SPF, DKIM, DMARC : Comprendre les 3 Protocoles d'Authentification Email
SPF, DKIM et DMARC sont les trois piliers de l'authentification email moderne. Ensemble, ils protègent votre domaine contre l'usurpation d'identité et garantissent que vos emails arrivent en boîte de réception. Ce guide vous explique simplement comment ces protocoles fonctionnent et pourquoi ils sont indispensables.
Temps de lecture : 10 min • Mis à jour : Décembre 2025
Sommaire
Pourquoi authentifier ses emails ?
Le protocole email (SMTP) a été conçu dans les années 1980, à une époque où Internet était un réseau de confiance. Résultat : il est techniquement très facile d'envoyer un email en se faisant passer pour quelqu'un d'autre. C'est ce qu'exploitent les spammeurs et les fraudeurs pour le phishing.
SPF, DKIM et DMARC ont été créés pour résoudre ce problème. Ce sont des enregistrements DNS que vous publiez pour votre domaine, et qui permettent aux serveurs de réception de vérifier que vos emails sont légitimes.
Sans authentification email :
- ✗N'importe qui peut envoyer des emails en utilisant votre domaine
- ✗Vos emails légitimes risquent d'être marqués comme spam
- ✗Votre réputation de domaine peut être détruite par des fraudeurs
- ✗Gmail et Yahoo peuvent rejeter vos emails depuis février 2024
Avec SPF, DKIM et DMARC :
- ✓Seuls vos serveurs autorisés peuvent envoyer pour votre domaine
- ✓Vos emails sont identifiés comme authentiques par les fournisseurs
- ✓Vous êtes alerté des tentatives d'usurpation de votre domaine
- ✓Votre délivrabilité est optimisée vers tous les fournisseurs
SPF : Qui peut envoyer pour mon domaine ?
SPF (Sender Policy Framework) est un enregistrement DNS qui liste tous les serveurs autorisés à envoyer des emails pour votre domaine.
Analogie : C'est comme une liste blanche de facteurs autorisés à livrer du courrier en votre nom.
Comment fonctionne SPF
- 1Vous publiez un enregistrement TXT dans votre DNS avec la liste des serveurs autorisés
- 2Quand un email est envoyé depuis votre domaine, le serveur de réception consulte votre SPF
- 3Il vérifie si l'IP du serveur expéditeur est dans la liste autorisée
- 4Si oui : SPF PASS. Si non : SPF FAIL ou SOFTFAIL selon votre configuration
Exemple d'enregistrement SPF :
Cet enregistrement autorise Google Workspace et SendGrid à envoyer pour ce domaine. Le ~all indique que les autres serveurs devraient être traités comme suspects (softfail).
DKIM : Le message est-il authentique ?
DKIM (DomainKeys Identified Mail) ajoute une signature cryptographique à chaque email, prouvant qu'il n'a pas été modifié en transit.
Analogie : C'est comme un sceau de cire sur une lettre qui prouve qu'elle n'a pas été ouverte.
Comment fonctionne DKIM
- 1Votre fournisseur email génère une paire de clés cryptographiques (publique + privée)
- 2Vous publiez la clé publique dans votre DNS
- 3Chaque email sortant est signé avec la clé privée (signature dans les en-têtes)
- 4Le serveur destinataire récupère votre clé publique et vérifie la signature
- 5Si la signature correspond : DKIM PASS. Sinon : DKIM FAIL
Exemple d'enregistrement DKIM :
DMARC : Que faire en cas d'échec ?
DMARC (Domain-based Message Authentication, Reporting and Conformance) est la politique qui dit aux serveurs quoi faire quand SPF ou DKIM échouent, et vous envoie des rapports.
Analogie : C'est le chef de la sécurité qui décide du sort des courriers suspects et fait des rapports.
Les 3 politiques DMARC
p=noneMonitoringN'affecte pas la livraison des emails. Collecte des rapports pour voir qui envoie avec votre domaine. Utilisez cette politique pour commencer.
p=quarantineQuarantaineLes emails qui échouent à l'authentification sont envoyés en spam. Bonne étape intermédiaire avant le rejet total.
p=rejectRejetLes emails non authentifiés sont complètement rejetés. Protection maximale contre l'usurpation. À activer une fois que tout est bien configuré.
Exemple d'enregistrement DMARC :
Comment les trois protocoles fonctionnent ensemble
SPF, DKIM et DMARC ne sont pas des protocoles indépendants : ils forment un système de défense en couches. Voici comment ils interagissent quand un email arrive chez un destinataire :
Parcours d'authentification d'un email
Email reçu
Le serveur de réception reçoit un email prétendant venir de votredomaine.fr
Vérification SPF
L'IP du serveur expéditeur est-elle autorisée ? → PASS ou FAIL
Vérification DKIM
La signature cryptographique est-elle valide ? → PASS ou FAIL
Vérification DMARC + Alignement
SPF ou DKIM sont-ils alignés avec le domaine "From:" ? Quelle politique appliquer ?
Décision finale
Boîte de réception, spam, ou rejet selon les résultats et la politique DMARC
L'alignement DMARC : le concept clé
DMARC vérifie que le domaine utilisé par SPF ou DKIM correspond au domaine visible dans le champ "From:" de l'email. C'est ce qu'on appelle l'alignement.
Un email peut passer SPF et DKIM mais échouer DMARC si les domaines ne sont pas alignés. C'est pourquoi DMARC est essentiel : il empêche les attaquants d'utiliser un domaine autorisé tout en affichant un autre domaine dans le "From:".
