Comment configurer SPF, DKIM et DMARC sur DreamHost
Votre domaine est hébergé chez DreamHost, les e-mails sont bien envoyés, mais les réponses des clients atterrissent dans le dossier spam, les soumissions via le formulaire de contact WordPress disparaissent et les e-mails Google Workspace sont renvoyés avec des erreurs d'authentification.
La cause principale réside presque toujours dans l'authentification des e-mails, et plus précisément dans un SPF manquant, incomplet ou mal configuré après l'ajout d'un service de messagerie tiers.
DreamHost gère SPF que la plupart des hébergeurs. Il génère automatiquement un SPF valide pour chaque domaine
Cependant, dès que vous modifiez l'enregistrement pour ajouter Google Workspace, Mailchimp ou tout autre service d'envoi, DreamHost supprime automatiquement son enregistrement par défaut. Si vous n'intégrez pas les mécanismes propres à DreamHost dans la nouvelle configuration, vos e-mails hébergés par DreamHost cesseront soudainement de s'authentifier.
Ce guide explique comment DreamHost gère par défaut SPF, DKIM et DMARC, comment configurer chacun d'entre eux pour des configurations à expéditeur unique ou à expéditeurs multiples, les comportements propres à DreamHost susceptibles de perturber l'envoi d'e-mails sans que l'on s'en aperçoive, ainsi que la manière de tout vérifier et de tout surveiller en continu.
SPF Sender Policy Framework) est un enregistrement TXT DNS qui précise quels serveurs de messagerie sont autorisés à envoyer des e-mails depuis votre domaine. Les serveurs destinataires vérifient cet enregistrement pour déterminer si les e-mails entrants sont légitimes ou s'ils sont potentiellement falsifiés.
DreamHost ajoute automatiquement SPF suivant à chaque domaine utilisant la messagerie DreamHost :
v=spf1 mx include:netblocks.dreamhost.com include:relay.mailchannels.net -all
Voici le rôle de chaque partie de SPF :
| Mécanisme | Ce qu'il autorise |
|---|---|
| mx | Le serveur qui gère les e-mails entrants du domaine est également autorisé à envoyer des e-mails |
| notamment : include:netblocks.dreamhost.com | Plages d'adresses IP des serveurs de messagerie de DreamHost |
| notamment : relay.mailchannels.net | MailChannels — Le partenaire de relais sortant de DreamHost pour la délivrabilité |
| -tout | Refus catégorique : rejeter tout expéditeur ne figurant pas dans la liste ci-dessus |
Si vous envoyez vos e-mails uniquement via DreamHost et n'utilisez aucun service de messagerie tiers, cet enregistrement par défaut est complet. Vous n'avez rien à modifier.
Utilisez l'outil gratuit SPF PowerDMARC pour vérifier que votre enregistrement par défaut DreamHost est bien actif. Saisissez votre domaine : en quelques secondes, l'outil affiche l'enregistrement, la validation syntaxique, le nombre de requêtes DNS et tous les mécanismes répertoriés.
Voici ce que vous devez savoir sur le fonctionnement de DreamHost avant d'effectuer toute modification :
L'ajout d'un SPF personnalisé dans DreamHost supprime automatiquement l'enregistrement par défaut. C'est l'une des causes les plus courantes d'échecs d'authentification des e-mails sur DreamHost. Si vous ajoutez un enregistrement personnalisé contenant uniquement include:_spf.google.com -all, vous venez de désautoriser les propres serveurs de messagerie de DreamHost, et tous les e-mails envoyés via DreamHost échoueront SPF ce moment-là.
Si vous supprimez votre SPF personnalisé, DreamHost rétablit automatiquement la valeur par défaut. Cela peut servir de solution de secours en cas de problème.
Vous ne devez modifier SPF que si vous envoyez des e-mails via des services autres que DreamHost, Google Workspace, Mailchimp, SendGrid, HubSpot ou tout autre service tiers.
Énumérez tous les systèmes qui envoient des e-mails au nom de votre domaine. Sources courantes pour les utilisateurs de DreamHost :
Vous ne savez pas quels services envoient des e-mails sous votre nom de domaine ?
