SPF, DKIM, DMARC : le guide complet pour protéger la messagerie de votre PME contre l'usurpation d'identité

SPF, DKIM, DMARC : le guide complet pour protéger la messagerie de votre PME contre l'usurpation d'identité

Votre entreprise envoie des dizaines, voire des centaines d'e-mails chaque jour. Devis, factures, communications internes, newsletters… La messagerie professionnelle est le système nerveux de votre activité. Mais saviez-vous qu'un cybercriminel peut envoyer un e-mail en se faisant passer pour vous, avec votre nom de domaine, sans que vous le sachiez ?

C'est précisément ce que permettent d'éviter trois technologies : SPF, DKIM et DMARC. Ces protocoles d'authentification de la messagerie sont devenus incontournables en 2026 — Google et Microsoft les exigent désormais pour les envois en masse. Pourtant, la majorité des PME françaises n'en ont pas encore déployé les trois.

Dans ce guide complet, nous allons vous expliquer ce que sont ces standards, comment ils fonctionnent ensemble, et comment les configurer correctement pour protéger votre réputation en ligne et la sécurité de vos clients.

Pourquoi votre nom de domaine peut être usurpé

Le protocole e-mail (SMTP) a été conçu dans les années 1970, à une époque où la cybersécurité n'était pas une préoccupation. Il ne prévoit aucune vérification d'identité native : n'importe qui peut envoyer un e-mail en prétendant être contact@votreentreprise.fr.

Cette faille est exploitée massivement dans les attaques de type :

• Phishing : faux e-mails imitant votre marque pour piéger vos clients
• BEC (Business Email Compromise) : usurpation de votre PDG pour demander un virement frauduleux
• Spam : utilisation de votre domaine pour envoyer des milliers de spams, ruinant votre réputation

Selon le rapport Verizon DBIR 2025, plus de 68 % des violations de données impliquent un e-mail frauduleux. Les PME sont des cibles privilégiées car elles sont souvent moins bien protégées que les grandes entreprises.

SPF : déclarer les serveurs autorisés à envoyer en votre nom

Qu'est-ce que le SPF ?

SPF (Sender Policy Framework) est un enregistrement DNS de type TXT qui liste les adresses IP et serveurs autorisés à envoyer des e-mails pour votre nom de domaine.

Quand un serveur de messagerie reçoit un e-mail prétendant venir de votreentreprise.fr, il consulte les DNS de ce domaine et vérifie si le serveur expéditeur figure dans la liste SPF. Si ce n'est pas le cas, l'e-mail peut être marqué comme spam ou rejeté.

À quoi ressemble un enregistrement SPF ?

Voici un exemple d'enregistrement SPF pour une entreprise utilisant Microsoft 365 :

v=spf1 include:spf.protection.outlook.com -all

Les éléments clés :

• v=spf1 : indique qu'il s'agit d'un enregistrement SPF version 1
• include: : inclut les serveurs d'un prestataire (Microsoft, Google, etc.)
• -all : tout serveur non listé est interdit (politique stricte)
• ~all : tout serveur non listé est suspect mais accepté (politique douce, à éviter)
• ?all : neutre, aucune action (inutile en production)

Comment configurer SPF ?

1. Identifiez tous vos services d'envoi d'e-mails (messagerie principale, outil de newsletter, CRM, plateforme de facturation…)
2. Notez les plages IP ou les noms de domaine SPF fournis par chaque prestataire
3. Créez un seul enregistrement TXT sur votre domaine : votreentreprise.fr IN TXT "v=spf1 ..."
4. Terminez par -all pour une politique stricte

Attention : SPF a une limite de 10 lookups DNS. Si vous avez trop de include:, vous dépasserez cette limite et votre SPF sera invalide. Dans ce cas, des outils comme SPF Flattening permettent de consolider les entrées.

