SPF, DKIM, DMARC : protéger vos emails simplement

Pourquoi vos emails ont besoin de protection

Vous avez probablement déjà reçu un email bizarre de votre banque vous demandant de « confirmer vos identifiants », ou un message d'un collègue qui ne l'a jamais envoyé. C'est ce qu'on appelle l'usurpation d'email (ou email spoofing) : quelqu'un envoie un message en se faisant passer pour quelqu'un d'autre.

Le problème, c'est que le système d'email a été inventé dans les années 1970, à une époque où tout le monde sur Internet se faisait confiance. Par défaut, n'importe qui peut envoyer un email en prétendant être n'importe qui. C'est comme si on pouvait envoyer une lettre postale avec l'adresse de retour de son choix — personne ne vérifie.

C'est là qu'interviennent trois protections complémentaires : SPF, DKIM et DMARC. Ensemble, elles permettent de vérifier que l'email que vous recevez vient vraiment de la personne qu'il prétend être.

SPF : la liste des facteurs autorisés

SPF signifie Sender Policy Framework. Son principe est très simple.

Concrètement, SPF est un enregistrement texte que vous ajoutez dans la configuration DNS de votre nom de domaine. Cet enregistrement dit : « Voici les serveurs qui ont le droit d'envoyer des emails au nom de mon domaine ».

Exemple d'enregistrement SPF :

v=spf1 include:mail.ovh.net include:spf.protection.outlook.com -all

Ce qui se lit simplement :

• v=spf1 — « c'est un enregistrement SPF »
• include:mail.ovh.net — « les serveurs OVH sont autorisés »
• include:spf.protection.outlook.com — « les serveurs Microsoft aussi »
• -all — « tous les autres, c'est non »

Ce que SPF protège

• Empêche un pirate d'envoyer un email depuis son propre serveur en se faisant passer pour contact@votre-entreprise.fr
• Réduit considérablement le spam envoyé « au nom de » votre domaine
• Améliore la réputation de votre domaine auprès des fournisseurs email (Gmail, Outlook, etc.)

Les limites de SPF

SPF vérifie uniquement le serveur d'envoi, pas le contenu du message. Si un serveur autorisé est compromis, SPF ne détectera rien. De plus, SPF ne résiste pas au transfert d'email : quand quelqu'un fait suivre votre message, le serveur de transfert n'est pas sur votre liste, et le message peut être rejeté.

C'est pour ça que SPF seul ne suffit pas. Il faut le compléter par DKIM.

DKIM : la signature sur l'enveloppe

DKIM signifie DomainKeys Identified Mail. Il ajoute une signature numérique à chaque email envoyé.

Quand votre serveur email envoie un message, il ajoute automatiquement une signature cachée dans l'en-tête de l'email (invisible pour le destinataire). Cette signature est créée avec une clé privée que seul votre serveur possède.

Le serveur du destinataire peut ensuite vérifier cette signature en consultant votre DNS, où se trouve la clé publique correspondante. Si la signature correspond, c'est que :

1. L'email a bien été envoyé par un serveur possédant votre clé privée
2. Le contenu n'a pas été modifié entre l'envoi et la réception

Ce que DKIM protège

• Intégrité du message : garantit que personne n'a modifié l'email en cours de route (pas d'ajout de lien malveillant, pas de modification du contenu)
• Authenticité de l'expéditeur : confirme que le domaine a bien envoyé ce message
• Résistance au transfert : contrairement à SPF, la signature DKIM reste valide même quand l'email est transféré

Les limites de DKIM

DKIM vérifie l'authenticité, mais ne dit pas quoi faire si la vérification échoue. Un email sans signature DKIM valide sera-t-il rejeté, mis en spam, ou accepté quand même ? DKIM ne le précise pas. C'est le rôle de DMARC.

DMARC : le chef d'orchestre

DMARC signifie Domain-based Message Authentication, Reporting and Conformance. C'est la pièce qui relie tout ensemble.

DMARC est également un enregistrement DNS. Il définit trois choses essentielles :

1. La politique à appliquer

• p=none — « ne faites rien de spécial, mais envoyez-moi les rapports » (mode observation)
• p=quarantine — « mettez les emails suspects en spam »
• p=reject — « rejetez purement et simplement les emails qui échouent aux vérifications »

2. L'alignement des domaines

DMARC vérifie que le domaine visible par l'utilisateur (l'adresse « De : ») correspond au domaine vérifié par SPF ou DKIM. Sans ce contrôle, un pirate pourrait passer SPF avec son propre domaine tout en affichant le vôtre dans le champ « De : ».

3. Les rapports

DMARC vous envoie des rapports quotidiens (au format XML) indiquant combien d'emails ont été envoyés au nom de votre domaine, combien ont réussi les vérifications SPF/DKIM, et combien ont échoué. C'est un outil précieux pour détecter les tentatives d'usurpation.

