MilleMail
Guide Complet 2025

Configurer SPF, DKIM et DMARC : Le Guide Définitif

En 2024, Gmail et Yahoo ont rendu l'authentification email obligatoire. Sans SPF, DKIM et DMARC correctement configurés, vos emails risquent de finir en spam ou d'être rejetés. Ce guide vous accompagne pas-à-pas dans la configuration complète, avec des instructions spécifiques pour chaque fournisseur.

Temps de lecture : 15 min • Temps de configuration : 30-60 min • Mis à jour : Décembre 2025

Sommaire

Le triangle de l'authentification email

SPF, DKIM et DMARC forment un système complémentaire. Chaque protocole a un rôle spécifique, et c'est leur combinaison qui assure une protection complète et une délivrabilité optimale.

🛡️

SPF

Qui peut envoyer ?
Vérifie que le serveur expéditeur est autorisé à envoyer pour votre domaine.

🔐

DKIM

Le message est-il intact ?
Signature cryptographique garantissant que le contenu n'a pas été modifié.

📋

DMARC

Que faire en cas d'échec ?
Politique qui indique aux serveurs comment traiter les emails non authentifiés.

Pourquoi les trois sont nécessaires

  • SPF seul : Peut être contourné car il ne vérifie pas le domaine visible dans le "From:"
  • DKIM seul : Ne dit pas aux serveurs quoi faire si la signature échoue
  • DMARC : Lie SPF et DKIM au domaine visible et définit la politique de traitement

Résultat : Sans les trois, vous n'êtes pas conforme aux exigences Gmail/Yahoo 2024 et votre délivrabilité est compromise.

1Configurer SPF (Sender Policy Framework)

SPF est le premier protocole à configurer. Il indique quels serveurs sont autorisés à envoyer des emails pour votre domaine. C'est un enregistrement TXT dans votre zone DNS.

Comprendre la syntaxe SPF

v=spf1 [mécanismes] [qualificateur]all
MécanismeDescriptionExemple
include:Inclut le SPF d'un autre domaineinclude:_spf.google.com
ip4:Autorise une adresse IPv4ip4:192.168.1.1
ip6:Autorise une adresse IPv6ip6:2001:db8::1
aAutorise l'IP du domainea
mxAutorise les serveurs MXmx

~all (Soft Fail) - Recommandé

Les emails non autorisés sont marqués suspects mais pas rejetés. Idéal pour la plupart des cas.

-all (Hard Fail)

Les emails non autorisés sont rejetés. Plus strict, à utiliser uniquement si vous êtes sûr de votre config.

Configurations SPF par fournisseur

Google Workspace

v=spf1 include:_spf.google.com ~all

Microsoft 365

v=spf1 include:spf.protection.outlook.com ~all

OVH

v=spf1 include:mx.ovh.com ~all

Zoho Mail

v=spf1 include:zoho.eu ~all

Plusieurs services combinés

v=spf1 include:_spf.google.com include:sendgrid.net include:mailchimp.com ~all

Ajoutez tous vos services email dans un seul enregistrement SPF.

Erreurs courantes SPF

  • Plusieurs enregistrements SPF : Un seul enregistrement autorisé par domaine
  • Plus de 10 lookups DNS : Chaque include compte. Utilisez le SPF flattening si nécessaire
  • Oublier un service : Si vous utilisez Mailchimp, Sendgrid, etc., ajoutez-les
  • Utiliser +all : Autorise tout le monde, rendant le SPF inutile

Pour un guide détaillé sur SPF, consultez notre Guide SPF complet.

2Configurer DKIM (DomainKeys Identified Mail)

DKIM ajoute une signature cryptographique à chaque email sortant. Le serveur destinataire vérifie cette signature en utilisant une clé publique publiée dans votre DNS. C'est la preuve que l'email vient bien de vous et n'a pas été modifié.