Les limites du SPF

SPF vérifie uniquement l'adresse IP du serveur expéditeur, pas le contenu de l'e-mail ni l'en-tête From: visible par l'utilisateur. Un attaquant peut usurper l'en-tête visible tout en utilisant un domaine différent pour passer le SPF. C'est pourquoi SPF seul ne suffit pas.

DKIM : signer cryptographiquement vos e-mails

Qu'est-ce que DKIM ?

DKIM (DomainKeys Identified Mail) ajoute une signature cryptographique à chaque e-mail sortant. Le serveur destinataire peut vérifier cette signature grâce à une clé publique publiée dans vos DNS.

Concrètement, DKIM garantit deux choses :

1. L'e-mail provient bien d'un serveur autorisé par votre domaine
2. Le contenu n'a pas été modifié en transit (intégrité)

Comment fonctionne DKIM ?

• Votre serveur mail génère une paire de clés (privée + publique)
• La clé privée signe chaque e-mail sortant (ajout d'un en-tête DKIM-Signature:)
• La clé publique est publiée dans vos DNS sous la forme : selector._domainkey.votreentreprise.fr IN TXT "v=DKIM1; k=rsa; p=MIIB..."
• Le serveur destinataire récupère la clé publique et vérifie la signature

Comment configurer DKIM ?

La procédure varie selon votre plateforme :

• Microsoft 365 : dans le Centre d'administration Exchange, activez DKIM pour chaque domaine
• Google Workspace : dans la console Admin, allez dans Apps > Google Workspace > Gmail > Authentifier l'e-mail
• Serveur Postfix/Exim : installez OpenDKIM et configurez les clés

Une fois activé, votre prestataire vous fournit l'enregistrement DNS à créer. La clé doit être d'au moins 2048 bits pour être sécurisée (1024 bits est considéré obsolète).

Rotation des clés DKIM

Bonne pratique : renouvelez vos clés DKIM tous les 6 à 12 mois. Utilisez des sélecteurs différents (ex: 2025jan._domainkey, 2025jul._domainkey) pour effectuer la rotation sans interruption de service.

DMARC : coordonner SPF et DKIM, et recevoir des rapports

Qu'est-ce que DMARC ?

DMARC (Domain-based Message Authentication, Reporting and Conformance) est le chef d'orchestre. Il indique aux serveurs destinataires quoi faire quand un e-mail échoue aux vérifications SPF ou DKIM, et vous envoie des rapports sur les tentatives d'usurpation.

Sans DMARC, même si SPF ou DKIM échouent, le serveur destinataire ne sait pas quelle politique appliquer. DMARC comble ce vide.

La structure d'un enregistrement DMARC

_dmarc.votreentreprise.fr IN TXT \"v=DMARC1; p=reject; rua=mailto:dmarc@votreentreprise.fr; ruf=mailto:dmarc@votreentreprise.fr; fo=1; adkim=s; aspf=s\"

Décryptage des paramètres :

• v=DMARC1 : version du protocole
• p= : politique appliquée en cas d'échec
  • none : surveillance uniquement, aucun filtrage (phase de démarrage)
  • quarantine : les e-mails suspects vont dans le spam
  • reject : les e-mails suspects sont rejetés (niveau maximum)
• rua= : adresse pour recevoir les rapports agrégés quotidiens
• ruf= : adresse pour recevoir les rapports forensiques (e-mails individuels en échec)
• pct= : pourcentage d'e-mails soumis à la politique (utile pour le déploiement progressif)
• adkim= : alignement DKIM (r = relaxed, s = strict)
• aspf= : alignement SPF (r = relaxed, s = strict)

La stratégie de déploiement DMARC en 3 étapes

Ne passez jamais directement à p=reject sans phase de test. Vous risqueriez de bloquer des e-mails légitimes.

Étape 1 — Surveillance (p=none)

Commencez par p=none avec des adresses rua et ruf configurées. Analysez les rapports pendant 2 à 4 semaines pour identifier tous vos flux d'envoi légitimes.