Ce que notre outil vérifie
Notre outil d'analyse gratuit effectue une vérification complète de votre configuration SPF, DKIM et DMARC en quelques secondes.
Vérifications SPF
- ✓Présence de l'enregistrement
- ✓Syntaxe correcte
- ✓Nombre de lookups DNS (<10)
- ✓Pas de doublons
Vérifications DKIM
- ✓Présence des sélecteurs courants
- ✓Validité de la clé publique
- ✓Longueur de clé suffisante
- ✓Format correct
Vérifications DMARC
- ✓Présence de l'enregistrement
- ✓Politique définie (p=)
- ✓Adresse de rapport (rua=)
- ✓Syntaxe valide
Vérifiez votre domaine maintenant
Analyse instantanée et gratuite de votre configuration SPF, DKIM et DMARC.
Analyser mon domaineConfigurations par fournisseur
Voici un récapitulatif rapide des configurations SPF pour les fournisseurs les plus courants. Pour DKIM, vous devez généralement générer la clé depuis l'interface admin de chaque fournisseur.
Google Workspace
include:_spf.google.comMicrosoft 365 / Office 365
include:spf.protection.outlook.comOVH
include:mx.ovh.comPlusieurs services
Si vous utilisez plusieurs services email (ex: Google + Mailchimp), combinez-les dans un seul SPF :
Pour des instructions détaillées pas-à-pas, consultez notre guide de configuration complet.
Ordre d'implémentation recommandé
L'ordre de configuration est important. DMARC dépend de SPF et DKIM, donc il doit être configuré en dernier. Voici la séquence recommandée :
SPF en premier
Le plus simple à configurer. Un seul enregistrement TXT à ajouter à la racine de votre domaine. Listez tous vos services email d'un coup.
Temps : 5-10 minutes + propagation DNS
DKIM ensuite
Nécessite de générer des clés depuis l'interface de chaque fournisseur email, puis d'ajouter les enregistrements DNS correspondants. Faites-le pour chaque service qui envoie des emails.
Temps : 15-30 minutes par service + propagation DNS
DMARC en dernier
Commencez avec p=none pour monitorer pendant 2-4 semaines. Analysez les rapports, puis passez progressivement à p=quarantine puis p=reject.
Temps : 5 minutes + 2-4 semaines de monitoring
Attention : ne sautez pas les étapes
Activer DMARC avec p=reject sans avoir correctement configuré SPF et DKIM peut bloquer vos propres emails légitimes. Suivez l'ordre et testez à chaque étape.
Questions fréquentes
Quelle est la différence entre SPF, DKIM et DMARC ?
SPF vérifie que le serveur expéditeur est autorisé à envoyer pour votre domaine. DKIM ajoute une signature cryptographique pour prouver que l'email n'a pas été modifié. DMARC définit la politique à appliquer quand SPF ou DKIM échouent et envoie des rapports.
Ai-je besoin des trois protocoles SPF, DKIM et DMARC ?
Oui, les trois sont nécessaires pour une protection complète. Depuis 2024, Gmail et Yahoo exigent les trois protocoles pour les expéditeurs envoyant plus de 5000 emails par jour. Même pour des volumes moindres, les trois améliorent significativement la délivrabilité.
Dans quel ordre configurer SPF, DKIM et DMARC ?
L'ordre recommandé est : 1) SPF en premier (le plus simple à configurer), 2) DKIM ensuite (nécessite une génération de clés), 3) DMARC en dernier car il s'appuie sur SPF et DKIM. Commencez DMARC avec p=none pour surveiller avant de passer à quarantine puis reject.
Comment vérifier si SPF, DKIM et DMARC sont bien configurés ?
Utilisez un outil de vérification comme Delivrabilite.fr qui analyse instantanément vos trois enregistrements DNS et détecte les erreurs. Vous pouvez aussi envoyer un email de test et examiner les en-têtes pour voir les résultats PASS ou FAIL.
SPF et DKIM suffisent-ils sans DMARC ?
Non, sans DMARC les serveurs de réception ne savent pas quoi faire quand SPF ou DKIM échouent. DMARC lie ces protocoles au domaine visible dans le 'From:' et définit une politique claire (none, quarantine, reject). C'est aussi le seul moyen de recevoir des rapports sur les tentatives d'usurpation.
Pourquoi mes emails arrivent-ils en spam malgré SPF et DKIM ?
Plusieurs raisons possibles : DMARC mal configuré ou absent, alignement incorrect entre les domaines SPF/DKIM et le domaine 'From:', réputation du domaine faible, contenu signalé comme spam, ou IP sur liste noire. Vérifiez chaque élément avec un outil de diagnostic.
Combien de temps faut-il pour configurer SPF, DKIM et DMARC ?
La configuration elle-même prend 30-60 minutes. Cependant, la propagation DNS peut prendre jusqu'à 24-48 heures. Pour DMARC, prévoyez 2-4 semaines en mode monitoring (p=none) avant de passer à une politique restrictive, le temps d'identifier tous vos services email légitimes.
Besoin d'une infrastructure complète ?
MilleMail construit votre infrastructure cold email clé en main :
- • Agents d'acquisition IA qui scrapent vos leads qualifiés 24/7
- • Infrastructure Microsoft 365 dédiée (domaines, IP, inboxes)
- • Warmup réel avec vrais emails, pas de bots
- • Séquences hyper-personnalisées automatisées
1,000 emails/jour. 100% propriétaire. Zéro technique.
Appel Découverte — 15 min