La sécurité des e-mails est devenue cruciale pour toute organisation qui communique en 2025. Sans authentification solide, vos messages risquent d’être marqués comme frauduleux ou bloqués.
Les protocoles SPF, DKIM et DMARC forment l’armature technique de cette protection. Pour l’essentiel, la suite présente les actions prioritaires à consulter dans A retenir :
A retenir :
- Authentification complète du domaine pour confiance des fournisseurs
- Réduction des risques de phishing et d’usurpation d’identité
- Amélioration mesurable des taux d’ouverture et de clics marketing
- Conformité exigée par Gmail, Yahoo et Microsoft pour gros volumes
Après ces enjeux, comprendre SPF, DKIM et DMARC pour sécuriser l’e-mail professionnel
Ces trois protocoles jouent des rôles complémentaires pour prouver l’authenticité des messages envoyés. La mise en œuvre correcte réduit les risques de phishing et améliore la délivrabilité.
Selon Gmail, SPF et DKIM sont devenus des exigences techniques depuis 2024. Selon Microsoft et Yahoo, DMARC complète ces contrôles par une politique de conformance.
Protocole
Rôle
Exigence fournisseur
Effet principal
SPF
Autorise serveurs d’envoi via DNS TXT
Obligatoire selon Gmail
Réduction de l’usurpation d’IP
DKIM
Signature cryptographique des messages
Obligatoire selon Gmail
Protection de l’intégrité du contenu
DMARC
Politique et rapports d’alignement
Recommandé par Gmail
Contrôle des actions en cas d’échec
ARC
Chaîne d’authentification pour transferts
Utilisé pour messages transférés
Préservation des validations après transfert
SPF : configuration et limites pour délivrabilité
En commençant par SPF, on liste les serveurs autorisés via un enregistrement TXT DNS. Selon les normes, il faut limiter les lookups à dix pour éviter les échecs techniques.
Serveurs autorisés DNS :
- LWS et hébergeurs mutualisés
- Google Workspace (include:_spf.google.com)
- Plateformes mails comme Mailjet ou MailIn
- Services marketing tels que Klaviyo et MailClub
DKIM : signature et rotation de clés
Ensuite DKIM apporte une signature cryptographique qui garantit l’intégrité du message. Selon la pratique recommandée, utilisez des clés d’au moins 2048 bits et une rotation régulière.
Bonnes pratiques DKIM :
- Clé 2048 bits minimum
- Rotation tous les 12 à 24 mois
- Vérifier DKIM=pass dans les en-têtes
- Configurer via cPanel, Brevo ou assistant fournisseur
Comprendre ces bases permet de passer ensuite à la phase de mise en œuvre pratique et de surveillance. Cette étape opérationnelle conditionne la surveillance continue.
« J’ai perdu des campagnes pendant des mois avant d’aligner SPF et DKIM, la délivrabilité a nettement progressé ensuite »
Alice B.
Après la théorie, appliquer SPF DKIM DMARC via DNS et outils hébergeur
La configuration se réalise dans la zone DNS du domaine, via LWS, cPanel ou d’autres panels. Selon l’outil, certains éléments s’automatisent mais la modification DNS demeure nécessaire.
Par exemple, Brevo gère SPF côté serveur tandis que Klaviyo demande des entrées DNS manuelles. Selon ThirtyFive, négliger ces étapes conduit souvent à des campagnes invisibles malgré un contenu pertinent.
Configurer SPF étape par étape
Sur le plan pratique, créez un enregistrement TXT v=spf1 et ajoutez les include nécessaires. N’oubliez pas la limite de dix lookups et testez avec MXToolbox ou Google Admin Toolbox.
Étapes SPF rapides :
- Créer TXT v=spf1 include:… -all
- Ajouter prestataires utilisés uniquement
- Vérifier lookups avec MXToolbox
- Attendre propagation DNS avant tests finaux
DMARC et surveillance des rapports
Enfin DMARC orchestre la réponse en cas d’échec SPF ou DKIM et envoie des rapports. Selon dmarcian, commencez par p=none pour collecter des rapports avant de durcir la politique.
Options DMARC essentielles :
Tag
Rôle
Recommandation
v
Version du protocole
v=DMARC1
p
Politique principale
Commencer par p=none puis quarantine
rua
Rapports agrégés
Indiquer mailbox pour rapports
aspf
Alignement SPF
Utiliser s pour alignement strict
« Après avoir activé DMARC en mode surveillance, j’ai identifié plusieurs sources externes non autorisées »
Marc L.
Suite à la mise en place, monitorer la délivrabilité et corriger les erreurs
La surveillance transforme la configuration en action continue pour préserver la réputation. Selon Google Postmaster Tools, suivre les taux de plaintes et les rebonds reste essentiel pour garder la confiance.
Mettez en place ARC pour les messages transférés et utilisez des outils d’analyse DMARC. Selon Orange Cyberdefense et Signal Spam, la combinaison technique et humaine réduit significativement les abus signalés.
Bonnes pratiques de surveillance
Pour surveiller efficacement, priorisez les rapports agrégés DMARC et les outils Postmaster. Inscrivez-vous à Google Postmaster Tools et à Microsoft SNDS pour obtenir des métriques exploitables.
Actions de surveillance :
- Analyser rapports DMARC régulièrement
- Vérifier DKIM=pass sur échantillons
- Surveiller plaintes via Postmaster
- Corriger IPs et listes de diffusion
Erreurs fréquentes et corrections opérationnelles
En cas d’erreurs, identifier la cause technique puis appliquer la correction DNS ou prestataire. Securitoo et Altospam peuvent aider à filtrer les abus tandis que Vade offre des outils de tri et apprentissage.
Corrections opérationnelles :
- Regénérer clés DKIM si fail
- Simplifier SPF et réduire includes
- Analyser rapports rua via dmarcian
- Monter p=quarantine avant p=reject
« En combinant outils techniques et suivi humain, notre taux d’ouverture a augmenté durablement »
Claire M.
« Avis professionnel : l’authentification n’est pas optionnelle pour envoi massif »
Paul N.
