Pourquoi configurer SPF, DKIM et DMARC ?
Ces trois mécanismes d'authentification e-mail sont devenus incontournables pour :
- Éviter les spams : vos e-mails ne finissent pas dans la boîte spam de vos destinataires
- Protéger votre réputation : empêcher des tiers d'envoyer des e-mails en se faisant passer pour vous
- Satisfaire aux exigences des grands fournisseurs : Google et Microsoft exigent ces configurations pour accepter les e-mails envoyés en masse
Prérequis
Ces configurations se font via des enregistrements DNS. Assurez-vous d'avoir accès à la gestion de la zone DNS de votre domaine (dans cPanel ou chez votre registrar).
SPF (Sender Policy Framework)
SPF est une liste des serveurs autorisés à envoyer des e-mails au nom de votre domaine. Un serveur de messagerie destinataire vérifie cette liste pour s'assurer que l'e-mail provient bien d'un serveur autorisé.
Vérifier si SPF est déjà configuré
cPanel configure généralement SPF automatiquement lors de la création d'un compte. Pour vérifier :
Dans cPanel → Zone Editor (Éditeur de zone), cherchez un enregistrement TXT ressemblant à :
v=spf1 +a +mx +ip4:xxx.xxx.xxx.xxx ~all
Créer ou modifier un enregistrement SPF
Accéder à l'éditeur de zone DNS
Dans cPanel, section Domaines, cliquez sur Zone Editor puis sur le bouton Gérer à côté de votre domaine.
Ajouter ou modifier l'enregistrement TXT
Si un enregistrement SPF existe déjà, modifiez-le. Sinon, ajoutez un nouvel enregistrement de type TXT pour votre domaine racine (
@).Valeur de l'enregistrement SPF pour les serveurs Gaprod :
v=spf1 +a +mx include:gaprod.fr ~allSi vous utilisez d'autres services d'envoi (Mailchimp, Brevo, etc.), ajoutez-les avec
include::v=spf1 +a +mx include:gaprod.fr include:sendgrid.net ~allSauvegarder
Cliquez sur Enregistrer ou Modifier l'enregistrement. La modification prend effet après la propagation DNS (quelques minutes à quelques heures).
Comprendre la syntaxe SPF
v=spf1: version SPF+a: autorise l'adresse IP de l'enregistrement A du domaine+mx: autorise les serveurs MX du domaineinclude:gaprod.fr: autorise les serveurs listés dans le SPF de gaprod.fr~all: refuse doucement les autres serveurs (softfail, recommandé)-all: refuse strictement les autres serveurs (hardfail, peut bloquer des e-mails légitimes)
DKIM (DomainKeys Identified Mail)
DKIM ajoute une signature cryptographique à chaque e-mail envoyé. Les serveurs destinataires vérifient cette signature pour s'assurer que l'e-mail n'a pas été modifié en transit.
Activer DKIM dans cPanel
Accéder à la configuration DKIM
Dans cPanel, cherchez E-mail Deliverability ou Authentication dans la barre de recherche. Cliquez sur l'option correspondante.
Vérifier le statut DKIM
La page affiche le statut de DKIM et SPF pour chaque domaine. Si DKIM n'est pas activé, un bouton Activer s'affiche.
Activer DKIM
Cliquez sur Activer (ou Enable) pour activer DKIM. cPanel génère automatiquement les clés cryptographiques et crée l'enregistrement DNS correspondant.
Vérifier l'enregistrement DKIM
Une fois activé, l'enregistrement DKIM ressemble à ceci dans votre zone DNS (enregistrement TXT) :
default._domainkey.votredomaine.fr TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3..."
La longue chaîne après p= est votre clé publique RSA.
DMARC (Domain-based Message Authentication, Reporting and Conformance)
DMARC utilise SPF et DKIM pour définir une politique claire sur la façon dont les serveurs destinataires doivent traiter les e-mails qui échouent aux vérifications d'authentification. Il permet également de recevoir des rapports sur les tentatives d'usurpation.
Créer un enregistrement DMARC
Accéder à l'éditeur de zone DNS
Dans cPanel → Zone Editor → Gérer à côté de votre domaine.
Ajouter l'enregistrement DMARC
Ajoutez un enregistrement TXT avec les paramètres suivants :
- Nom :
_dmarc.votredomaine.fr(ou_dmarcsi cPanel ajoute automatiquement le domaine) - Type :
TXT - Valeur :
v=DMARC1; p=none; rua=mailto:dmarc@votredomaine.fr; ruf=mailto:dmarc@votredomaine.fr; fo=1- Nom :
Comprendre les paramètres DMARC
| Paramètre | Description |
|---|---|
v=DMARC1 | Version DMARC |
p=none | Politique : aucune action (surveillez d'abord avant de bloquer) |
p=quarantine | Politique : les e-mails suspects vont en spam |
p=reject | Politique : les e-mails suspects sont rejetés |
rua=mailto: | Adresse pour recevoir les rapports agrégés |
ruf=mailto: | Adresse pour recevoir les rapports forensiques |
pct=100 | Pourcentage d'e-mails soumis à la politique (100% par défaut) |
Commencez avec p=none
Ne passez pas directement à p=reject. Commencez par p=none pour surveiller les rapports pendant 1 à 4 semaines. Une fois que vous avez vérifié que tous vos e-mails légitimes passent correctement, passez à p=quarantine, puis à p=reject.
Vérifier la configuration
Après avoir configuré SPF, DKIM et DMARC, vérifiez leur bon fonctionnement avec ces outils gratuits :
- MXToolbox : mxtoolbox.com/SuperTool — testez SPF, DKIM et DMARC séparément
- Mail-tester : mail-tester.com — envoyez un e-mail à l'adresse fournie et obtenez un score de délivrabilité
- Google Postmaster Tools : analysez la réputation de votre domaine chez Gmail
Tester avec un envoi réel
Envoyez un e-mail depuis votre adresse Gaprod vers une adresse Gmail. Ouvrez l'e-mail reçu et cliquez sur les trois points → Afficher l'original. Dans les en-têtes, cherchez :
Authentication-Results:
spf=pass
dkim=pass
dmarc=pass
Si les trois indiquent pass, votre configuration est correcte.
Étapes suivantes
- Analyser les rapports DMARC reçus après quelques semaines
- Passer progressivement de
p=noneàp=quarantinepuisp=reject - Consulter notre guide sur la création d'adresses e-mail pour créer un compte dédié aux rapports DMARC