SPF, DKIM, DMARC : ce qu'ils sont et pourquoi ils sont importants
par
Dernière mise à jour : 9 Temps de lecture : 9 min
Points clés à retenir
- SPF, DKIM et DMARC ont des objectifs différents, mais vous avez besoin des trois pour protéger pleinement votre domaine contre l'usurpation d'identité et le phishing.
- SPF les serveurs d'envoi, DKIM signe les messages de manière cryptographique et DMARC applique les politiques et fournit des rapports.
- DMARC est le seul protocole qui indique aux boîtes de réception comment traiter les messages ayant échoué et qui vous offre une visibilité grâce à des rapports.
- Google, Yahoo, Microsoft et Apple exigent tous SPF, DKIM et DMARC pour les expéditeurs en masse ; toute non-conformité entraîne le rejet ou le classement en spam.
- Ces trois éléments sont publiés sous forme d'enregistrements DNS TXT dans les paramètres de votre domaine.
- Sans authentification des e-mails, votre domaine est exposé à l'usurpation d'identité, à une baisse de la délivrabilité et à des problèmes de conformité.
SPF, DKIM et DMARC sont trois protocoles d'authentification des e-mails qui fonctionnent ensemble pour vérifier la légitimité de vos e-mails, protéger votre marque contre l'usurpation d'identité et contrôler ce qui se passe lorsqu'un message échoue à la vérification.
Cela est plus important que jamais aujourd'hui. Google, Yahoo, Apple et désormais Microsoft exigent tous SPF, DKIM et DMARC pour les expéditeurs à fort volume. Depuis le 5 mai 2025, Microsoft rejeté les e-mails non conformes provenant de domaines envoyant plus de 5 000 messages par jour à Outlook. L'authentification des e-mails n'est plus facultative.
Ce guide explique comment fonctionnent SPF, DKIM et DMARC, pourquoi vous avez besoin des trois et comment les mettre en œuvre correctement.
Que sont SPF, DKIM et DMARC ?
SPF (Sender Policy Framework)
SPF Sender Policy Framework) est un protocole de validation des e-mails qui permet aux propriétaires de domaines de définir une liste de serveurs de messagerie autorisés à envoyer des e-mails au nom de leur domaine.
Considérez cela comme une liste d'invités pour votre domaine. Si un serveur ne figure pas sur la liste, le serveur de messagerie destinataire sait que quelque chose ne va pas. Cela permet de limiter l' l'usurpation d'adresse e-mail et garantit que seuls les serveurs autorisés peuvent envoyer des e-mails en utilisant un domaine spécifique.
Cependant, SPF présente SPF limites. Il ne vérifie pas le contenu de l'e-mail et n'indique pas au serveur destinataire quoi faire en cas d'échec de la vérification.
C'est là que DKIM et DMARC entrent en jeu.
Lecture recommandée : DMARC ou DKIM ? Quelle est la meilleure solution pour vous et pourquoi ?
DKIM
DKIM (DomainKeys Identified Mail) est une méthode d'authentification des e-mails qui ajoute une signature numérique aux e-mails sortants afin de garantir l'authenticité et l'intégrité du message.
Alors que SPF qui est autorisé à envoyer, le DKIM confirme que le message n'a pas été modifié après avoir quitté le serveur de l'expéditeur.
DKIM fournit une couche de confiance essentielle, empêchant l'usurpation d'adresse e-mail et garantissant l'intégrité des messages. Mais comme SPF, les enregistrements DKIM seuls ne indiquent pas au serveur destinataire quelle action entreprendre en cas d'échec de la vérification. Pour cela, vous avez besoin de DMARC.
Simplifiez l'authentification des courriels avec PowerDMARC !Contrairement à d'autres solutions, PowerDMARC offre :
Aucune carte de crédit requise. |
DMARC
DMARC (Domain-based Message Authentication, Reporting, and Conformance) permet aux propriétaires de domaines d'indiquer aux destinataires d'e-mails comment traiter les e-mails non authentifiés envoyés depuis leur domaine.
Il combine les capacités du SPF du DKIM et ajoute deux fonctionnalités essentielles qu'aucun des deux protocoles n'offre à lui seul : l'application des politiques et la création de rapports.