Exemple d'enregistrement DMARC :

v=DMARC1; p=reject; rua=mailto:dmarc-reports@votre-entreprise.fr; pct=100

• v=DMARC1 — « c'est un enregistrement DMARC »
• p=reject — « rejetez les emails non conformes »
• rua=mailto:... — « envoyez les rapports à cette adresse »
• pct=100 — « appliquez la politique à 100% des emails »

Comment les trois fonctionnent ensemble

Quand quelqu'un reçoit un email prétendant venir de contact@votre-entreprise.fr, voici ce qui se passe en coulisses :

1. Vérification SPF : le serveur destinataire regarde si le serveur d'envoi est sur la liste autorisée dans votre DNS.
2. Vérification DKIM : le serveur destinataire vérifie la signature numérique de l'email avec votre clé publique DNS.
3. Vérification DMARC : le serveur destinataire vérifie que le domaine visible (« De : ») s'aligne avec SPF ou DKIM. Si l'une des deux vérifications passe ET que le domaine est aligné, l'email est accepté. Sinon, DMARC applique votre politique (rien, spam ou rejet).

SPF vérifie qui envoie. DKIM vérifie que le message est intact. DMARC décide quoi faire en cas de problème. Les trois ensemble forment un bouclier complet.

Récapitulatif

Protection	Rôle	Analogie
SPF	Liste les serveurs autorisés à envoyer des emails	La liste des facteurs autorisés
DKIM	Signe chaque email pour garantir son authenticité	Le sceau de cire sur l'enveloppe
DMARC	Définit la politique en cas d'échec + rapports	Le règlement officiel

Les bénéfices concrets pour votre entreprise

Protéger vos clients et partenaires

Sans ces protections, un pirate peut envoyer des emails de phishing à vos clients en utilisant votre nom de domaine. Vos clients reçoivent un email qui semble venir de vous, cliquent sur un lien frauduleux et se font voler leurs identifiants. Avec SPF + DKIM + DMARC, ces faux emails sont automatiquement rejetés avant même d'arriver dans la boîte de réception.

Améliorer la délivrabilité de vos emails

Gmail, Outlook et les autres fournisseurs font davantage confiance aux domaines correctement configurés. Vos emails légitimes ont moins de chances d'atterrir dans les spams. Depuis 2024, Google et Yahoo exigent même que les expéditeurs en masse aient SPF, DKIM et DMARC correctement configurés.

Protéger la réputation de votre domaine

Si des milliers de spams sont envoyés avec votre nom de domaine, celui-ci finit sur des listes noires. Résultat : même vos vrais emails sont bloqués. SPF, DKIM et DMARC empêchent cette usurpation et préservent votre réputation.

Avoir de la visibilité grâce aux rapports DMARC

Les rapports DMARC vous montrent qui envoie des emails au nom de votre domaine. Vous découvrirez peut-être des services légitimes que vous aviez oubliés (une newsletter, un CRM), mais aussi des tentatives d'usurpation que vous ignoriez.

Par où commencer ?

La mise en place se fait progressivement, en 4 étapes :

1. Commencez par SPF : identifiez tous les serveurs et services qui envoient des emails pour votre domaine (serveur mail, newsletter, CRM, etc.) et créez l'enregistrement SPF dans votre DNS.
2. Activez DKIM : générez une paire de clés (votre hébergeur ou fournisseur email le fait souvent automatiquement), publiez la clé publique dans votre DNS.
3. Déployez DMARC en mode observation : commencez avec p=none pour collecter les rapports sans bloquer d'emails. Analysez les rapports pendant 2 à 4 semaines pour vérifier que tous vos envois légitimes passent les contrôles.
4. Passez en mode protection : une fois sûr que tout fonctionne, passez à p=quarantine puis à p=reject pour bloquer les emails frauduleux.

Ne passez jamais directement à p=reject sans phase d'observation. Vous risqueriez de bloquer vos propres emails légitimes si un service d'envoi n'est pas correctement déclaré dans SPF ou DKIM.

Les erreurs fréquentes à éviter

• Oublier un service d'envoi dans SPF : votre newsletter passe par Mailchimp mais vous ne l'avez pas déclaré ? Ses emails seront rejetés en mode p=reject.
• Utiliser ~all au lieu de -all dans SPF : le tilde (~) signifie « soft fail » — l'email est marqué comme suspect mais pas rejeté. Préférez le tiret (-) pour un rejet strict.
• Ne pas lire les rapports DMARC : les rapports sont en XML et difficiles à lire à l'œil nu. Utilisez un outil gratuit comme Postmark DMARC ou dmarcian pour les visualiser.
• Configurer SPF sans DKIM ni DMARC : chaque protection couvre un angle différent. SPF seul est facilement contournable. Les trois ensemble forment une défense solide.

Vérifier votre configuration actuelle

Vous voulez savoir si votre domaine est déjà protégé ? Plusieurs outils gratuits vous permettent de le vérifier en quelques secondes :

• MXToolbox — vérifie SPF, DKIM et DMARC
• Mail-tester.com — envoyez un email test et obtenez une note sur 10
• DMARC Inspector — analyse détaillée de votre configuration DMARC

Si ces outils vous affichent des erreurs ou des configurations manquantes, il est temps d'agir. Chaque jour sans protection est un jour où quelqu'un peut usurper votre identité par email.