Blog Spaceship

Que sont SPF, DKIM et DMARC ?

En matière d’e-mail, la confiance est essentielle. Mais avant même que votre message n’atteigne la boîte de réception de quelqu’un, il doit passer quelques vérifications de sécurité silencieuses. SPF, DKIM et DMARC déterminent si vos e-mails paraissent légitimes ou finissent dans les spams.

Comprendre comment ces enregistrements fonctionnent, et comment les configurer correctement, peut protéger votre domaine et garantir que vos messages arrivent toujours là où ils sont censés arriver.

Que sont SPF, DKIM et DMARC dans les e-mails ?

Entre le moment où vous cliquez sur envoyer et celui où votre e-mail arrive, une chaîne discrète de vérifications commence. Chacune pose la même question : cela vient-il vraiment de vous ?

SPF, DKIM et DMARC forment une boucle de rétroaction entre l’expéditeur et le destinataire, vérifiant votre identité soit avant que votre message ne quitte votre domaine, soit lorsqu’il arrive, soit les deux. Ensemble, ce sont eux qui se dressent entre votre message et le dossier spam.

SPF, DKIM et DMARC expliqués en bref :

  • SPF – vérifie si le serveur qui envoie votre message figure sur la liste approuvée de votre domaine. Si c’est le cas, l’e-mail passe. Sinon, il est signalé. Considérez cela comme la liste des invités de votre domaine.

  • DKIM – ajoute un sceau numérique à votre message avant qu’il ne quitte votre boîte de réception. Une fois arrivé de l’autre côté, le serveur de réception ouvre le sceau pour s’assurer que rien n’a été modifié pendant le transit.

  • DMARC – décide de ce qui se passe si l’une de ces vérifications échoue. Il indique au serveur de réception quoi faire : remettre le message, l’envoyer dans les spams ou le bloquer complètement.

Ces trois éléments fonctionnent ensemble : l’un vérifie l’expéditeur, l’un protège le message et l’un applique les règles.

Pourquoi SPF, DKIM et DMARC sont-ils importants pour la sécurité des e-mails ?

SPF, DKIM et DMARC protègent contre deux des plus grandes menaces qui pèsent aujourd’hui sur les e-mails : le spam et l’usurpation d’identité. Les attaquants envoient souvent des messages en prétendant être quelqu’un d’autre. Imaginez recevoir un e-mail de Support@yourbank.com vous demandant de confirmer les détails de votre compte. Ces trois vérifications s’assurent que votre « banque » est bien votre banque :

Lors d’une attaque de phishing, les pirates utilisent de faux e-mails pour inciter les gens à partager des mots de passe, des numéros de carte bancaire ou à cliquer sur des liens malveillants. Sans ces protections, votre domaine pourrait être usurpé, et les clients pourraient recevoir des messages convaincants qui semblent provenir de vous. Avec SPF, DKIM et DMARC en place, ces faux messages sont généralement arrêtés avant même d’atteindre une boîte de réception.

  • SPF vérifierait si l’e-mail a été envoyé depuis un serveur approuvé.

  • DKIM s’assurerait que l’e-mail n’a pas été altéré pendant le transit.

  • Si l’une de ces vérifications échouait, alors DMARC ferait en sorte que l’e-mail soit rejeté avant d’atteindre votre boîte de réception

De même, lors d’une attaque de phishing, les pirates envoient de faux e-mails pour inciter les gens à divulguer des mots de passe ou à cliquer sur des liens dangereux. Si le domaine de votre entreprise n’est pas protégé, ils pourraient se faire passer pour un employé et envoyer des e-mails à vos clients pour leur demander leurs informations. Si SPF, DKIM et DMARC sont en place, la plupart de ces faux messages n’atteindraient jamais la boîte de réception des clients, car les serveurs de réception peuvent voir qu’ils ne viennent pas réellement de vous.

Pourquoi ils comptent aussi pour la délivrabilité (et pas seulement pour la sécurité)

Si vous envoyez des newsletters, des factures ou des campagnes marketing, votre objectif n’est probablement pas seulement d’envoyer, mais d’être vu. Mais comme le spam mondial a fortement augmenté, de grands fournisseurs comme Gmail et Yahoo ont introduit de nouvelles règles pour garder les boîtes de réception propres.