C'est le seul protocole qui indique aux boîtes de réception comment traiter les messages électroniques ayant échoué et qui vous offre une visibilité grâce à des rapports.
SPF DKIM et DMARC : principales différences
Ces trois protocoles jouent un rôle dans l' l'authentification des e-mails, mais chacun d'entre eux traite un élément différent du puzzle. Voici une comparaison côte à côte.
| Fonctionnalité | SPF | DKIM | DMARC |
|---|---|---|---|
| Objectif | Autorise les serveurs qui peuvent envoyer des e-mails pour votre domaine. | Vérifie l'intégrité des e-mails et l'authenticité de l'expéditeur à l'aide d'une signature numérique. | Applique les politiques d'authentification et fournit des rapports |
| Comment ça marche | Vérifie l'adresse IP d'envoi par rapport à une liste d'expéditeurs autorisés dans le DNS. | Utilise la cryptographie asymétrique pour signer les e-mails sortants avec une clé privée ; les destinataires vérifient à l'aide d'une clé publique dans le DNS. | Vérifie que SPF DKIM passe et correspond au domaine d'origine ; applique une politique aux e-mails non conformes. |
| Type d'enregistrement DNS | Enregistrement TXT | Enregistrement TXT (clé publique) | Enregistrement TXT |
| Ce qu'il vérifie | Domaine Return-Path et adresse IP du serveur d'envoi | En-tête DKIM-Signature | Alignement des adresses avec SPF DKIM |
| Application de la politique | Non | Non | Oui (aucun, quarantine, rejet) |
| Rapports | Non | Non | Oui (rapports agrégés et judiciaires) |
| Empêche-t-il seul l'usurpation d'identité ? | Partiellement | Partiellement | Oui, lorsqu'il est associé à SPF DKIM. |
Regardez cette vidéo pour en savoir plus :
Explication des protocoles SPF, DKIM et DMARC
Comment SPF, DKIM et DMARC fonctionnent ensemble
SPF, DKIM et DMARC ont chacun un objectif différent, et vous avez besoin des trois pour protéger pleinement votre domaine contre l'usurpation d'identité, le phishing et l'usurpation d'identité. Voici comment fonctionne le flux d'authentification lorsqu'un e-mail arrive dans la boîte de réception d'une personne :
- SPF : Le serveur destinataire examine l'adresse IP de l'expéditeur et la compare à la liste des expéditeurs autorisés figurant dans SPF du domaine. Si l'adresse IP figure dans la liste, SPF .
- Vérification DKIM : Le serveur destinataire vérifie l'en-tête DKIM-Signature de l'e-mail et récupère la clé publique à partir du DNS de l'expéditeur. Si la signature est valide et que le message n'a pas été modifié, le contrôle DKIM est réussi.
- Évaluation DMARC : DMARC vérifie ensuite si au moins l'un de ces protocoles (SPF DKIM) a été validé et si le domaine utilisé dans cette vérification correspond au domaine de l'adresse d'expédition. Si la correspondance est validée, l'e-mail est livré normalement. Si elle échoue, DMARC applique la politique définie par le propriétaire du domaine (aucune, quarantine ou rejet).
- Rapports : Quel que soit le résultat, DMARC renvoie des rapports au propriétaire du domaine avec des détails sur les résultats de l'authentification, les sources d'envoi et toute tentative d'usurpation.
Sans DMARC, un e-mail usurpé pourrait passer SPF si l'attaquant utilise un domaine Return-Path différent) ou contourner DKIM (si le message n'est pas signé). DMARC comble ces lacunes en exigeant l'alignement entre les résultats de l'authentification et l'adresse d'expéditeur visible.
Lecture recommandée : Pourquoi le DMARC échoue-t-il ? Causes courantes et solutions
Comment configurer SPF, DKIM et DMARC
La configuration des trois protocoles peut sembler technique, mais le processus est simple une fois que vous savez où intervenir. Pour mettre en œuvre SPF, DKIM et DMARC, vous devez avoir accès aux paramètres de votre fournisseur DNS de domaine.
Étape 1 : Configurer SPF
Un SPF est publié sous forme d'enregistrement TXT dans le DNS de votre domaine. Votre SPF indique aux serveurs destinataires quelles adresses IP et quels serveurs de messagerie sont autorisés à envoyer des e-mails au nom de votre domaine.