Les rapports agrégés rapports agrégés DMARC de PowerDMARC révèlent toutes les sources d'envoi, qu'elles soient légitimes ou non autorisées, dans les 72 heures suivant le déploiement. Il s'agit de la méthode de détection la plus fiable, en particulier pour les domaines comportant des expéditeurs « shadow IT » adoptés par les équipes marketing ou commerciales sans en informer personne.
Regroupez toutes les sources d'envoi en un seul SPF . Vous ne pouvez avoir qu'un seul enregistrement SPF par domaine, car la présence de plusieurs enregistrements provoque PermError et empêchent l'authentification de tous les expéditeurs.
| Mise en place | SPF |
|---|---|
| Uniquement DreamHost | v=spf1 mx include:netblocks.dreamhost.com include:relay.mailchannels.net -all |
| DreamHost + Google | v=spf1 mx include:netblocks.dreamhost.com include:relay.mailchannels.net include:_spf.google.com -all |
| DreamHost + Google + Mailchimp | v=spf1 mx include:netblocks.dreamhost.com include:relay.mailchannels.net include:_spf.google.com include:servers.mcsv.net -all |
| DreamHost + Google + Mailchimp + SendGrid | v=spf1 mx include:netblocks.dreamhost.com include:relay.mailchannels.net include:_spf.google.com include:servers.mcsv.net include:sendgrid.net -all |
Surveillez le nombre de requêtes. Chaque mécanisme « include » déclenche une ou plusieurs requêtes DNS (y compris les inclusions imbriquées), mais SPF limité à 10 requêtes au total selon la RFC 7208. Les mécanismes par défaut de DreamHost consomment déjà 3 à 4 requêtes. Ajoutez Google (2 à 3), Mailchimp (1 à 2) et SendGrid (1 à 2) et vous arrivez à 8 à 11, ce qui pourrait dépasser la limite.
Utilisez le SPF de PowerDMARC pour créer correctement l'enregistrement combiné. Il valide la syntaxe, compte les requêtes, y compris les inclusions imbriquées, et vous avertit avant que vous n'atteigniez la limite de 10 requêtes. Si vous avez déjà dépassé les 10, PowerSPF aplatit automatiquement les chaînes d'inclusions en entrées ip4: et maintient l'enregistrement à jour lorsque les fournisseurs changent d'adresse IP, sans qu'aucune modification manuelle du DNS ne soit nécessaire.
Ces étapes partent du principe que vos serveurs de noms pointent vers DreamHost. S'ils pointent vers Cloudflare ou un autre fournisseur, ajoutez plutôt l'enregistrement TXT à cet endroit, car le panneau DNS de DreamHost est ignoré lorsque les serveurs de noms pointent vers un autre fournisseur.
Cette opération supprime SPF par défaut de DreamHost. Votre enregistrement combiné DOIT inclure les serveurs de DreamHost (netblocks.dreamhost.com et relay.mailchannels.net) si vous continuez à envoyer des e-mails via DreamHost. Vérifiez bien avant d'enregistrer.
Le panneau de configuration de DreamHost rend le SPF non modifiable lorsque Google Workspace est configuré via l'intégration de DreamHost. Vous pouvez toutefois utiliser le chemin d'accès à l'enregistrement DNS personnalisé de DreamHost (Ajouter un enregistrement → TXT) à la place du champ configuré automatiquement. Si vos serveurs de noms se trouvent sur Cloudflare, ajoutez l'enregistrement TXT directement dans le tableau de bord DNS de Cloudflare afin de contourner complètement la restriction de DreamHost.
DKIM (DomainKeys Identified Mail) ajoute une signature cryptographique aux e-mails sortants, permettant aux serveurs destinataires de vérifier que le message n'a pas été altéré pendant le transfert.
Si vous utilisez la messagerie hébergée par DreamHost, DKIM est déjà configuré :
Utilisez le vérificateur DKIM de PowerDMARC pour vérifier que la clé est publiée et valide. Saisissez votre domaine et votre sélecteur (généralement votredomaine.com._domainkey pour les e-mails hébergés par DreamHost) pour confirmer.
Les e-mails envoyés via Sendmail ou PHP Mail ne sont PAS signés DKIM. Cela concerne notamment les formulaires de contact WordPress qui utilisent la fonction mail() de PHP, qui est la valeur par défaut de la plupart des plugins de formulaires WordPress. Ces e-mails contournent entièrement le serveur SMTP de DreamHost ; la clé privée DKIM n'est donc jamais appliquée au message.
