venir de contact@votreentreprise.fr, même sans avoir accès à votre domaine.
SPF, DKIM et DMARC ont été créés pour résoudre ce problème.
Les conséquences de l'absence de configuration
Sans SPF/DKIM/DMARC :
- Vos emails légitimes peuvent partir en spam chez vos destinataires
- Des attaquants peuvent usurper votre domaine pour des campagnes de phishing
- Votre réputation d'expéditeur se dégrade progressivement
- Depuis février 2024, Google et Yahoo exigent ces configurations pour les expéditeurs de plus de 5 000 emails/jour
SPF : Sender Policy Framework
Qu'est-ce que SPF ?
SPF est un protocole qui permet au propriétaire d'un domaine de déclarer quels serveurs sont autorisés à envoyer des emails en son nom. Cette déclaration se fait via un enregistrement TXT dans la zone DNS du domaine.
Quand un serveur de messagerie reçoit un email prétendant venir de votredomaine.fr, il consulte les DNS de votredomaine.fr pour vérifier si le serveur expéditeur est bien autorisé.
Comment fonctionne SPF
1. Email envoyé depuis serveur mail.gaprod.fr prétendant être @monentreprise.fr
2. Serveur destinataire consulte les DNS de monentreprise.fr
3. Trouve l'enregistrement SPF : "v=spf1 include:mail.gaprod.fr -all"
4. Vérifie si mail.gaprod.fr est dans la liste autorisée → OUI
5. Email accepté
Si le serveur expéditeur n'est pas dans la liste SPF, le message peut être refusé ou marqué comme suspect.
Structure d'un enregistrement SPF
TXT @ "v=spf1 [mécanismes] [modificateurs] [directive finale]"
Mécanismes courants :
| Mécanisme | Signification |
|---|---|
a | Autorise les serveurs dont l'adresse IP correspond à l'enregistrement A du domaine |
mx | Autorise les serveurs listés dans les enregistrements MX du domaine |
ip4:x.x.x.x | Autorise une IP spécifique |
ip4:x.x.x.x/24 | Autorise un réseau CIDR |
include:domaine.com | Inclut les règles SPF d'un autre domaine |
Directive finale (qualifier) :
| Directive | Signification |
|---|---|
-all | Refuser tous les autres expéditeurs (stricte, recommandée) |
~all | Marquer comme suspect mais accepter (souple, pour la transition) |
+all | Accepter tous les expéditeurs (déconseillé, annule l'intérêt de SPF) |
Exemples d'enregistrements SPF
Site hébergé chez Gaprod avec emails Gaprod :
TXT @ "v=spf1 include:spf.gaprod.fr ~all"
Emails via Microsoft 365 :
TXT @ "v=spf1 include:spf.protection.outlook.com ~all"
Emails via Google Workspace :
TXT @ "v=spf1 include:_spf.google.com ~all"
Emails via Gaprod + newsletter via Brevo :
TXT @ "v=spf1 include:spf.gaprod.fr include:sendinblue.com ~all"
Maximum 10 lookups DNS
Un enregistrement SPF ne peut pas effectuer plus de 10 "lookups" DNS (chaque include: compte comme un lookup). Au-delà, SPF retourne une erreur "PermError" et vos emails peuvent être rejetés. Si vous utilisez de nombreux services d'envoi, utilisez un service de mise à plat SPF comme dmarcly.com ou MxToolbox.
DKIM : DomainKeys Identified Mail
Qu'est-ce que DKIM ?
DKIM est un mécanisme de signature cryptographique des emails. Il permet de prouver que le contenu d'un email n'a pas été modifié en transit et qu'il provient bien d'un serveur autorisé par le domaine.
Contrairement à SPF qui vérifie uniquement l'adresse IP du serveur expéditeur, DKIM ajoute une signature cryptographique dans les en-têtes de l'email.
Comment fonctionne DKIM
1. Le serveur expéditeur génère une paire de clés (privée + publique)
2. La clé publique est publiée dans les DNS du domaine
3. À l'envoi, le serveur signe les en-têtes et le corps de l'email avec la clé privée
4. Le serveur destinataire récupère la clé publique dans les DNS
5. Il vérifie la signature → si valide, l'email n'a pas été altéré
Structure de l'enregistrement DKIM dans les DNS
L'enregistrement DKIM est un enregistrement TXT publié à une adresse spécifique :
[sélecteur]._domainkey.[votre-domaine] TXT "v=DKIM1; k=rsa; p=[clé publique encodée en base64]"
Exemple pour un sélecteur "mail" sur monentreprise.fr :
mail._domainkey.monentreprise.fr TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUA..."