Pour créer votre SPF :
- Identifiez tous les serveurs et services qui envoient des e-mails pour votre domaine (votre serveur de messagerie, vos plateformes marketing, vos outils CRM, etc.).
- Créez un enregistrement TXT dans votre DNS avec les sources d'envoi autorisées.
- Publiez l'enregistrement et testez-le pour vérifier qu'il passe SPF .
Un SPF ressemble à ceci :
v=spf1 inclure :_spf.google.com inclure :sendgrid.net -all
Cet exemple autorise Google et SendGrid à envoyer des e-mails pour le domaine et demande aux destinataires de rejeter toutes les autres sources.
Étape 2 : Configurer DKIM
DKIM nécessite la publication d'une clé publique dans le DNS de l'expéditeur afin de vérifier la signature numérique des e-mails sortants.
Pour configurer DKIM:
- Générez une paire de clés DKIM (clé publique et clé privée) via votre fournisseur de services de messagerie électronique ou votre serveur de messagerie.
- Ajoutez la clé publique en tant qu'enregistrement TXT dans le DNS de votre domaine.
- Configurez votre serveur ou fournisseur de messagerie électronique pour signer les messages sortants avec la clé privée.
- Testez en envoyant un e-mail et en vérifiant les en-têtes pour confirmer que la signature DKIM est présente et valide.
Étape 3 : Configurer DMARC
Les enregistrements DMARC sont également stockés sous forme d'enregistrements TXT dans le DNS de votre domaine. Pour configurer DMARC, vous devez définir une politique qui indique aux serveurs destinataires comment traiter les e-mails qui échouent aux contrôles SPF DKIM.
Pour créer votre enregistrement DMARC:
- Commencez par une politique de p=none pour surveiller votre trafic de courrier électronique sans affecter la délivrabilité.
- Ajoutez une adresse de rapport afin de pouvoir recevoir des rapports agrégés sur les résultats d'authentification.
- Publiez l'enregistrement DMARC dans votre DNS.
- Vérifiez régulièrement vos rapports et, une fois que vous êtes certain que vos e-mails légitimes sont bien transmis, passez à quarantine et finalement p=reject.
Un enregistrement DMARC de base ressemble à ceci :
v=DMARC1 ; p=none ; rua=mailto:[email protected] ;
Étape 4 : Vérifiez votre configuration
Vous pouvez vérifier si un e-mail a passé les contrôles SPF, DKIM et DMARC en consultant les en-têtes de l'e-mail. Envoyez un e-mail test et inspectez l'en-tête Authentication-Results pour confirmer que les trois protocoles ont été validés.
Les outils gratuits de PowerDMARC facilitent encore davantage cette tâche. Vous pouvez utiliser le générateur DMARC, SPF et générateur DKIM pour créer vos enregistrements en un seul clic, et le tableau de bord de la plateforme vous offre une visibilité complète sur votre statut d'authentification.
Voici pourquoi plus de 10 000 clients font confiance à la plateforme PowerDMARC
- Réduction considérable des tentatives d'usurpation d'identité et des e-mails non autorisés grâce à des informations sur les menaces basées sur l'IA
- Une intégration plus rapide et une gestion automatisée de l'authentification qui permettent aux équipes informatiques de gagner un temps précieux
- Informations sur les menaces en temps réel et rapports chiffrés au format PGP pour tous les domaines
- Meilleurs taux de livraison des e-mails grâce à une stricte Application du DMARC avec les conseils d'experts
Les 15 premiers jours sont offerts
Commencer l'essai gratuitQue se passe-t-il si vous ne mettez pas en œuvre SPF, DKIM et DMARC ?
Ignorer l'authentification des e-mails peut sembler anodin jusqu'à ce que les conséquences commencent à s'accumuler. Voici ce qui est en jeu lorsque vous laissez votre domaine sans protection.
Réputation de l'expéditeur endommagée
Ne pas mettre en place l'authentification des e-mails peut nuire à la réputation de la marque en raison d'une vulnérabilité accrue aux attaques de phishing.
Si des pirates usurpent votre domaine et envoient des e-mails frauduleux à vos clients, partenaires ou employés, la confiance que vous avez établie avec votre public s'érode rapidement. Même si vous n'êtes pas responsable de l'attaque, les destinataires associent la tentative d'hameçonnage à votre marque.