Étape 2 — Quarantaine (p=quarantine)

Une fois que vous êtes certain que tous vos e-mails légitimes passent SPF et DKIM, passez à p=quarantine. Les e-mails non authentifiés iront dans les spams. Commencez avec pct=10 pour n'appliquer la politique qu'à 10 % des e-mails, puis augmentez progressivement.

Étape 3 — Rejet (p=reject)

C'est le niveau de protection optimal. Tout e-mail prétendant venir de votre domaine sans authentification valide sera rejeté.

Comment les trois protocoles fonctionnent ensemble

Voici le processus complet quand un serveur reçoit un e-mail de contact@votreentreprise.fr :

1. Vérification SPF : le serveur expéditeur est-il dans la liste autorisée ?
2. Vérification DKIM : la signature est-elle valide ? Le contenu a-t-il été altéré ?
3. Alignement DMARC : le domaine dans l'en-tête From: correspond-il aux domaines vérifiés par SPF/DKIM ?
4. Application de la politique : selon le résultat, l'e-mail est accepté, mis en quarantaine ou rejeté
5. Rapport DMARC : les résultats sont agrégés et envoyés à l'adresse rua configurée

La notion d'alignement est cruciale : DMARC exige que le domaine From: visible par l'utilisateur soit aligné avec le domaine authentifié. C'est ce qui empêche les attaques sophistiquées où l'attaquant passe SPF avec un autre domaine mais affiche votre adresse dans le From:.

Les outils pour analyser vos rapports DMARC

Les rapports DMARC bruts sont en XML, peu lisibles directement. Plusieurs outils vous permettent de les analyser facilement :

• Postmark DMARC (gratuit) : analyse et visualisation des rapports
• Dmarcian : solution complète avec alertes et assistance
• Valimail : solution entreprise avec configuration guidée
• MXToolbox : vérification et monitoring en ligne gratuit
• Google Postmaster Tools : indispensable si vous envoyez vers Gmail

Ces outils vous permettent de voir :

• Quels serveurs envoient des e-mails en votre nom
• Quel pourcentage passe SPF, DKIM et DMARC
• Les sources d'usurpation identifiées
• L'évolution de votre réputation d'expéditeur

Les exigences 2024-2026 de Google et Microsoft

Depuis février 2024, Google et Yahoo imposent des règles strictes pour les expéditeurs en masse (plus de 5 000 e-mails/jour) :

• SPF ou DKIM obligatoire
• DMARC obligatoire avec au moins p=none
• Taux de spam inférieur à 0,3 %
• Lien de désabonnement en un clic pour les newsletters

Microsoft 365 suit des exigences similaires et a annoncé des mesures de filtrage renforcées pour 2026. En pratique, même les PME qui n'envoient pas en masse ont intérêt à configurer ces protocoles pour maintenir leur délivrabilité.

Sans SPF/DKIM/DMARC, vos e-mails risquent désormais de finir systématiquement en spam, même chez vos clients habituels.

MTA-STS et BIMI : aller plus loin dans l'authentification

Une fois SPF, DKIM et DMARC correctement configurés, deux technologies complémentaires méritent votre attention :

MTA-STS (Mail Transfer Agent Strict Transport Security)

MTA-STS force le chiffrement TLS pour les e-mails entrants. Un fichier de politique est publié sur votre domaine (https://mta-sts.votreentreprise.fr/.well-known/mta-sts.txt) et un enregistrement DNS indique aux serveurs expéditeurs de ne jamais envoyer sans chiffrement.

BIMI (Brand Indicators for Message Identification)

BIMI permet d'afficher le logo de votre entreprise à côté de vos e-mails dans les clients mail compatibles (Gmail, Apple Mail, Yahoo Mail…). C'est à la fois un outil de branding et un signal de confiance pour vos destinataires.

Prérequis pour BIMI : avoir DMARC avec p=quarantine ou p=reject, et pour certaines implémentations, un certificat VMC (Verified Mark Certificate) qui authentifie votre logo.

