Authentification e-mail : configurer correctement SPF, DKIM et DMARC
8 min de lecture
Les e-mails de votre entreprise atterrissent depuis des semaines dans le dossier spam de vos clients. L’administrateur informatique a tout vérifié, le serveur de messagerie fonctionne correctement, mais Google continue de les filtrer. La raison est presque toujours la même : une authentification des e-mails absente ou mal configurée. Depuis février 2024, Google et Yahoo exigent DMARC pour tous les expéditeurs en masse. Depuis novembre 2025, Gmail rejette catégoriquement les e-mails non conformes. Ceux qui n’ont pas correctement configuré SPF, DKIM et DMARC ne perdent pas seulement leur délivrabilité, ils font de leur domaine un outil de phishing pour les attaquants.
L’essentiel en bref
- Google et Yahoo exigent DMARC pour les expéditeurs en masse depuis février 2024. Gmail rejette les e-mails non conformes depuis novembre 2025. Microsoft a suivi en mai 2025.
- L’adoption de SPF atteint 93 % en 2026, celle de DKIM 90 %. DMARC stagne à 64 %, seuls 4 % des principaux domaines appliquent la politique la plus stricte (reject).
- Les trois protocoles s’appuient mutuellement : SPF vérifie le serveur expéditeur, DKIM signe le contenu de façon cryptographique, DMARC relie les deux avec une politique et un système de reporting.
- Le coût moyen d’une violation par phishing s’élevait à 4,88 millions de dollars en 2025. Une authentification des e-mails correctement configurée est la mesure individuelle la plus efficace contre l’usurpation de domaine.
- La mise en place des trois protocoles prend trois à cinq jours ouvrés pour une PME, mais exige une préparation soigneuse et un durcissement progressif de la politique.
Trois protocoles, un objectif : qui peut envoyer des e-mails en votre nom ?
L’authentification des e-mails répond à une question simple : le serveur qui envoie cet e-mail est-il autorisé à envoyer au nom de ce domaine ? Sans authentification, n’importe quel serveur de messagerie peut envoyer des e-mails avec votre domaine expéditeur. E-mails de phishing, fausses factures, instructions de fraude au président – tout est possible, car le protocole SMTP n’intègre aucune vérification de l’expéditeur.
Les trois protocoles SPF, DKIM et DMARC résolvent ce problème à différents niveaux. Ils se complètent mutuellement et ne sont véritablement efficaces qu’en combinaison. Une entreprise qui n’utilise que SPF sans DKIM ni DMARC a fait la moitié du travail et profite peu de cet investissement.
SPF (Sender Policy Framework) : qui peut envoyer ?
SPF définit dans un enregistrement DNS TXT quelles adresses IP et quels serveurs sont autorisés à envoyer des e-mails pour votre domaine. Le serveur de messagerie récepteur vérifie à chaque e-mail entrant si l’IP du serveur expéditeur figure dans l’enregistrement SPF du domaine expéditeur. Si ce n’est pas le cas, l’e-mail peut être marqué comme suspect ou rejeté. Important : SPF a une limite de 10 consultations DNS maximum. Les entreprises qui utilisent simultanément de nombreux fournisseurs tiers (CRM, newsletter, système de tickets) atteignent rapidement cette limite. La solution passe par des outils de SPF flattening ou par la consolidation de l’infrastructure d’envoi.
DKIM (DomainKeys Identified Mail) : le contenu est-il intact ?
DKIM ajoute une signature cryptographique à chaque e-mail sortant. Le serveur expéditeur signe des champs d’en-tête définis et le corps avec une clé privée. La clé publique est publiée comme enregistrement DNS. Le serveur récepteur vérifie la signature par rapport à la clé publique et peut ainsi déterminer si l’e-mail a été modifié en transit. DKIM protège ainsi non seulement l’identité de l’expéditeur, mais aussi l’intégrité du contenu. C’est particulièrement pertinent pour les secteurs soumis à des exigences de conformité, où l’immuabilité des communications professionnelles doit être prouvée.
DMARC (Domain-based Message Authentication, Reporting and Conformance) : que se passe-t-il en cas de violation ?
DMARC associe SPF et DKIM à une politique qui indique au serveur récepteur ce qu’il faut faire des e-mails qui ne passent aucune des deux vérifications. Les trois niveaux de politique sont : none (observer et reporter uniquement), quarantine (placer les e-mails suspects dans le dossier spam) et reject (rejeter complètement les e-mails). De plus, DMARC fournit un reporting : des rapports quotidiens montrent qui envoie des e-mails en votre nom, quels e-mails passent SPF et DKIM et lesquels échouent. Ces rapports sont précieux pour identifier le shadow IT et les fournisseurs tiers non autorisés.
SPF, DKIM et DMARC en comparaison
| Critère | SPF | DKIM | DMARC |
|---|---|---|---|
| Ce qui est vérifié | IP du serveur expéditeur | Signature cryptographique | Alignement SPF + DKIM |
| Protection contre | Serveurs non autorisés | Manipulation du contenu | Usurpation de domaine |
| Type d’enregistrement DNS | TXT | TXT (CNAME chez les fournisseurs) | TXT |
| Effort de configuration | Faible (1 enregistrement DNS) | Moyen (paire de clés + config) | Moyen à élevé (réglage de politique) |
| Erreur la plus fréquente | Plus de 10 consultations DNS | Rotation de clé oubliée | Passer directement à reject sans progressivité |
| Adoption 2026 | 93 % | 90 % | 64 % (seulement 4 % en reject) |
Pourquoi DMARC est le maillon critique
SPF et DKIM seuls ne suffisent pas. Sans DMARC, il n’y a aucune politique indiquant au serveur récepteur ce qu’il doit faire en cas d’échec d’authentification. Cela signifie que même si SPF et DKIM sont correctement configurés, un attaquant peut toujours envoyer des e-mails avec une adresse expéditeur falsifiée qui ne passe ni SPF ni DKIM, et le serveur récepteur décide selon sa propre appréciation ce qu’il faut en faire.