Comment fonctionne DKIM

  1. 1Votre fournisseur email génère une paire de clés (privée + publique)
  2. 2Vous publiez la clé publique dans votre DNS (enregistrement TXT)
  3. 3Chaque email sortant est signé avec la clé privée
  4. 4Le serveur destinataire vérifie la signature avec la clé publique

Configuration DKIM par fournisseur

Google Workspace

  1. 1. Admin Console → Apps → Google Workspace → Gmail → Authentifier les emails
  2. 2. Sélectionnez votre domaine et cliquez "Générer un nouvel enregistrement"
  3. 3. Choisissez une longueur de clé (2048 bits recommandé)
  4. 4. Copiez l'enregistrement TXT généré
Nom DNS à créer :
google._domainkey.votredomaine.fr

Microsoft 365

  1. 1. Microsoft 365 Defender → Stratégies → DKIM
  2. 2. Sélectionnez votre domaine
  3. 3. Créez les 2 enregistrements CNAME indiqués
  4. 4. Activez DKIM une fois les CNAME propagés
Enregistrements CNAME à créer :
selector1._domainkey → selector1-votredomaine-fr._domainkey.votretenant.onmicrosoft.com
selector2._domainkey → selector2-votredomaine-fr._domainkey.votretenant.onmicrosoft.com

OVH Mail

  1. 1. Espace client OVH → Emails → Votre domaine → DKIM
  2. 2. Cliquez "Activer DKIM"
  3. 3. OVH génère et configure automatiquement l'enregistrement
  4. 4. Attendez la propagation (jusqu'à 24h)
OVH gère automatiquement le DKIM pour ses services email.

Zoho Mail

  1. 1. Zoho Admin Console → Mail → Domains → Votre domaine
  2. 2. Cliquez sur "DKIM" dans le menu
  3. 3. Sélectionnez le sélecteur et la taille de clé (2048 recommandé)
  4. 4. Copiez l'enregistrement TXT à ajouter à votre DNS
Exemple de nom DNS :
zmail._domainkey.votredomaine.fr

Pour un guide détaillé sur DKIM, consultez notre Guide DKIM complet.

3Configurer DMARC (Domain-based Authentication)

DMARC est la dernière pièce du puzzle. Il indique aux serveurs de réception comment traiter les emails qui échouent aux vérifications SPF et DKIM, et vous envoie des rapports sur les tentatives d'usurpation.

Structure d'un enregistrement DMARC

Nom DNS : _dmarc.votredomaine.fr
v=DMARC1; p=quarantine; rua=mailto:dmarc@votredomaine.fr
TagDescriptionValeurs
v=Version (obligatoire)Toujours DMARC1
p=Politique (obligatoire)none, quarantine, reject
rua=Rapports agrégésmailto:adresse@domaine.fr
pct=Pourcentage soumis1-100 (défaut: 100)
sp=Politique sous-domainesnone, quarantine, reject

Les 3 politiques DMARC

p=none (Monitoring)

Phase 1

N'affecte pas la livraison. Collecte des rapports pour identifier les problèmes.

v=DMARC1; p=none; rua=mailto:dmarc@votredomaine.fr

p=quarantine (Quarantaine)

Phase 2

Les emails suspects sont placés en spam. Bonne étape intermédiaire.

v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@votredomaine.fr

p=reject (Rejet)

Phase 3

Les emails non authentifiés sont rejetés. Protection maximale.

v=DMARC1; p=reject; rua=mailto:dmarc@votredomaine.fr

Déploiement progressif recommandé

  1. 1
    Semaines 1-2 : Monitoring

    p=none - Analysez les rapports, identifiez les services légitimes qui échouent

  2. 2
    Semaines 3-4 : Quarantaine progressive

    p=quarantine; pct=25 puis 50%, puis 100%

  3. 3
    Après 1 mois : Rejet

    p=reject une fois confiant que tout est configuré

Pour un guide détaillé sur DMARC, consultez notre Guide DMARC complet.

4Tester votre configuration

Après avoir configuré vos enregistrements, il est crucial de vérifier qu'ils sont correctement publiés et qu'ils fonctionnent. Voici les méthodes pour tester.

1. Utilisez notre outil gratuit

Notre outil analyse instantanément votre configuration SPF, DKIM et DMARC et vous indique les problèmes à corriger.

Tester mon domaine

2. Test par email

Envoyez un email à cette adresse pour recevoir un rapport détaillé :

check-auth@verifier.port25.com

3. Vérifier dans Gmail

Envoyez un email vers Gmail, ouvrez-le, cliquez sur les 3 points → "Afficher l'original". Vous verrez les résultats SPF, DKIM et DMARC (PASS ou FAIL).

4. Commandes terminal

Vérifier SPF :

dig TXT votredomaine.fr | grep spf

Vérifier DKIM :

dig TXT google._domainkey.votredomaine.fr

Vérifier DMARC :

dig TXT _dmarc.votredomaine.fr

5Dépannage des erreurs courantes

"SPF PermError: Too many DNS lookups"

Vous avez dépassé la limite de 10 lookups DNS dans votre SPF.