C'est la raison la plus courante pour laquelle les propriétaires de sites WordPress hébergés chez DreamHost voient les e-mails de leur formulaire de contact atterrir dans le dossier spam. Le formulaire fonctionne et envoie bien l'e-mail, mais sans DKIM (et souvent sans un alignement SPF ), les serveurs de réception le signalent comme suspect.
Solution: Installez le plugin WP Mail SMTP (ou un plugin similaire). Configurez-le pour envoyer tous les e-mails générés par le site via le serveur SMTP de DreamHost (mail.votredomaine.com, port 465 avec SSL ou port 587 avec TLS). Cela achemine les e-mails via le serveur de messagerie, qui applique automatiquement la signature DKIM.
Si vous utilisez Cloudflare, Route 53 ou un autre fournisseur DNS, mais que DreamHost gère votre messagerie, vous devez copier les enregistrements DNS DKIM depuis le panneau de configuration de DreamHost et les ajouter manuellement chez votre fournisseur DNS.
Copiez soigneusement la clé DKIM sans ajouter aucun espace dans la chaîne de caractères. Le panneau de configuration de DreamHost accepte les enregistrements contenant des espaces, mais les e-mails échoueront à la vérification DKIM si la clé publiée comporte des espaces.
Si vos e-mails sont gérés par Google Workspace, Zoho ou un autre service (et non par DreamHost), c'est ce fournisseur qui se charge de la signature DKIM. Procurez-vous sa clé publique DKIM et son sélecteur, puis ajoutez l'enregistrement TXT correspondant dans les paramètres DNS de DreamHost (ou chez votre fournisseur DNS externe). Suivez la documentation du fournisseur pour connaître le format exact du sélecteur et la valeur de la clé.
Le protocole DMARC (Domain-based Message Authentication, Reporting and Conformance) associe SPF DKIM. Il vérifie qu'au moins l'un d'entre eux est valide ET correspond au domaine indiqué dans le champ « De: », puis indique aux serveurs destinataires comment réagir en cas d'échec de l'authentification. Sans DMARC, SPF DKIM existent, mais personne ne veille à leur application.
Utilisez le générateur DMARC de PowerDMARC pour créer votre enregistrement. Sélectionnez votre niveau de politique, ajoutez des adresses e-mail de rapport, puis copiez la valeur TXT générée.
Avant d'ajouter DMARC, assurez-vous que SPF DKIM sont déjà configurés et opérationnels. Le blog de DreamHost recommande d'attendre 48 heures après la configuration SPF DKIM avant de publier l'enregistrement DMARC.
v=DMARC1 ; p=none ; rua=mailto:[email protected] ;ruf=mailto:[email protected] ; pct=100
DreamHost recommande de créer deux adresses e-mail distinctes pour les rapports DMARC (récapitulatifs et d'analyse), car vous pourriez en recevoir un grand nombre. Vous pouvez également rediriger rua= vers l'adresse de réception de PowerDMARC et éviter ainsi tout encombrement de votre boîte de réception, les rapports étant alors directement acheminés vers un tableau de bord visuel.
DMARC ne doit pas être configuré sur « p=reject » dès le premier jour. Une approche progressive vous évite de bloquer accidentellement des e-mails légitimes :
| Phase | Politique | Que se passe-t-il ? |
|---|---|---|
| Semaines 1 à 4 | p=none | Surveillance uniquement. Collectez les rapports agrégés DMARC. Identifiez tous les expéditeurs légitimes et corrigez les éventuels échecs d'authentification. |
| Semaines 5 à 8 | quarantine | Les e-mails non authentifiés sont envoyés dans le dossier spam. Vérifiez que tous les expéditeurs légitimes sont désormais acceptés. Surveillez les rapports pour détecter d'éventuels faux positifs. |
| Semaine 9 et suivantes | p=rejeter | Application stricte. Les e-mails non autorisés sont immédiatement rejetés. Votre domaine est désormais protégé contre l'usurpation d'identité. |
Pour mettre à jour la politique, modifiez l'enregistrement TXT _dmarc dans le panneau de configuration DreamHost (cliquez sur l'icône en forme de crayon à côté de l'enregistrement) et remplacez p=none parquarantine, puis, le moment venu, par p=reject.