Baisse de la délivrabilité des e-mails
Sans authentification des e-mails, les e-mails légitimes peuvent être marqués comme spam, ce qui entraîne une baisse des taux de délivrabilité des e-mails.
De nombreux fournisseurs de messagerie exigent désormais la mise en place des protocoles DKIM et DMARC pour garantir la bonne livraison des e-mails. Si vos e-mails atterrissent systématiquement dans les dossiers de spam, vos taux d'ouverture chutent, vos efforts marketing en pâtissent et les e-mails transactionnels importants risquent de ne jamais parvenir à leurs destinataires. Même lorsque ces trois protocoles sont correctement configurés, les fournisseurs de messagerie évaluent également l'historique d'engagement du domaine expéditeur auprès de destinataires réels. C'est pourquoi les équipes qui lancent un nouveau domaine ou qui réhabilitent un domaine dont la réputation est entachée associent généralement le travail d'authentification à un outil de « warm-up » des e-mails. Cet outil augmente progressivement le volume des e-mails sortants par paliers quotidiens contrôlés et construit l'historique d'engagement recherché par les fournisseurs de messagerie, en plus SPF, DKIM et DMARC.
Pertes financières et problèmes de confiance des clients
Si vous ne mettez pas en place l'authentification des e-mails, des pirates pourraient usurper l'identité de votre domaine, ce qui pourrait entraîner des pertes financières et nuire à la confiance de vos clients.
Les attaques par compromission des e-mails professionnels (BEC), dans lesquelles un pirate se fait passer pour un dirigeant ou un fournisseur, peuvent entraîner des virements bancaires frauduleux, le vol d'identifiants et des responsabilités juridiques.
Perte de visibilité
Le fait de ne pas utiliser l'authentification des e-mails peut entraîner une perte de visibilité sur les performances et la sécurité des e-mails, ce qui rend difficile l'identification des utilisations non autorisées de votre domaine.
Sans les rapports DMARC, vous n'avez aucun moyen de savoir qui envoie des e-mails en votre nom, si vos e-mails légitimes sont correctement authentifiés ou si des attaquants usurpent activement votre domaine.
Meilleures pratiques SPF, DKIM et DMARC
La publication de vos enregistrements n'est qu'un début. Pour tirer le meilleur parti des SPF, DKIM et DMARC, suivez ces bonnes pratiques afin de garantir la fiabilité de l'authentification de vos e-mails à long terme.
Commencez avec DMARC à p=none et progressez progressivement.
Lorsque vous implémentez DMARC pour la première fois, commencez par une politique de p=none afin de pouvoir surveiller votre trafic de courrier électronique et identifier toutes les sources d'envoi légitimes.
Une fois que vous êtes certain que tout est correctement authentifié, passez à quarantine puis p=reject pour une protection totale.
Tenez à jour votre SPF
Chaque fois que vous ajoutez ou supprimez un service de messagerie électronique (une nouvelle plateforme marketing, un CRM, un outil d'assistance, etc.), mettez à jour votre SPF afin de refléter ce changement.
SPF obsolète peut entraîner l'échec de l'authentification des e-mails légitimes.
Faites tourner vos clés DKIM régulièrement
La rotation régulière de vos clés DKIM réduit le risque de compromission des clés. La plupart des experts en sécurité recommandent de faire tourner les clés au moins une ou deux fois par an.
Utilisez une plateforme pour simplifier la gestion
La gestion SPF, DKIM et DMARC sur plusieurs domaines et sources d'envoi peut rapidement devenir complexe.
Une plateforme telle que PowerDMARC regroupe toutes ces informations dans un tableau de bord unique avec gestion des enregistrements hébergés, rapports lisibles par l'utilisateur et alertes en temps réel, afin que vous puissiez garder le contrôle de votre posture d'authentification sans avoir à modifier manuellement le DNS.
Sécurisez votre domaine en toute confiance avec PowerDMARC
En tant que partenaire de confiance pour la sécurité de vos e-mails, nous recommandons à toutes les organisations de mettre en œuvre SPF, DKIM et DMARC. Ces protocoles constituent la base de la protection moderne des e-mails. Ils vous aident à garder une longueur d'avance sur les cybermenaces et à maintenir la confiance dans chaque message que vous envoyez.
