Comment configurer l'authentification des e-mails pour un domaine nouvellement enregistré

Dès qu'un domaine est enregistré, il devient une cible d'usurpation d'identité, avant même qu'un seul e-mail ne soit envoyé. Sans SPF, DKIM ou DMARC, n'importe qui peut envoyer des e-mails qui semblent provenir de votre domaine, et les serveurs destinataires n'ont aucun moyen technique de les détecter. Ce guide vous explique comment configurer l'authentification des e-mails dans le bon ordre, avec des exemples concrets d'enregistrements DNS, les étapes de vérification et les éléments à surveiller une fois que tout est opérationnel.

Pourquoi les nouveaux domaines sont-ils particulièrement vulnérables ?

Un nouveau domaine ne manque pas seulement d'enregistrements d'authentification : il manque de tout : pas d'historique d'envoi, pas de réputation, pas de configuration antérieure sur laquelle s'appuyer. Cette combinaison engendre des risques spécifiques et nécessite une approche de configuration différente de celle utilisée pour configurer l'authentification sur un domaine existant.

1. Aucune réputation de l'expéditeur pour l'instant

Les fournisseurs de messagerie s'appuient sur l'historique d'envoi pour déterminer comment traiter les e-mails entrants. Un domaine qui n'a jamais envoyé de messages ne dispose d'aucun historique, ce qui signifie que les serveurs de réception ne peuvent pas distinguer un nouvel expéditeur légitime d'un expéditeur usurpé en se basant uniquement sur sa réputation.

L'authentification des e-mails comble cette lacune. SPF, DKIM et DMARC fournissent aux fournisseurs de messagerie un indicateur technique prouvant que vous contrôlez le domaine et que vous l'avez configuré pour autoriser les expéditeurs légitimes, avant même que vous n'ayez acquis une quelconque réputation. Un e-mail correctement authentifié provenant d'un nouveau domaine peut tout de même finir dans le dossier spam au début, mais sans authentification, vous privez les fournisseurs du dernier indicateur de crédibilité dont ils pourraient se servir en votre faveur.

2. Les nouveaux domaines constituent une cible privilégiée pour l'usurpation d'identité

Les pirates ciblent spécifiquement les domaines nouveaux ou récemment enregistrés, car ceux-ci ne disposent presque jamais de mécanismes d'authentification. En l'absence de SPF, DKIM et DMARC, n'importe quel serveur peut prétendre envoyer des e-mails depuis votre domaine et y parvenir.

Cette vulnérabilité concerne plusieurs types de menaces. Les attaques par usurpation d'identité de marque utilisent votre domaine pour contacter des clients ou des partenaires avant même que vous n'ayez établi de relation avec eux. Les campagnes de phishing exploitent le fait qu'un nouveau domaine part de zéro : l'absence de réputation négative signifie moins de déclenchements des filtres anti-spam. Le compromis des e-mails professionnels (BEC) peut cibler vos fournisseurs ou votre équipe interne en utilisant une version falsifiée de votre adresse. Toute entreprise envoyant des mises à jour de projet, des factures ou des e-mails à ses clients, comme une société de développement de logiciels sur mesure à Austin, est exposée jusqu'à ce qu'un système d'authentification soit mis en place.

3. Aucun système hérité à contourner

C'est là que les nouveaux domaines présentent un réel avantage par rapport aux domaines existants. Les domaines plus anciens accumulent des problèmes DNS au fil du temps : un SPF en double provenant d'une plateforme remplacée il y a des années, un sélecteur DKIM lié à un fournisseur de messagerie qui n'envoie plus d'e-mails en leur nom, une politique DMARC bloquée sur « p=none » qui n'a jamais été révisée.

Partir de zéro, c'est tout configurer correctement dès le début. Pas d'audit des anciennes données, pas de risque de perturber un flux d'e-mails existant, pas de configuration erronée héritée à démêler. La configuration est plus claire, plus rapide et plus facile à vérifier.

4. Les aspects liés au démarrage à froid

L'authentification et la phase de rodage du domaine sont deux processus liés, mais distincts. Les enregistrements d'authentification indiquent aux serveurs destinataires que votre adresse e-mail est autorisée. La phase de rodage consiste à établir un historique d'envoi positif en commençant par un faible volume, puis en l'augmentant progressivement au fil du temps.