Les rapports XML DMARC bruts sont illisibles sans outil spécifique. PowerDMARC les importe automatiquement et fournit des analyses visuelles sur les taux de réussite/échec par source, l'état d'alignement SPF DKIM, la détection des expéditeurs non autorisés et les tendances.
Chaque scénario ci-dessous suit le même processus de diagnostic : symptôme → cause → solution.
Ne vous demandez plus quelle source pose problème ni pourquoi. Le tableau de bord des rapports agrégés de PowerDMARC affiche les résultats d'authentification par adresse IP et par source pour chaque destinataire qui traite vos e-mails. Identifiez précisément le problème, corrigez-le et vérifiez que la correction a bien été appliquée, le tout depuis un seul écran. Commencez votre essai gratuit de 15 jours
Une fois que vous avez configuré SPF, DKIM et DMARC, passez en revue cette liste de contrôle pour vérifier que tout est opérationnel et fonctionne correctement :
Utilisez l'outil analyseur de domaine gratuit . Il vérifie SPF, DKIM, DMARC, BIMI, MTA-STS et l'état général de la sécurité de vos e-mails en un seul scan. Obtenez instantanément une note de A+ à F pour votre domaine DreamHost.
La mise en place SPF, DKIM et DMARC n'est qu'un premier pas. Pour garantir la délivrabilité à long terme de vos e-mails sur DreamHost, il est essentiel de veiller à la propreté de vos enregistrements d'authentification, de surveiller les dérives de configuration et d'adapter vos pratiques d'envoi aux nouvelles exigences des fournisseurs de messagerie.
Ne vous lancez plus à l'aveuglette dans le dépannage de l'authentification des e-mails sur DreamHost. PowerDMARC vous aide à surveiller SPF, DKIM et DMARC en temps réel, à détecter les défaillances silencieuses avant que le taux de délivrabilité ne baisse, et à maintenir la conformité de vos enregistrements à mesure que vous ajoutez de nouveaux services d'envoi.
Commencez votre essai gratuit de 15 jours
v=spf1 mx include:netblocks.dreamhost.com include:relay.mailchannels.net -all. DreamHost ajoute automatiquement cette configuration pour tous les domaines utilisant la messagerie DreamHost. Aucune configuration manuelle n'est nécessaire si DreamHost est votre seul expéditeur de courrier électronique.
Créez un enregistrement fusionné qui inclut les deux ensembles de mécanismes :
v=spf1 mx include:netblocks.dreamhost.com include:relay.mailchannels.net include:_spf.google.com -all
Le fait d'ajouter uniquement SPF de Google SPF l'enregistrement par défaut de DreamHost, ce qui perturbe le fonctionnement de la messagerie DreamHost. Veillez à toujours inclure les deux.
Oui, pour les domaines utilisant la messagerie hébergée par DreamHost avec SMTP. L'enregistrement DKIM est créé automatiquement et les e-mails sont signés lorsqu'ils sont envoyés via le serveur de messagerie de DreamHost. En revanche, les e-mails envoyés via PHP Mail (formulaires de contact WordPress sans SMTP) ne sont PAS signés DKIM. Installez WP Mail SMTP pour résoudre ce problème.
Parmi les causes les plus courantes, on peut citer l'absence ou l'inexactitude SPF (notamment après l'ajout d'un expéditeur tiers, qui remplace l'enregistrement par défaut de DreamHost), l'absence d'application de DKIM parce que les e-mails sont envoyés via PHP Mail au lieu de SMTP, l'absence d'enregistrement DMARC publié, ou encore des serveurs de noms pointant vers Cloudflare alors que les enregistrements DNS n'existent que dans le panneau de configuration de DreamHost. Effectuez une analyse gratuite avec l'outil Domain Analyzer de PowerDMARC pour identifier précisément la source du problème.
Non. La RFC 7208 impose un seul enregistrement SPF par domaine. Si deux enregistrements commençant par « v=spf1 » existent, SPF une erreur « PermError » et toutes les authentifications échouent. Regroupez tous les expéditeurs autorisés dans un seul enregistrement.

Comment les MSP peuvent gérer plus rapidement le DMARC de chaque client grâce à PowerDMARC...