Fort de ses nombreuses années d'expérience dans l'aide aux organisations pour sécuriser leur infrastructure de messagerie électronique, notre équipe chez PowerDMARC recommande une approche progressive pour la mise en œuvre.
Commencez par surveiller, analysez les données, puis appliquez progressivement des politiques plus strictes à mesure que vous gagnez en confiance dans votre configuration.
Pour faciliter la surveillance, la création de rapports et l'optimisation continue, PowerDMARC regroupe la gestion SPF, DKIM et DMARC sur une seule plateforme. Grâce à une visibilité en temps réel, à l'application guidée des politiques et à des informations automatisées, il élimine une grande partie du travail manuel du processus, aidant ainsi les équipes à maintenir une configuration d'authentification des e-mails sécurisée et fiable.
Commencez un essai gratuit de 15 jours pour renforcer la protection de votre domaine.
Foire aux questions (FAQ)
1. Quelle est la différence entre SPF, DKIM et DMARC ?
SPF que les e-mails proviennent d'adresses IP autorisées, DKIM garantit que le contenu des e-mails n'a pas été altéré à l'aide de signatures numériques, et DMARC assure l'application des politiques et la création de rapports en s'appuyant à la fois sur SPF DKIM. Considérez SPF la vérification de l'adresse de l'expéditeur de l'e-mail, DKIM comme la vérification de l'intégrité du message et DMARC comme la politique de sécurité globale qui décide de la marche à suivre en cas d'échec des vérifications.
2. Ai-je besoin à la fois SPF du DKIM pour mon domaine ?
Bien que vous puissiez mettre en œuvre SPF DKIM individuellement, leur utilisation conjointe offre une protection nettement plus efficace. SPF échouer lorsque les e-mails sont transférés, et DKIM seul ne vérifie pas l'infrastructure d'envoi. Pour une sécurité maximale et une conformité DMARC, mettez en œuvre à la fois SPF DKIM, puis ajoutez DMARC pour l'application des politiques et la création de rapports.
3. Comment puis-je vérifier si mes enregistrements SPF, DKIM et DMARC fonctionnent correctement ?
Utilisez des outils de recherche DNS pour vérifier l'existence des enregistrements, envoyez des e-mails de test et vérifiez les en-têtes pour obtenir les résultats de l'authentification du domaine, analysez les rapports DMARC pour détecter les échecs et utilisez des validateurs en ligne tels que les outils gratuits de PowerDMARC. Une surveillance régulière à l'aide des rapports DMARC est le moyen le plus complet d'assurer une protection continue.
4. SPF, DKIM ou DMARC ont-ils une incidence sur l'apparence de mes e-mails pour les destinataires ?
Non. Ces protocoles fonctionnent en arrière-plan et ne modifient ni l'apparence, ni le contenu, ni la mise en page de vos e-mails. Les destinataires ne verront pas directement les résultats SPF, DKIM ou DMARC. Cependant, les e-mails correctement authentifiés sont moins susceptibles d'être marqués comme spam, ce qui améliore leur placement dans la boîte de réception et la confiance globale.
5. À quelle fréquence dois-je vérifier ou mettre à jour mes enregistrements SPF, DKIM et DMARC ?
Vous devez vérifier vos enregistrements chaque fois que vous ajoutez ou supprimez des services d'envoi d'e-mails, ainsi que dans le cadre de la maintenance régulière. SPF doivent souvent être mis à jour lorsque de nouveaux outils ou fournisseurs sont introduits. Les clés DKIM doivent être renouvelées périodiquement pour des raisons de sécurité. Les rapports DMARC doivent être vérifiés régulièrement afin de détecter les problèmes à un stade précoce et d'orienter l'application des politiques.
Expert en sécurité des domaines et des courriels chez PowerDMARC
Ahona est la responsable du marketing chez PowerDMARC, avec plus de 5 ans d'expérience dans l'écriture sur des sujets de cybersécurité, spécialisée dans la sécurité des domaines et des courriels. Ahona est titulaire d'un diplôme de troisième cycle en journalisme et communication, solidifiant sa carrière dans le secteur de la sécurité depuis 2019.
Derniers messages de Ahona Rudra (voir tous)