L'authentification est primordiale : il est impossible de « réchauffer » un domaine qui échoue aux contrôles d'authentification. Une fois que SPF, DKIM et DMARC sont opérationnels et validés, commencez par envoyer des volumes contrôlés et laissez vos rapports DMARC s'accumuler avant de renforcer vos règles ou d'augmenter le volume de vos envois sortants.

Comment authentifier votre courrier électronique ?

Ce dont vous avez besoin avant de commencer

• Accès au panneau DNS de votre domaine

Les enregistrements SPF, DKIM et DMARC sont tous publiés sous forme d'enregistrements TXT dans le DNS. Votre panneau de configuration DNS peut se trouver chez votre registraire de domaine (Namecheap, GoDaddy, Cloudflare, etc.) ou chez votre hébergeur. Vous devez disposer d'un accès en écriture pour ajouter de nouveaux enregistrements ; un accès en lecture seule ne suffira pas.

• Votre plateforme d'envoi d'e-mails

Les clés DKIM sont générées par votre plateforme d'envoi d'e-mails ; elles ne sont pas créées manuellement. Avant de pouvoir publier un enregistrement DKIM, vous devez suivre la procédure de configuration DKIM au sein de votre plateforme (Google Workspace, Microsoft 365, un service SMTP personnalisé ou similaire). La plateforme génère la paire de clés et vous fournit le nom et la valeur exacts de l'enregistrement à publier dans le DNS. Vous ne pouvez pas créer un enregistrement DKIM valide indépendamment de la plateforme d'envoi.

Si plusieurs plateformes envoient des e-mails depuis votre domaine, identifiez-les toutes dès maintenant. Chacune devra être prise en compte dans votre SPF et pourra nécessiter son propre sélecteur DKIM.

• Une adresse e-mail pour les rapports DMARC

Les rapports agrégés DMARC sont envoyés à l'adresse que vous définissez dans la balise « rua » de votre enregistrement DMARC. Il peut s'agir de n'importe quelle boîte de réception surveillée : une adresse dédiée telle que [email protected], une boîte de réception partagée par une équipe ou une adresse fournie par une plateforme de rapports DMARC. Il suffit qu'elle existe et qu'elle soit activement consultée. Sans une adresse « rua » opérationnelle, la phase de surveillance de votre configuration DMARC ne produit aucun résultat exploitable.

Étape 1 – Configurer votre SPF

SPF Sender Policy Framework) indique aux serveurs de messagerie destinataires quelles adresses IP sont autorisées à envoyer des e-mails au nom de votre domaine. SPF configurer SPF : c'est la base sur laquelle reposent le DKIM et le DMARC.

SPF fonctionne grâce à un seul enregistrement DNS TXT qui répertorie vos sources d'envoi autorisées. Lorsqu'un serveur destinataire reçoit un message provenant de votre domaine, il vérifie l'adresse IP de l'expéditeur par rapport à votre SPF . Une adresse IP répertoriée est acceptée ; une adresse non répertoriée est rejetée.

v=spf1 include:_spf.google.com ~all

v=spf1 → indique qu'il s'agit d'un SPF

comprend :… → autorise toutes les adresses IP de l'infrastructure de messagerie de Google

~all → rejette tout expéditeur qui n'est pas explicitement mentionné

Comment ajouter votre SPF

1. Connectez-vous à votre fournisseur de services DNS
2. Créer un nouvel enregistrement TXT
3. Dans le champ « Hôte / Nom », saisissez @ (ce qui correspond à votre domaine racine)
4. Collez la SPF fournie par votre plateforme de messagerie
5. Enregistrer l'enregistrement

Si vous envoyez des e-mails depuis plusieurs plateformes, regroupez tous les expéditeurs dans un seul SPF . La publication de deux enregistrements SPF au niveau du domaine racine empêche SPF : un seul enregistrement est pris en compte, et le résultat est imprévisible.

v=spf1 include:_spf.google.com include:sendgrid.net ~all

SPF courantes concernant SPF sur les nouveaux domaines

• Deux SPF – Un seul enregistrement SPF est valide par domaine. La publication de deux enregistrements invalide les deux. Regroupez toutes les sources d'envoi dans un seul enregistrement.
• Utilisation prématurée de l'option -all: le rejet définitif (hard-fail) bloque immédiatement les e-mails provenant de toute source ne figurant pas dans la liste. Utilisez d'abord l'option ~all (rejet temporaire, soft-fail) jusqu'à ce que votre liste complète d'expéditeurs soit validée.
• Absence d'une plateforme d'envoi – Toute plateforme envoyant des e-mails depuis votre domaine qui ne figure pas dans SPF l'authentification. Veillez à prendre en compte tous les expéditeurs avant d'enregistrer l'enregistrement.

