Guides · Courriel

SPF, DKIM et DMARC expliqués simplement

Trois sigles, trois enregistrements DNS, un seul objectif : prouver que vos courriels viennent bien de vous. Voici ce que fait chacun — sans jargon inutile.

Réponse rapide — SPF indique quels serveurs peuvent envoyer des courriels pour votre domaine, DKIM ajoute une signature cryptographique à chaque message, et DMARC indique quoi faire lorsqu'un courriel échoue SPF ou DKIM. Les trois se complètent et sont exigés par Gmail et Yahoo pour les expéditeurs de volume.

Pourquoi l'authentification courriel existe

Le protocole du courriel a été conçu dans les années 80, à une époque où on faisait confiance à tout le monde : techniquement, n'importe quel serveur peut envoyer un message en prétendant être vous@votre-domaine.ca. C'est la base du hameçonnage. SPF, DKIM et DMARC ont été ajoutés par-dessus pour permettre aux serveurs destinataires de vérifier trois choses : qui a le droit d'envoyer, si le message est authentique, et quoi faire quand la vérification échoue.

Une image simple : SPF est la liste d'invités, DKIM est le sceau sur l'enveloppe, DMARC est la consigne au portier.

SPF : qui a le droit d'envoyer?

SPF (Sender Policy Framework) est un enregistrement TXT qui liste les serveurs autorisés à envoyer du courriel pour votre domaine. Exemple typique :

v=spf1 include:spf.protection.outlook.com ~all

Le serveur destinataire vérifie si l'IP qui livre le message figure dans la liste. La fin de l'enregistrement (~all ou -all) dit quoi penser des serveurs absents de la liste. Faiblesse connue : SPF vérifie le serveur, pas le message — et il se brise quand un courriel est transféré. Testez votre SPF ici.

DKIM : le message est-il signé?

DKIM (DomainKeys Identified Mail) ajoute une signature cryptographique invisible à chaque message sortant. Votre serveur signe avec une clé privée; les destinataires vérifient avec la clé publique que vous publiez dans le DNS. Si le message a été modifié en route — ou s'il ne vient pas d'un serveur autorisé — la signature échoue.

La clé se trouve à <sélecteur>._domainkey.<domaine>. Le sélecteur dépend du fournisseur : selector1/selector2 chez Microsoft 365, google chez Google Workspace, default sur cPanel. Vérifiez votre clé DKIM ici.

DMARC : quoi faire si ça échoue?

DMARC (Domain-based Message Authentication, Reporting and Conformance) complète le duo : il indique aux destinataires quoi faire d'un message qui échoue SPF et DKIM — ne rien faire (p=none), le mettre en quarantaine (p=quarantine) ou le refuser (p=reject) — et vous envoie des rapports quotidiens listant qui envoie des courriels au nom de votre domaine.

C'est la pièce qui rend le tout contraignant : sans DMARC, un fraudeur qui échoue SPF et DKIM passe quand même souvent. Analysez votre politique DMARC ici.

L'ordre recommandé de configuration

  1. SPF d'abord : inventoriez tous vos services d'envoi (serveur courriel, site web, infolettre, CRM, facturation) et incluez-les dans un seul enregistrement.
  2. DKIM ensuite : activez la signature chez chaque fournisseur et publiez les clés.
  3. DMARC en observation : p=none avec une adresse rua, et laissez tourner quelques semaines.
  4. Corrigez ce que les rapports révèlent (services oubliés, alignement).
  5. Durcissez : quarantine, puis reject.

Les erreurs fréquentes

Comment tester votre domaine

Trois clics suffisent : SPF, DKIM (avec votre sélecteur), DMARC. Si un courriel se retrouve déjà en spam, suivez plutôt notre ordre de diagnostic complet.

Questions fréquentes

Dois-je configurer les trois, ou un seul suffit?

Visez les trois. SPF seul se brise lors des transferts; DKIM seul ne dit pas quoi faire en cas d'échec; DMARC ne fonctionne pas sans au moins un des deux autres. Le trio complet est devenu l'exigence de base de Gmail et Yahoo pour les expéditeurs de volume.

Est-ce que ça bloque le spam que JE reçois?

Indirectement seulement. Ces enregistrements protègent votre domaine contre l'usurpation (quelqu'un qui envoie « de votre part ») et améliorent la délivrabilité de vos propres envois. Ils aident les autres à filtrer les faux courriels prétendant venir de chez vous — et réciproquement.

J'utilise Microsoft 365 / Google Workspace — c'est déjà configuré, non?

Partiellement. Ces plateformes fournissent les valeurs, mais c'est vous qui devez les publier dans votre zone DNS : SPF avec leur include, DKIM en activant la signature dans le portail d'administration, et DMARC entièrement à votre charge. Beaucoup de domaines M365 n'ont jamais activé DKIM.

Surveiller automatiquement ce problème

L'authentification courriel se brise en silence : une migration DNS, un fournisseur changé, une clé expirée. Mon-IP Pro pourra surveiller SPF, DKIM et DMARC sur vos domaines et vous alerter au premier changement.

Me prévenir au lancement

Sans engagement. Votre courriel servira seulement à annoncer le lancement de Mon-IP Pro.