Depuis 2024, ces fournisseurs exigent que les expéditeurs authentifient leurs domaines avec SPF, DKIM et DMARC. Sans eux, vos e-mails pourraient être rejetés avant même de quitter votre boîte de réception. Réussir ces vérifications de manière constante améliore votre réputation d’expéditeur et empêche vos e-mails de finir dans les spams. Plus votre réputation est bonne, plus votre livraison est rapide, moins il y a de signalements comme spam et plus votre crédibilité est forte. Construire cette réputation sur un nouveau domaine d’envoi — ou la rétablir sur un domaine endommagé — est précisément ce pour quoi des plateformes d’échauffement dédiées comme Warmy sont conçues : augmenter progressivement le volume sortant par paliers quotidiens contrôlés et générer des signaux d’engagement positifs auprès des principaux fournisseurs de boîtes mail afin que les e-mails authentifiés par SPF, DKIM et DMARC arrivent systématiquement dans la boîte de réception principale plutôt que dans les onglets promotions ou spam.

SPF vs DKIM vs DMARC — Quelle est la différence ?

Chaque fois que vous montez dans un avion, vous passez par un processus presque identique à la façon dont SPF, DKIM et DMARC fonctionnent. Cela peut sembler étrange, mais ces trois termes ne sont pas vraiment faciles à retenir, et il est utile d’avoir une manière plus simple de s’en souvenir. En plus, sans que ces trois éléments soient configurés, votre courrier risque de finir exactement comme vous lorsque vous manquez votre enregistrement pour un vol. Laissé dehors dans le froid.

SPF – Le premier point de contrôle de sécurité de votre e-mail

Quand vous arrivez au comptoir, prêt à embarquer, l’agent vérifie votre billet par rapport à la liste du vol. Si votre nom y figure, vous êtes autorisé à voler. Sinon, pas de carte d’embarquement, pas de vol.

SPF fonctionne de la même manière. Chaque domaine, comme example.com, conserve une « liste de passagers », c’est-à-dire un enregistrement des serveurs de messagerie autorisés à envoyer des e-mails en son nom. Lorsque vous envoyez un e-mail, le serveur de réception vérifie si votre serveur d’envoi figure sur cette liste. En configurant votre enregistrement SPF, vous ajoutez en quelque sorte votre nom au manifeste afin que vos messages puissent passer les contrôles de sécurité sans délai.

DKIM – La vérification d’identité de votre boîte de réception

Une fois votre billet validé, il est temps de prouver votre identité. La photo de votre passeport confirme que vous êtes bien vous, une signature physique difficile à falsifier. DKIM fait la même chose, mais pour les e-mails.

DomainKeys Identified Mail (DKIM) ajoute une signature numérique à chaque message sortant. Cette signature prouve que l’e-mail n’a pas été modifié ni altéré pendant le transit et empêche le suivi de votre e-mail. Lorsque vous cliquez sur envoyer, votre serveur signe l’e-mail avec une clé privée. Lorsqu’il arrive, le serveur de réception vérifie cette signature, confirmant que le message est authentique et intact.

DMARC – Ce qui se passe quand les choses tournent mal

Si vous arrivez à l’aéroport sans billet ni passeport, la compagnie aérienne a une politique claire sur ce qui se passe ensuite. DMARC fonctionne de la même manière lorsque les vérifications SPF ou DKIM échouent.

DMARC indique au serveur de réception quoi faire avec l’e-mail si la vérification SPF ou DKIM échoue. Il peut :

  • Ne rien faire

  • Mettre le message en quarantaine (l’envoyer dans les spams)

  • Rejeter complètement le message

En tant qu’expéditeur, c’est vous qui décidez quelle règle s’applique. Vous la définissez dans votre DNS, en précisant ce qui se passe lorsque vos messages ne passent pas l’inspection.

Comment configurer SPF, DKIM et DMARC pour votre domaine

Pour configurer SPF, DKIM et DMARC, vous aurez besoin d’un accès à votre DNS. C’est là que pointent les serveurs de noms de votre domaine, donc chez votre registraire ou votre hébergeur DNS.

Comme nous l’avons mentionné plus haut, SPF fonctionne comme une liste de passagers qui indique aux serveurs de réception quels hôtes peuvent envoyer des e-mails pour votre domaine. Donc, pour configurer SPF, vous devez faire figurer votre e-mail sur cette liste de passagers. Pour cela, il y a quelques étapes.