Étape 2 – Générer et publier votre enregistrement DKIM

Le protocole DKIM (DomainKeys Identified Mail) ajoute une signature cryptographique aux e-mails sortants. Les serveurs destinataires utilisent une clé publique figurant dans votre DNS pour vérifier que le message provient bien de votre domaine et qu'il n'a pas été altéré pendant son acheminement.

Les clés DKIM sont générées au sein de votre plateforme d'envoi d'e-mails ; vous n'avez pas à les saisir manuellement. Rendez-vous dans la section « DKIM », « Authentification de domaine » ou « Configuration des e-mails » de votre plateforme et suivez les étapes indiquées. La plateforme génère une paire de clés : une clé privée (utilisée pour signer les e-mails sortants) et une clé publique (publiée dans le DNS afin que les serveurs destinataires puissent vérifier les signatures).

Chaque plateforme attribue un sélecteur, c'est-à-dire une étiquette dans le nom de l'enregistrement qui permet à plusieurs clés DKIM de coexister sur un même domaine. Si vous utilisez deux plateformes d'envoi, chacune dispose de son propre sélecteur et de son propre enregistrement DNS. Exemple de nom d'enregistrement utilisant le sélecteur « google » :

google._domainkey.votredomaine.com

Comment publier votre enregistrement DKIM

1. Ouvrez la section DKIM dans votre plateforme de messagerie
2. Copiez le nom de l'enregistrement TXT (par exemple, google._domainkey)
3. Copiez la valeur de l'enregistrement TXT (la chaîne de la clé publique)
4. Ouvrez votre panneau DNS et créez un nouvel enregistrement TXT
5. Copiez-collez le nom et la valeur exactement tels qu'ils sont indiqués
6. Enregistrez, puis revenez sur votre plateforme pour lancer la vérification

Certaines plateformes peuvent publier automatiquement l'enregistrement DKIM si elles gèrent également votre DNS ; consultez le guide de configuration de votre plateforme avant de l'ajouter manuellement.

Comment vérifier si DKIM est activé

La propagation DNS s'effectue généralement en quelques heures, mais peut prendre jusqu'à 48 heures. Si la vérification échoue au-delà de ce délai, vérifiez qu'il n'y a pas d'espaces superflus dans la valeur, que le nom d'hôte est correct et que la clé n'est pas tronquée.

Étape 3 – Créer votre enregistrement DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance) constitue la couche de politique. Alors que SPF DKIM gèrent les contrôles d'authentification, DMARC indique aux serveurs destinataires comment traiter les messages qui échouent à ces contrôles – et fournit des rapports agrégés qui vous permettent de voir exactement qui envoie des e-mails en utilisant votre domaine.

La bonne politique DMARC pour un nouveau domaine

Commencez toujours par p=none.

Une politique de surveillance uniquement signifie que les messages en échec sont tout de même remis : rien n'est bloqué. C'est le bon point de départ pour un nouveau domaine, car vous n'avez pas encore vérifié que toutes les sources d'envoi légitimes sont correctement authentifiées. Passer directement au paramètre « p=reject » avant d'avoir examiné vos rapports peut bloquer sans que vous vous en rendiez compte des e-mails légitimes provenant d'un expéditeur que vous avez oublié d'inclure.

Passez d'un niveau à l'autre en fonction des résultats de vos rapports, et non selon un calendrier fixe.

Comment créer et publier votre enregistrement DMARC

Publiez l'enregistrement sous forme d'enregistrement TXT sur _dmarc.votredomaine.com.

Bilan minimal en début de saison :

v=DMARC1 ; p=none ; rua=mailto:[email protected]

v=DMARC1 → indique qu'il s'agit d'un enregistrement DMARC

p=none → mode surveillance (aucun message n'est bloqué)

rua=mailto: → adresse à laquelle les rapports globaux sont envoyés

À quoi sert la balise `rua` ?