Le "sélecteur" permet d'avoir plusieurs clés DKIM actives simultanément (utile lors d'une rotation de clés).
Configurer DKIM chez Gaprod
Dans cPanel (Gaprod) :
- Allez dans "Email" > "Authentification Email"
- Cliquez sur "Activer" pour DKIM
- cPanel génère automatiquement la paire de clés et publie l'enregistrement DNS
- Vérifiez l'activation avec un outil comme MXToolbox (mxtoolbox.com/dkim)
Pour Microsoft 365 :
- Centre d'administration Microsoft 365 > Exchange > Messagerie
- Stratégies DKIM > Activer pour votre domaine
- Microsoft fournit deux enregistrements CNAME à ajouter dans votre DNS
- Une fois ajoutés, activez DKIM depuis le Centre d'administration
DMARC : Domain-based Message Authentication, Reporting & Conformance
Qu'est-ce que DMARC ?
DMARC est le chef d'orchestre qui coordonne SPF et DKIM. Il permet au propriétaire d'un domaine de définir la politique à appliquer quand un email échoue aux vérifications SPF et/ou DKIM, et de recevoir des rapports sur les tentatives d'envoi depuis son domaine.
DMARC résout un problème clé : SPF vérifie l'IP de l'expéditeur, DKIM vérifie la signature — mais ni l'un ni l'autre ne vérifie que l'adresse "From" affichée à l'utilisateur correspond au domaine vérifié. DMARC impose que le domaine du "From" soit aligné avec SPF ou DKIM.
Les trois politiques DMARC
p=none → Surveiller sans action (mode rapport)
p=quarantine → Placer en spam les emails qui échouent
p=reject → Refuser les emails qui échouent
Structure d'un enregistrement DMARC
TXT _dmarc "v=DMARC1; p=[politique]; rua=mailto:[adresse rapport]; ruf=mailto:[adresse forensic]; pct=[pourcentage]; aspf=[strict/relaxed]; adkim=[strict/relaxed]"
Paramètres clés :
| Paramètre | Description | Exemple |
|---|---|---|
v | Version (toujours DMARC1) | v=DMARC1 |
p | Politique | p=quarantine |
rua | Adresse pour les rapports agrégés | rua=mailto:dmarc@votredomaine.fr |
ruf | Adresse pour les rapports forensiques | ruf=mailto:dmarc@votredomaine.fr |
pct | % d'emails soumis à la politique | pct=100 |
aspf | Alignement SPF (r=relaxed, s=strict) | aspf=r |
adkim | Alignement DKIM (r=relaxed, s=strict) | adkim=r |
La progression recommandée pour DMARC
Ne sautez pas directement à p=reject si vous n'avez pas analysé vos flux email !
Étape 1 : Mode monitoring (p=none)
TXT _dmarc "v=DMARC1; p=none; rua=mailto:dmarc@votredomaine.fr"
Durée : 2 à 4 semaines. Analysez les rapports pour identifier tous les expéditeurs légitimes.
Étape 2 : Politique souple (p=quarantine, pct=10)
TXT _dmarc "v=DMARC1; p=quarantine; pct=10; rua=mailto:dmarc@votredomaine.fr"
Durée : 1 à 2 semaines. 10% des emails qui échouent vont en spam, les 90% restants sont acceptés.
Étape 3 : Politique complète (p=quarantine, pct=100)
TXT _dmarc "v=DMARC1; p=quarantine; pct=100; rua=mailto:dmarc@votredomaine.fr"
Étape 4 : Politique stricte (p=reject)
TXT _dmarc "v=DMARC1; p=reject; rua=mailto:dmarc@votredomaine.fr"
C'est l'objectif final : tous les emails qui échouent SPF et DKIM sont rejetés.
Ne pas aller directement à p=reject
Si vous envoyez des newsletters via Mailchimp, des notifications via SendGrid, ou si votre ERP envoie des emails en votre nom, et que vous n'avez pas configuré SPF/DKIM pour ces services, passer à p=reject bloquera vos propres emails légitimes. Analysez toujours les rapports DMARC avant de durcir la politique.
Comprendre les rapports DMARC
Rapports agrégés (rua)
Les rapports agrégés (format XML) sont envoyés quotidiennement par les grandes messageries (Gmail, Outlook, Yahoo) à l'adresse rua configurée. Ils contiennent :
- Les IP qui ont envoyé des emails de votre domaine
- Le résultat des vérifications SPF et DKIM pour chaque IP
- Le nombre de messages par IP et par résultat
Ces rapports sont en XML et difficiles à lire manuellement. Des outils comme DMARC Analyzer, Dmarcly ou MXToolbox DMARC permettent de les visualiser facilement.
