Aller au contenu principal
Solutions12 min de lecture

SPF, DKIM et DMARC : le guide complet pour protéger les emails de votre PME en 2026

Vos emails arrivent en spam ? Votre domaine est usurpé par des attaquants ? Guide pas-à-pas pour configurer SPF, DKIM et DMARC sur votre domaine et protéger votre PME du phishing.

Configuration SPF DKIM DMARC pour sécuriser les emails d'une PME

Sommaire

Vos emails arrivent en spam ? Votre domaine est peut-être usurpé.

Depuis février 2024, Google et Microsoft rejettent les emails des domaines qui n'ont pas correctement configuré SPF, DKIM et DMARC. Si vos clients ne reçoivent plus vos emails, ou si vos messages atterrissent systématiquement en spam, il y a de fortes chances que votre configuration DNS soit en cause.

Pire : sans ces trois protocoles, un attaquant peut envoyer des emails au nom de votre domaine à vos clients, vos fournisseurs, votre banque. C'est la technique d'usurpation préférée des campagnes de phishing ciblant les PME.

Dans ce guide, nous allons expliquer concrètement ce que sont SPF, DKIM et DMARC, comment les configurer, et surtout les erreurs courantes qui peuvent ruiner votre délivrabilité.

Pour une protection anti-phishing complète au-delà du DNS, consultez notre page sur les solutions anti-spam et notre guide sur la protection contre le phishing.

SPF : la liste des serveurs autorisés à envoyer vos emails

Comment ça fonctionne

SPF (Sender Policy Framework) est un enregistrement DNS de type TXT qui dit : "voici les serveurs autorisés à envoyer des emails pour mon domaine". Quand un serveur reçoit un email de @votreentreprise.fr, il vérifie cet enregistrement pour savoir si le serveur expéditeur est légitime.

C'est comme si vous disiez : "Seuls La Poste et Chronopost ont le droit d'envoyer du courrier avec mon en-tête. Tout le reste est un faux."

Configuration concrète

Voici un exemple d'enregistrement SPF pour une PME utilisant Microsoft 365 et un outil de newsletter (Brevo) :

@ IN TXT "v=spf1 include:spf.protection.outlook.com include:sendinblue.com -all"

Décomposition :

  • v=spf1 : indique qu'il s'agit d'un enregistrement SPF
  • include:spf.protection.outlook.com : autorise les serveurs Microsoft 365
  • include:sendinblue.com : autorise les serveurs Brevo (ex-Sendinblue)
  • -all : rejette tout email provenant d'un serveur non listé

Les erreurs SPF courantes dans les PME

1. Trop de lookups DNS (limite de 10)

Chaque include: dans votre SPF génère un ou plusieurs lookups DNS. La norme RFC 7208 impose une limite de 10 lookups. Au-delà, votre SPF est invalide et vos emails sont rejetés.

Une PME typique peut vite atteindre cette limite : Microsoft 365 (1), Google Workspace (2), CRM (1), newsletter (1), ERP (1), signature email (1)... Si vous approchez de la limite, utilisez un service de "SPF flattening" pour réduire les lookups.

2. Utiliser ~all au lieu de -all

~all (soft fail) signifie "si le serveur n'est pas dans la liste, marque l'email mais ne le rejette pas". C'est un mode de test. En production, utilisez -all (hard fail) pour bloquer les expéditeurs non autorisés.

3. Oublier un expéditeur légitime

Avant de publier votre SPF, faites l'inventaire de tous les services qui envoient des emails pour votre domaine : CRM, outil de facturation, plateforme de support, scanner multifonctions, application métier... Un service oublié = des emails légitimes bloqués.

Vos emails sont-ils correctement authentifiés ?

Notre audit gratuit vérifie votre configuration SPF, DKIM et DMARC en 30 minutes et identifie les problèmes qui affectent votre délivrabilité.