La balise `rua` sert à recevoir les rapports agrégés DMARC. Ces rapports, envoyés quotidiennement par les serveurs de messagerie destinataires, indiquent quelles adresses IP ont envoyé des e-mails en utilisant votre domaine, si ces messages ont satisfait SPF DKIM, et si des expéditeurs que vous ne reconnaissez pas envoient des messages en votre nom. Sans la balise `rua`, votre enregistrement DMARC applique une politique mais ne génère aucune donnée. Lorsque `p=none` est défini, les rapports constituent la seule sortie ; omettre cette balise rend toute la phase de surveillance inutile.

Étape 4 – Vérifiez que vos données sont bien actives

Une fois les trois enregistrements publiés, attendez que la propagation du DNS soit effective avant de lancer la vérification. La plupart des enregistrements se propagent en quelques heures ; prévoyez jusqu'à 48 heures avant de considérer un échec de vérification comme un véritable problème plutôt que comme un simple retard de propagation.

Outils pour vérifier SPF, DKIM et DMARC

• PowerDMARC SPF – vérifie que votre SPF existe, que sa syntaxe est valide et qu'il répertorie les expéditeurs autorisés
• PowerDMARC DKIM Checker – vérifie que l'enregistrement DKIM est bien actif pour le sélecteur et le domaine appropriés
• PowerDMARC DMARC Checker – vérifie que votre enregistrement DMARC se trouve bien dans le champ _dmarc et qu'il comporte des balises de politique valides
• Outil de vérification de la propagation DNS de PowerDMARC – indique si vos enregistrements se sont propagés sur l'ensemble des serveurs DNS mondiaux ; cet outil est utile lorsqu'un outil de vérification renvoie le message « introuvable » peu après la publication
• PowerDMARC Domain Analyzer – effectue une analyse complète de votre domaine couvrant SPF, DKIM, DMARC, BIMI, MTA-STS et TLS-RPT dans une seule interface, vous permettant ainsi d'évaluer l'état global de l'authentification de vos e-mails avant la mise en service

Que faire si un enregistrement ne passe pas la vérification ?

Commencez par les bases. Vérifiez que le type d'enregistrement est bien TXT – et non A, CNAME ou MX. Assurez-vous que le nom d'hôte correspond à ce que l'outil attend : @ pour SPF, _dmarc pour DMARC et selector._domainkey pour DKIM. Recherchez les erreurs courantes liées au copier-coller : espaces superflus, points-virgules manquants, guillemets hérités de l'interface du panneau DNS ou point final à la fin du nom d'enregistrement.

Si tout semble correct dans le DNS, utilisez l'outil de vérification de la propagation DNS pour vous assurer que l'enregistrement s'est bien propagé avant de conclure à une erreur de configuration.

Étape 5 – Suivez vos rapports et l'avancement de la mise en application

La publication des enregistrements d'authentification n'est que le début du processus, et non sa fin. La phase « p=none » sert à la surveillance active : elle vous fournit les données nécessaires pour vérifier que vos e-mails légitimes passent l'authentification avant d'appliquer toute mesure coercitive.

Les rapports agrégés bruts DMARC sont fournis sous forme de fichiers XML, qui ne sont pas conçus pour être consultés manuellement. PowerDMARC les convertit en tableaux de bord qui vous indiquent, pour chaque source d'envoi :

• Quelles adresses IP ont envoyé des e-mails au nom de votre domaine ?
• Si les messages ont passé ou échoué au test SPF
• Si les messages ont passé ou échoué le contrôle DKIM
• Y a-t-il des sources non identifiées qui envoient des messages depuis votre domaine ?

Ces données permettent de vérifier si votre configuration fonctionne comme prévu et mettent en évidence les plateformes d'envoi que vous auriez pu oublier lors de la configuration SPF DKIM.

Quand passer de p=none à p=reject

Laissez vos rapports dicter le calendrier. Une fois qu'ils indiquent systématiquement que toutes les sources d'envoi légitimes respectent les règles SPF DKIM, passez à quarantine. Surveillez la situation pendant plusieurs semaines. Lorsque vous êtes certain qu'aucun message légitime n'est bloqué, passez à p=reject. Il n'y a pas de délai standard : le moment idéal pour renforcer l'application des règles est celui où vos rapports indiquent que vous êtes prêt.