Solution : Utilisez un service de SPF flattening qui convertit les includes en adresses IP directes, ou supprimez les services que vous n'utilisez plus.

"DKIM signature verification failed"

La clé publique DNS ne correspond pas à la signature de l'email.

Solution : Vérifiez que l'enregistrement TXT est exactement celui fourni par votre provider. Attention aux espaces en trop ou aux caractères manquants. Régénérez la clé si nécessaire.

"DMARC policy not enabled"

L'enregistrement DMARC n'est pas détecté.

Solution : Vérifiez que l'enregistrement est bien sur _dmarc.votredomaine.fr (avec le underscore). Attendez la propagation DNS (jusqu'à 24h).

"Multiple SPF records found"

Vous avez plusieurs enregistrements SPF pour le même domaine.

Solution : Fusionnez tous vos services dans UN SEUL enregistrement SPF. Supprimez les doublons dans votre zone DNS.

"Emails légitimes rejetés après p=reject"

Un service légitime (newsletter, CRM) n'est pas correctement authentifié.

Solution : Repassez temporairement à p=quarantine ou p=none. Analysez les rapports DMARC pour identifier le service. Ajoutez-le à votre SPF et/ou configurez DKIM.

Questions fréquentes

Pourquoi ai-je besoin de SPF, DKIM ET DMARC ?

Les trois protocoles forment un système complémentaire : SPF vérifie que le serveur est autorisé, DKIM garantit que le message n'a pas été modifié, et DMARC indique quoi faire en cas d'échec. Sans les trois, votre protection est incomplète et votre délivrabilité compromise.

Dans quel ordre configurer SPF, DKIM et DMARC ?

Configurez toujours dans cet ordre : 1) SPF d'abord (le plus simple), 2) DKIM ensuite (plus technique), 3) DMARC en dernier (car il nécessite que SPF et/ou DKIM soient en place). Commencez DMARC avec p=none pour monitorer avant d'activer le rejet.

Combien de temps pour la propagation DNS ?

La propagation DNS prend généralement entre 15 minutes et 24 heures, selon votre hébergeur et le TTL configuré. OVH et Google Cloud DNS propagent souvent en moins d'une heure. Cloudflare peut prendre seulement quelques minutes.

Puis-je avoir plusieurs enregistrements SPF ?

Non, vous ne devez avoir qu'UN SEUL enregistrement SPF par domaine. Si vous utilisez plusieurs services (Google + Mailchimp par exemple), combinez-les dans un seul enregistrement avec plusieurs 'include:'. Plusieurs enregistrements SPF causent des échecs de vérification.

Comment savoir si ma configuration fonctionne ?

Utilisez un outil de vérification comme Delivrabilite.fr pour tester vos enregistrements. Vous pouvez aussi envoyer un email à check-auth@verifier.port25.com qui vous retournera un rapport détaillé, ou vérifier les en-têtes des emails reçus dans Gmail.

Que faire si mes emails légitimes sont rejetés après DMARC ?

Repassez en p=none ou p=quarantine avec un pct= bas (10-25%). Analysez les rapports DMARC pour identifier quel service légitime échoue. Ajoutez ce service à votre SPF et/ou configurez DKIM pour lui. Puis remontez progressivement vers p=reject.

DKIM est-il obligatoire ou optionnel ?

Depuis février 2024, DKIM est obligatoire pour envoyer vers Gmail et Yahoo si vous envoyez plus de 5000 emails/jour. Même pour des volumes moindres, DKIM améliore significativement la délivrabilité et est fortement recommandé par tous les fournisseurs.

Quelle politique DMARC choisir pour commencer ?

Commencez toujours par p=none pendant 2-4 semaines pour collecter des rapports sans impact. Passez ensuite à p=quarantine (emails suspects en spam) pendant 2 semaines. Finissez par p=reject une fois que vous êtes sûr que tous vos services légitimes sont bien configurés.

Besoin d'une infrastructure complète ?

MilleMail construit votre infrastructure cold email clé en main :

  • • Agents d'acquisition IA qui scrapent vos leads qualifiés 24/7
  • • Infrastructure Microsoft 365 dédiée (domaines, IP, inboxes)
  • • Warmup réel avec vrais emails, pas de bots
  • • Séquences hyper-personnalisées automatisées

1,000 emails/jour. 100% propriétaire. Zéro technique.

Appel Découverte — 15 min
Guide SPF détaillé →Guide DKIM détaillé →Guide DMARC détaillé →Tous les guides →