Checklist de déploiement SPF/DKIM/DMARC pour votre PME

Voici les étapes concrètes pour sécuriser votre messagerie :

• Inventoriez tous vos services d'envoi d'e-mails (messagerie, CRM, ERP, newsletter, facturation…)
• Créez ou mettez à jour votre enregistrement SPF en incluant tous ces services
• Activez DKIM sur votre plateforme de messagerie principale
• Activez DKIM sur chaque service tiers qui envoie en votre nom
• Créez un enregistrement DMARC avec p=none et deux adresses de rapport
• Analysez les rapports pendant 2 à 4 semaines
• Identifiez et corrigez les sources d'envoi non authentifiées
• Passez à p=quarantine progressivement
• Finalisez avec p=reject pour une protection maximale
• Mettez en place un monitoring continu des rapports

Les erreurs fréquentes à éviter

Plusieurs enregistrements SPF : vous ne devez avoir qu'un seul enregistrement TXT SPF par domaine. Si vous en avez plusieurs, la vérification échoue.

Terminer par ~all au lieu de -all : la politique douce n'a aucune valeur protectrice réelle. Visez toujours -all.

Oublier les sous-domaines : si vous utilisez newsletter.votreentreprise.fr, configurez SPF, DKIM et DMARC séparément pour ce sous-domaine. Ajoutez sp=reject dans votre DMARC principal pour couvrir les sous-domaines non configurés.

Clé DKIM de 1024 bits : trop courte, considérée vulnérable. Passez à 2048 bits.

Ne jamais vérifier les rapports : sans analyse des rapports DMARC, vous êtes aveugle. Des tentatives d'usurpation peuvent avoir lieu sans que vous le sachiez.

Passer directement à p=reject sans phase de test : risque de bloquer des e-mails légitimes envoyés par des services tiers non encore configurés.

Pourquoi faire appel à un prestataire IT pour cette configuration ?

La configuration SPF/DKIM/DMARC peut sembler simple sur le papier, mais elle comporte plusieurs pièges :

• Les erreurs DNS peuvent être longues à propager (TTL) et difficiles à déboguer
• Chaque service tiers (Mailchimp, HubSpot, Salesforce, Sage, Cegid…) a ses propres instructions de configuration
• Une erreur de DMARC peut bloquer l'intégralité de vos e-mails sortants
• La surveillance continue des rapports nécessite des outils et de l'expertise

Un prestataire informatique spécialisé peut :

• Auditer votre configuration actuelle et identifier les vulnérabilités
• Configurer SPF, DKIM et DMARC correctement du premier coup
• Intégrer tous vos services d'envoi (y compris les applications métier)
• Mettre en place un monitoring automatique des rapports
• Vous accompagner dans la migration progressive vers p=reject

Cette prestation représente généralement quelques heures de travail, mais elle protège durablement votre réputation et celle de vos clients.

Conclusion : SPF, DKIM, DMARC ne sont plus optionnels

En 2026, ne pas avoir configuré SPF, DKIM et DMARC, c'est comme laisser la porte d'entrée de votre entreprise ouverte. Les cyberattaquants n'ont pas besoin de pirater vos serveurs pour utiliser votre nom : ils peuvent usurper votre identité par e-mail et nuire à vos clients, partenaires et à votre réputation.

La bonne nouvelle : cette protection est accessible à toutes les PME, même sans infrastructure complexe. Elle repose sur trois enregistrements DNS et quelques paramètres dans votre plateforme de messagerie.

Ne laissez pas votre domaine être utilisé contre vous. Auditez votre configuration dès aujourd'hui.

Vous souhaitez sécuriser la messagerie de votre entreprise ? L'équipe VaultAura vous accompagne dans l'audit et la configuration de votre authentification e-mail à Lyon et partout en France. Contactez-nous dès maintenant pour un diagnostic gratuit de votre messagerie professionnelle.