Erreurs courantes lors de l'authentification d'un nouveau domaine

• La publication de deux SPF au lieu d'un seul empêche toute SPF ; regroupez tous les expéditeurs dans un seul enregistrement
• Ignorer DKIM – SPF ne suffit pas pour l'alignement DMARC, et DKIM est le seul contrôle qui résiste au transfert d'e-mails
• Régler DMARC sur p=reject avant la mise en place de la surveillance – cela risque de bloquer les e-mails légitimes provenant d'un expéditeur que vous n'avez pas encore authentifié
• Si vous n'utilisez pas la balise « rua= », toutes les données seront masquées pendant la phase de surveillance ; les rapports agrégés ne seront pas envoyés
• Ne pas vérifier les enregistrements après la propagation: un enregistrement qui semble correct dans votre panneau DNS peut tout de même contenir une erreur de formatage que seul un outil de validation est en mesure de détecter

Conclusion

L'ordre est important : SPF , DKIM en deuxième, DMARC en troisième. Pour un nouveau domaine, commencer par p=none vous permet de vérifier que votre configuration fonctionne correctement avant d'appliquer les règles de validation, ce qui protège la réputation de votre domaine avant même que vous n'ayez eu le temps de la construire.

Pour vérifier vos données, lancer une analyse complète de votre domaine ou consulter des rapports agrégés sur un tableau de bord intuitif, essayez PowerDMARC gratuitement et mettez en place l'authentification avant même d'envoyer votre premier e-mail à grande échelle.

Foire aux questions

Ai-je besoin d'une authentification par e-mail si mon domaine est tout nouveau ?

Oui – configurez-le avant même d'envoyer le moindre e-mail. Un nouveau domaine dépourvu d'enregistrements d'authentification est une cible de choix pour l'usurpation d'identité, et les premiers rapports DMARC pourraient indiquer que des activités non autorisées ont déjà lieu avant même que vous n'ayez envoyé quoi que ce soit.

Quel est l'ordre correct pour configurer SPF, DKIM et DMARC ?

SPF , puis DKIM, puis DMARC. DMARC évalue les résultats des vérifications SPF DKIM ; ces deux protocoles doivent donc fonctionner correctement pour que l'application de DMARC ait un sens.

Combien de temps faut-il pour que la propagation DNS soit effective après l'ajout d'enregistrements d'authentification ?

La plupart des enregistrements sont répercutés en quelques heures. Comptez jusqu'à 48 heures et utilisez l'outil de vérification de la propagation DNS pour vous en assurer, plutôt que de supposer que la propagation est terminée.

Quelle politique DMARC dois-je utiliser pour un nouveau domaine ?

Commencez par p=none. Examinez les rapports agrégés pour vérifier que tous les expéditeurs légitimes passent l'authentification, puis passez à quarantine, et enfin à p=reject. Cette progression doit être guidée par les données des rapports, et non par un calendrier fixe.

Puis-je configurer DMARC avant de commencer à envoyer des e-mails ?

Oui, et cela en vaut la peine. Les rapports DMARC vous permettront de visualiser toute activité préalable à l'envoi sur votre domaine, y compris les utilisations non autorisées qui pourraient déjà avoir lieu. Utilisez l'outil Domain Analyzer pour effectuer une analyse complète de la sécurité d'authentification de votre domaine avant votre premier envoi.

Dois-je m'authentifier si je ne fais que recevoir des e-mails et n'en envoie pas ?

SPF DKIM concernent principalement les e-mails sortants, mais il est tout de même recommandé de configurer un enregistrement DMARC, même pour les domaines qui ne reçoivent que des e-mails. Sans cela, n'importe qui peut usurper l'adresse de votre domaine pour envoyer des e-mails de hameçonnage à vos contacts, clients ou partenaires.

• À propos de
• Derniers messages

Milena Baghdasaryan

Spécialiste du contenu à PowerDMARC

Milena est une rédactrice et créatrice de contenu qualifiée qui possède plus de 7 ans d'expérience dans la création de contenu attrayant sur les technologies de l'information, la cybersécurité, les événements virtuels, etc. Elle est diplômée d'institutions prestigieuses telles que la New York University Abu Dhabi, l'UWC China et le Collège d'Europe.

Derniers messages de Milena Baghdasaryan (voir tous)

• Sécurité des e-mails du service client : comment mettre fin aux fausses réponses, aux piratages de comptes et aux fuites de données - 12 juin 2026
• Serveurs MCP malveillants et sécurité des e-mails : la nouvelle menace pesant sur la chaîne d'approvisionnement - 9 juin 2026
• Comment configurer l'authentification des e-mails pour un domaine nouvellement enregistré - 2 juin 2026