Demander un audit email gratuit

DKIM : la signature cryptographique de vos emails

Comment ça fonctionne

DKIM (DomainKeys Identified Mail) ajoute une signature numérique à chaque email sortant. Cette signature est vérifiée par le serveur de réception grâce à une clé publique publiée dans votre DNS.

Concrètement :

  1. Votre serveur email signe chaque message avec une clé privée (stockée sur le serveur)
  2. Le serveur de réception récupère la clé publique dans votre DNS
  3. Il vérifie que la signature correspond et que le message n'a pas été modifié en transit

Si un attaquant intercepte et modifie votre email (par exemple en changeant un RIB dans une facture), la signature DKIM sera invalide et le serveur de réception sera alerté.

Configuration concrète

L'enregistrement DNS DKIM ressemble à ceci :

selector1._domainkey IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4..."

Sur Microsoft 365, la configuration se fait en deux étapes :

  1. Microsoft génère deux enregistrements CNAME (selector1._domainkey et selector2._domainkey)
  2. Vous les ajoutez dans votre DNS
  3. Vous activez la signature DKIM dans le Centre d'administration Exchange

Sur Google Workspace, Google fournit un enregistrement TXT avec votre clé publique que vous ajoutez dans votre DNS.

Pourquoi DKIM est devenu obligatoire

Depuis 2024, les principaux fournisseurs de messagerie (Gmail, Outlook, Yahoo) exigent DKIM pour tout expéditeur envoyant plus de 5 000 emails par jour. Mais même pour les PME qui envoient moins, DKIM améliore significativement le score de réputation de votre domaine et la délivrabilité de vos messages.

DMARC : le chef d'orchestre qui unit SPF et DKIM

Comment ça fonctionne

DMARC (Domain-based Message Authentication, Reporting and Conformance) est le protocole qui combine SPF et DKIM et indique aux serveurs de réception quoi faire quand un email échoue aux vérifications.

Sans DMARC, un serveur qui reçoit un email avec un SPF ou DKIM invalide ne sait pas quoi faire : le livrer quand même ? Le mettre en spam ? Le rejeter ? DMARC apporte la réponse.

Les trois niveaux de politique DMARC

PolitiqueComportementUsage recommandé
p=noneAucune action, mais des rapports sont envoyésPhase d'observation (semaines 1-4)
p=quarantineLes emails frauduleux vont en spamPhase de transition (semaines 4-8)
p=rejectLes emails frauduleux sont bloquésProduction (objectif final)

Configuration concrète

Voici un enregistrement DMARC de départ :

_dmarc IN TXT "v=DMARC1; p=none; rua=mailto:dmarc-reports@votredomaine.fr; ruf=mailto:dmarc-forensics@votredomaine.fr"

Décomposition :

  • p=none : mode observation (à passer progressivement en quarantine puis reject)
  • rua= : adresse qui reçoit les rapports agrégés quotidiens (volume d'emails, taux de conformité)
  • ruf= : adresse qui reçoit les rapports forensiques détaillés (chaque email en échec)

Le calendrier de déploiement recommandé

  1. Semaine 1 : publier DMARC en p=none et commencer à recevoir les rapports
  2. Semaines 2-4 : analyser les rapports, identifier les expéditeurs légitimes non conformes, corriger les SPF et DKIM manquants
  3. Semaine 5 : passer en p=quarantine (les emails frauduleux vont en spam)
  4. Semaine 8+ : passer en p=reject (les emails frauduleux sont bloqués)

Ce déploiement progressif est essentiel. Passer directement en p=reject sans phase d'observation risque de bloquer vos propres emails si un service légitime n'est pas correctement authentifié.

Les nouvelles exigences Google et Microsoft en 2024-2026

Ce qui a changé

Depuis février 2024, Google et Yahoo exigent de tout expéditeur :

  • Un enregistrement SPF ou DKIM valide (les deux sont recommandés)
  • Un enregistrement DMARC publié (même en p=none)
  • Un taux de plaintes spam inférieur à 0,3%

Microsoft a suivi avec des exigences similaires pour Outlook.com et Hotmail.