1. Vérifiez si vous avez déjà SPF

Commencez par utiliser un outil gratuit de recherche DNS pour vérifier si votre domaine possède déjà un enregistrement SPF. Si l’outil, dans l’onglet TXT, affiche un enregistrement qui commence par v=spf1, cela signifie que SPF est déjà configuré pour votre domaine.

Si aucun enregistrement de ce type n’apparaît, vous devrez créer un nouvel enregistrement SPF à partir de zéro.

2. Ajouter un nouvel enregistrement SPF dans le DNS

Pour ajouter un nouvel enregistrement SPF, accédez aux paramètres DNS de l’hébergeur de votre domaine. Il peut s’agir de Spaceship, Google, Outlook, etc., selon votre fournisseur. Trouvez la liste des enregistrements existants et sélectionnez Ajouter un enregistrement, puis choisissez TXT dans le menu du type.

Ensuite, remplissez les champs comme indiqué ci-dessous pour créer votre entrée SPF.

Pour Spacemail, cela ressemblerait à ceci :Type: TXT Record | Host: @ | Value: v=spf1 include:spf.spacemail.com ~all | TTL: Automatic

Enregistrez et attendez quelques minutes pour la propagation.

3. Vérifier l’enregistrement

À ce stade, vous pouvez effectuer une nouvelle vérification avec votre outil de recherche DNS. S’il affiche votre valeur, tout est bon. Il est également important de se rappeler que l’enregistrement d’hôte peut prendre jusqu’à 24 heures pour se mettre à jour, alors ne paniquez pas s’il n’apparaît pas immédiatement.

Étape 2. Mettre à jour vos paramètres DKIM

DKIM ajoute une signature numérique à chaque e-mail envoyé par votre domaine, prouvant qu’il n’a pas été altéré.

1 : Générez votre enregistrement DKIM

Commencez dans les paramètres de votre fournisseur de messagerie.

  1. Accédez à la section consacrée à l’authentification de domaine ou à la sécurité des e-mails.

  2. Trouvez une option intitulée DKIM, DomainKeys ou quelque chose de similaire.

  3. Sélectionnez le bouton pour générer de nouvelles clés DKIM.

Votre fournisseur vous donnera deux informations essentielles :

  • Un sélecteur (par exemple, selector1._domainkey)

  • L’enregistrement DKIM lui-même — une longue chaîne de texte chiffré

C’est une bonne idée de copier les deux dans un endroit sûr, car vous en aurez besoin à l’étape suivante.

2 : Ajoutez l’enregistrement DKIM à votre DNS

Ensuite, connectez-vous à votre fournisseur DNS.

  1. Ouvrez vos enregistrements DNS et créez une nouvelle entrée.

  2. Choisissez CNAME si l’enregistrement est court, ou TXT s’il s’agit d’une clé plus longue.

  3. Dans le champ Host ou Name, saisissez le sélecteur DKIM (par exemple, selector1._domainkey).

  4. Dans le champ Value, collez l’enregistrement DKIM fourni par votre fournisseur de messagerie.

  5. Enregistrez vos modifications.

Attendez quelques minutes, car les modifications DNS peuvent prendre un certain temps à se mettre à jour.

Pour l’e-mail professionnel Spacemail, vous pouvez configurer un enregistrement DKIM avec ce guide.

Étape 3. Ajouter les paramètres DMARC

Une fois SPF et DKIM configurés, l’étape finale est DMARC. Il vous suffit d’ajouter un enregistrement TXT supplémentaire au DNS de votre domaine. Cet enregistrement indique aux serveurs de messagerie de réception quoi faire si un e-mail provenant de votre domaine échoue à l’authentification, et il vous donne de la visibilité sur les personnes qui envoient des e-mails en votre nom.

Un enregistrement DMARC comporte quelques éléments clés que vous devrez comprendre avant de l’ajouter :

  • v=DMARC1 – cela indique aux serveurs de messagerie que vous utilisez DMARC. Cela vient toujours en premier.