Identifier les expéditeurs légitimes non configurés
Les rapports DMARC révèlent souvent des expéditeurs légitimes oubliés lors de la configuration initiale :
- L'outil de newsletter (Mailchimp, Brevo, Sendinblue)
- Le CRM (HubSpot, Salesforce)
- La plateforme e-commerce (PrestaShop, WooCommerce avec SMTP)
- Le logiciel comptable (Sage, Cegid)
- L'ERP ou le logiciel de facturation
Chacun de ces outils doit être inclus dans votre SPF et idéalement signer les emails avec DKIM.
Déploiement pas à pas pour un site Gaprod
Étape 1 : Vérifier la configuration actuelle
Utilisez MXToolbox (mxtoolbox.com) pour vérifier votre configuration actuelle :
- Testez SPF : https://mxtoolbox.com/spf.aspx
- Testez DKIM : https://mxtoolbox.com/dkim.aspx
- Testez DMARC : https://mxtoolbox.com/dmarc.aspx
Étape 2 : Configurer SPF
Dans cPanel > "Zone DNS" ou chez votre registrar :
Ajoutez un enregistrement TXT sur le sous-domaine @ (racine du domaine) :
"v=spf1 include:spf.gaprod.fr ~all"
Si vous utilisez aussi d'autres services d'envoi, ajoutez-les :
"v=spf1 include:spf.gaprod.fr include:_spf.google.com ~all"
Il ne peut y avoir qu'un seul enregistrement SPF par domaine. Si vous en avez déjà un, modifiez-le plutôt que d'en ajouter un second.
Étape 3 : Activer DKIM
Dans cPanel > Email > Authentification Email : activez DKIM. cPanel génère automatiquement les clés et publie l'enregistrement DNS.
Étape 4 : Configurer DMARC (mode monitoring)
Ajoutez un enregistrement TXT sur _dmarc :
"v=DMARC1; p=none; rua=mailto:dmarc@votredomaine.fr"
Créez une boîte email dédiée pour recevoir les rapports (ex: dmarc@votredomaine.fr).
Étape 5 : Analyser et durcir
Après 2 à 4 semaines, analysez les rapports. Quand vous êtes sûr que tous vos expéditeurs légitimes passent SPF ou DKIM, passez à p=quarantine puis p=reject.
Outils de vérification et monitoring
| Outil | URL | Usage |
|---|---|---|
| MXToolbox | mxtoolbox.com | Vérification SPF/DKIM/DMARC |
| Mail-tester | mail-tester.com | Test complet d'un email envoyé |
| Google Admin Toolbox | toolbox.googleapps.com | Diagnostic Gmail |
| DMARC Analyzer | dmarcanalyzer.com | Analyse rapports DMARC |
| Dmarcly | dmarcly.com | Monitoring DMARC avancé |
| DMARC.org | dmarc.org | Générateur d'enregistrements |
Récapitulatif des enregistrements à configurer
Voici un récapitulatif pour un domaine hébergé chez Gaprod avec emails Gaprod :
# SPF — Autoriser les serveurs Gaprod à envoyer
@ TXT "v=spf1 include:spf.gaprod.fr ~all"
# DKIM — Activé via cPanel (enregistrement créé automatiquement)
mail._domainkey TXT "v=DKIM1; k=rsa; p=[clé publique auto]"
# DMARC — Mode monitoring, puis durcir progressivement
_dmarc TXT "v=DMARC1; p=none; rua=mailto:dmarc@votredomaine.fr"
Conclusion
SPF, DKIM et DMARC ne sont plus optionnels. Ils sont devenus indispensables pour :
- Garantir la délivrabilité de vos emails (ne plus finir en spam)
- Protéger votre domaine contre l'usurpation (phishing)
- Satisfaire aux exigences de Google et Yahoo pour les expéditeurs en masse
La configuration peut sembler technique, mais elle est accessible en suivant ce guide étape par étape. Commencez par SPF et DKIM (configurés automatiquement via cPanel chez Gaprod), puis ajoutez DMARC en mode monitoring avant de durcir progressivement la politique.
Chez Gaprod, notre équipe support peut vous accompagner dans la configuration de ces enregistrements pour votre domaine.
Héberger avec GaprodHébergement avec configuration SPF/DKIM automatique via cPanel