Pour les expéditeurs de masse (>5 000 emails/jour), les trois protocoles sont obligatoires. Mais même les PME qui envoient peu d'emails sont impactées : sans authentification correcte, vos emails commerciaux, devis et factures finissent en spam.

Le lien avec la sécurité Microsoft 365

Si votre PME utilise Microsoft 365, la sécurisation de votre environnement passe aussi par la configuration correcte de SPF, DKIM et DMARC. Ces protocoles protègent votre domaine contre l'usurpation, mais Microsoft 365 offre des couches de protection supplémentaires : anti-phishing avancé, Safe Links, Safe Attachments et filtrage anti-spam intelligent.

Comment vérifier votre configuration en 5 minutes

Outils gratuits de vérification

Vous pouvez vérifier l'état de votre configuration SPF, DKIM et DMARC avec ces outils :

  1. MXToolbox : vérification SPF, DKIM, DMARC et diagnostic complet du domaine
  2. DMARC Analyzer : outil de vérification et d'analyse des rapports DMARC
  3. Google Admin Toolbox : diagnostic complet de la messagerie pour les domaines Google Workspace

Test rapide en ligne de commande

Si vous êtes à l'aise avec le terminal, trois commandes suffisent :

# Vérifier SPF
dig TXT votredomaine.fr | grep spf

# Vérifier DKIM (remplacer selector1 par votre sélecteur)
dig TXT selector1._domainkey.votredomaine.fr

# Vérifier DMARC
dig TXT _dmarc.votredomaine.fr

Si l'une de ces commandes ne renvoie rien, le protocole correspondant n'est pas configuré.

Erreurs que nous corrigeons le plus souvent chez les PME

En accompagnant des dizaines de PME dans la configuration de leur messagerie, voici les problèmes que nous rencontrons le plus souvent :

ErreurConséquenceSolution
SPF absentEmails en spam, usurpation facilePublier un enregistrement SPF avec -all
SPF avec plus de 10 lookupsSPF invalide = emails rejetésUtiliser le SPF flattening
DKIM non activé sur Microsoft 365Délivrabilité dégradéeActiver la signature DKIM dans Exchange Admin
DMARC absentPas de visibilité sur l'usurpationPublier DMARC en p=none puis monter
DMARC en p=none depuis des moisProtection inactive malgré la configurationPasser en p=quarantine puis p=reject
Sous-domaines non protégésUsurpation via facturation.votredomaine.frAjouter sp=reject dans l'enregistrement DMARC

Conclusion : SPF + DKIM + DMARC = le minimum vital en 2026

La configuration de ces trois protocoles n'est plus optionnelle. C'est le minimum vital pour que vos emails arrivent à destination et que votre domaine ne soit pas usurpé par des attaquants.

Si vous n'êtes pas sûr de votre configuration, ou si vous avez besoin d'aide pour déployer DMARC progressivement, nous pouvons vous accompagner. Pour une sécurisation complète de votre environnement email, contactez nos experts.

FAQ

Qu'est-ce que SPF et pourquoi est-il important pour les PME ?

SPF (Sender Policy Framework) est un enregistrement DNS qui liste les serveurs autorisés à envoyer des emails au nom de votre domaine. Sans SPF, n'importe qui peut envoyer un email en se faisant passer pour vous. C'est la première brique de la protection contre l'usurpation d'identité email.

Comment DKIM améliore-t-il la sécurité des emails ?

DKIM (DomainKeys Identified Mail) ajoute une signature cryptographique à chaque email sortant. Le serveur de réception vérifie cette signature pour s'assurer que le message n'a pas été modifié en transit. C'est l'équivalent numérique d'un sceau de cire sur une lettre.