  • p= – Cela définit votre politique sur la manière de traiter les messages non authentifiés :

  • rua=mailto: – Cela indique aux serveurs de messagerie où envoyer vos rapports DMARC quotidiens. Vous pouvez utiliser une adresse comme security@yourdomain.com ou dmarc@yourdomain.com. Ces rapports montrent quelles adresses IP envoient au nom de votre domaine, ce qui vous aide à repérer tout élément inhabituel.

1 : Générez un enregistrement DMARC pour votre domaine

Ouvrez l’outil de génération d’enregistrement DMARC (n’hésitez pas à utiliser l’outil de génération DMARC de votre choix) et saisissez votre nom de domaine dans la barre de recherche. Une fois cela fait, cliquez sur le bouton Check DMARC Record. Personnalisez les paramètres DMARC selon vos besoins et obtenez l’enregistrement généré.

2 : Ajoutez votre enregistrement DMARC aux paramètres DNS

Accédez à votre fournisseur DNS. Créez un nouvel enregistrement en sélectionnant TXT comme type d’enregistrement d’hôte. DMARC utilise un format d’enregistrement TXT, tout comme SPF.

Utilisez host: _dmarcAdd value, celui que vous avez généré précédemment

Une fois que vous l’avez ajouté, enregistrez vos modifications et attendez quelques minutes pour sa propagation. Vous pouvez utiliser des outils comme MX Lookup Tool ou d’autres outils gratuits pour vérifier que votre enregistrement DMARC est correctement configuré.

Vous pouvez utiliser ce guide pour configurer un enregistrement DMARC pour votre domaine avec Spacemail.

Bien configurer votre messagerie

Si vos messages continuent d’atterrir dans les spams ou disparaissent en plein vol, cela peut être dû à une authentification manquante. SPF, DKIM et DMARC donnent à vos e-mails les identifiants dont ils ont besoin pour atteindre la boîte de réception en toute sécurité.

Quand on entend parler de SPF, DKIM et DMARC, cela peut sembler compliqué, mais le mieux, c’est qu’ils ne nécessitent ni outils coûteux ni configurations complexes, seulement quelques enregistrements DNS et un peu de patience. Ce sont parmi les protocoles d’e-mail les plus simples que vous puissiez ajouter à votre système de messagerie, et cela porte ses fruits chaque fois que votre message arrive exactement là où il le doit.

Questions fréquemment posées

SPF vérifie que votre e-mail est envoyé depuis un serveur approuvé. La sécurité des e-mails DKIM fonctionne en signant chaque message avec une clé numérique afin que le destinataire sache que le message n’a pas été altéré. DMARC les relie, en indiquant au serveur quoi faire si quelque chose semble anormal. Ensemble, ils permettent à vos e-mails de rester fiables, vérifiés et sécurisés.

Quand on compare DMARC à SPF et DKIM, ils fonctionnent mieux en équipe. L’authentification des e-mails SPF et DKIM effectue les vérifications, tandis que DMARC décide de ce qui se passe si ces vérifications échouent. Sans DMARC, vos e-mails peuvent encore passer, mais vous n’aurez aucun contrôle sur ce qui se passe lorsqu’ils échouent. Configurez les trois une seule fois, et vous couvrirez tous les aspects, à la fois pour la sécurité et la délivrabilité.

L’usurpation d’identité se produit lorsque quelqu’un envoie un e-mail en prétendant être vous. SPF vérifie d’où vient le message, DKIM confirme qu’il n’a pas été modifié, et DMARC bloque tout ce qui est suspect.

Sans DMARC, il n’existe pas de règle claire sur la manière dont les serveurs de messagerie traitent les messages suspects. Cela signifie que de faux e-mails pourraient passer, ou que les vrais pourraient être marqués comme spam. DMARC est l’élément qui applique les règles et, sans lui, votre domaine reste sans protection.

Pas vraiment, ils remplissent simplement des rôles différents. SPF vérifie qui envoie l’e-mail ; DKIM vérifie s’il a été modifié. Aucun ne fonctionne parfaitement seul, mais ensemble ils créent une solide première ligne de défense.


Articles suggérés

Partagez vos pensées

Plus de 10 caractères requis.
Votre identité pour l'affichage public.
Fournir votre adresse e-mail est facultatif. Elle ne sera pas partagée avec des tiers.

Aidez-nous à améliorer notre blog

Partagez vos pensées dans une enquête rapide de deux minutes.

Une adresse e-mail valide est requise