Quelle est la différence entre p=none, p=quarantine et p=reject dans DMARC ?

p=none signifie que les emails frauduleux ne sont pas bloqués (mode observation). p=quarantine les envoie en spam. p=reject les bloque complètement. On commence toujours par p=none pour observer le trafic, puis on monte progressivement vers p=reject une fois que tous les expéditeurs légitimes sont correctement authentifiés.

Mes emails arrivent en spam alors que j'ai un SPF. Pourquoi ?

Un SPF seul ne suffit plus. Les serveurs de réception comme Gmail et Outlook exigent désormais SPF + DKIM + DMARC pour considérer un email comme fiable. Si l'un des trois manque, vos emails risquent d'atterrir en spam. Vérifiez aussi que votre enregistrement SPF n'excède pas 10 lookups DNS.

Combien de temps faut-il pour configurer SPF, DKIM et DMARC ?

La configuration technique prend entre 30 minutes et 2 heures pour un expert. Cependant, le déploiement complet de DMARC (de p=none à p=reject) prend généralement 4 à 8 semaines, le temps d'observer le trafic email et d'identifier tous les expéditeurs légitimes (CRM, outil de newsletter, etc.).
Faites vérifier votre configuration email gratuitement
Valentin Bourgeois, fondateur Dhala Cyberdéfense

Valentin Bourgeois

Fondateur — Dhala Cyberdéfense · Meilleur Espoir MSP 2025 (BeMSP)

Expert en cybersécurité et infogérance pour PME. J'accompagne les dirigeants dans la protection de leur système d'information — de l'audit initial au SOC 24/7.

Demander un audit Sans engagement — résultats sous 48h
5.0 — 40 avis
+50 PME protégées
SOC 24/7
3 mois sans engagement

Articles similaires

Schéma d'architecture zero-knowledge d'un coffre-fort de mots de passe d'entreprise
Solutions14 mars 2026

Architecture Zero-Knowledge : comment fonctionne un gestionnaire de mots de passe d'entreprise en 2026

Décryptage technique de l'architecture zero-knowledge des gestionnaires de mots de passe professionnels : chiffrement AES-256, dérivation PBKDF2, provisionnement SCIM, SSO SAML 2.0 et intégration Microsoft 365.

Schéma d'architecture d'accès conditionnel Entra ID avec évaluation des signaux Zero Trust pour PME
Solutions10 mars 2026

Accès conditionnel Entra ID : implémenter le Zero Trust dans votre PME en 2026

Guide technique complet sur l'accès conditionnel Microsoft Entra ID pour PME : Zero Trust, MFA FIDO2, Identity Protection, PIM, Continuous Access Evaluation et conformité DORA/NIS2.

Schema d'architecture Microsoft Intune pour la gestion de flotte mobile et le deploiement zero-touch en PME
Solutions7 mars 2026

Microsoft Intune : architecture technique de la gestion de flotte pour PME en 2026

Plongee technique dans l'architecture Microsoft Intune pour PME : MDM vs MAM, Windows Autopilot, Apple Business Manager, Conditional Access, compliance policies et conformite DORA/NIS2.

Audit de sécurité

Testez votre posture cyber en 2 min. Sans engagement.

Lancer l'audit

Votre IT mérite mieux

Découvrez notre approche en 6 couches, nos offres transparentes et notre portail de transparence.
Tester ma sécurité
Photo Valentin
ParisLyonBordeauxNancyCannesAngletMegèveReimsRouenMadridMilanMunichLondresBruxellesMontréalNew YorkSan FranciscoLas VegasDenverBrasovParisLyonBordeauxNancyCannesAngletMegèveReimsRouenMadridMilanMunichLondresBruxellesMontréalNew YorkSan FranciscoLas VegasDenverBrasovParisLyonBordeauxNancyCannesAngletMegèveReimsRouenMadridMilanMunichLondresBruxellesMontréalNew YorkSan FranciscoLas VegasDenverBrasov