64 %
des domaines e-mail disposent d’un enregistrement DMARC en 2026. Mais seuls 4 % appliquent la politique la plus stricte (reject). Le reste se contente d’observer.
4,88 millions USD
coût moyen d’une violation par phishing en 2025. L’e-mail reste le principal vecteur d’attaque pour le phishing et la fraude au président.
41 %
des banques n’ont aucune protection DMARC. Dans les secteurs réglementés notamment, une faille dangereuse subsiste.
Sources : EasyDMARC Adoption Report 2026, IBM Cost of a Data Breach 2025, PowerDMARC Security Trends 2026
La vague d’enforcement des grands fournisseurs de messagerie a considérablement accru l’urgence. Google et Yahoo ont rendu DMARC obligatoire pour les expéditeurs en masse en février 2024. Gmail a été encore plus loin en novembre 2025 en commençant à rejeter directement les e-mails non conformes au lieu de simplement les marquer. Microsoft a suivi en mai 2025 avec Outlook.com et Microsoft 365. Ceux qui n’ont pas d’enregistrement DMARC valide risquent que leurs e-mails professionnels ne parviennent tout simplement plus à destination.
Pour les entreprises en France, un aspect supplémentaire entre en jeu : l’usurpation de domaine est un outil privilégié pour la fraude au président et l’escroquerie aux fausses factures. Un attaquant qui peut envoyer des e-mails au nom de votre domaine, parce qu’aucun reject DMARC n’est actif, peut atteindre vos clients avec de fausses factures ou des instructions de paiement. Le préjudice de réputation d’une telle attaque dépasse de loin le coût de la mise en place de DMARC. Et les dommages ne touchent pas seulement votre propre entreprise : les clients et partenaires qui tombent dans le piège des faux e-mails subissent également des pertes financières et perdent confiance en votre marque.
Les erreurs les plus fréquentes lors de la configuration
Les protocoles ne sont pas complexes, mais leur mise en oeuvre comporte des pièges. Les cinq erreurs suivantes causent la plupart des problèmes dans les PME.
SPF avec plus de 10 consultations DNS : Chaque entrée include dans l’enregistrement SPF génère des requêtes DNS. Les entreprises qui utilisent simultanément Salesforce, HubSpot, Mailchimp et Microsoft 365 dépassent rapidement la limite de 10 consultations. La conséquence : l’enregistrement SPF est complètement ignoré. La solution est le SPF flattening, dans lequel les consultations imbriquées sont résolues en plages d’IP directes.
Clés DKIM jamais renouvelées : Les clés DKIM doivent être changées tous les six à douze mois. De nombreuses entreprises configurent DKIM une fois et oublient la rotation. Une clé privée compromise permet aux attaquants d’envoyer des e-mails valablement signés en votre nom.
DMARC directement en reject : Ceux qui démarrent DMARC directement avec la politique reject risquent de bloquer des e-mails légitimes de fournisseurs tiers. La voie sécurisée : commencer avec none, analyser les rapports pendant deux à quatre semaines, puis passer à quarantine et, après deux semaines supplémentaires, passer à reject.
Oublier les sous-domaines : DMARC s’applique par défaut uniquement au domaine principal. Les sous-domaines comme mail.entreprise.fr ou newsletter.entreprise.fr ont besoin soit de leur propre enregistrement DMARC, soit la politique du domaine principal doit définir le paramètre sp= (politique des sous-domaines). Les attaquants exploitent délibérément les sous-domaines non protégés pour l’usurpation.
Ne pas analyser les rapports : Les rapports DMARC sont envoyés en XML à l’adresse indiquée dans l’enregistrement. Sans outil d’analyse, ils sont pratiquement inutilisables. Des services comme dmarcian, EasyDMARC ou Valimail visualisent les données et montrent quelles sources envoient des e-mails en votre nom. Cette transparence est la véritable valeur ajoutée de DMARC en mode monitoring.
Checklist : configurer l’authentification e-mail en 5 jours
Jour 1 : état des lieux
- Inventorier tous les systèmes envoyant des e-mails : serveur de messagerie, CRM, outil newsletter, système de tickets, marketing automation
- Vérifier les enregistrements SPF et DKIM existants : dig TXT entreprise.fr et dig TXT selector._domainkey.entreprise.fr
- Lister tous les sous-domaines qui envoient des e-mails
Jour 2 : configurer SPF
- Regrouper toutes les IP expéditrices autorisées et les entrées include dans un enregistrement SPF
- Vérifier la limite de consultations DNS (max. 10), utiliser le flattening si nécessaire
- Publier l’enregistrement SPF comme enregistrement DNS TXT et effectuer la validation
Jour 3 : configurer DKIM
- Générer une paire de clés DKIM pour le serveur de messagerie principal (RSA 2048 bits ou Ed25519)
- Publier la clé publique comme enregistrement DNS TXT
- Activer la signature DKIM sur le serveur de messagerie et envoyer des e-mails de test
- Activer DKIM pour les fournisseurs tiers (la plupart des outils SaaS proposent une intégration DKIM basée sur CNAME)
Jour 4 : démarrer DMARC en mode monitoring
- Publier l’enregistrement DMARC avec p=none et une adresse rua pour les rapports
- Configurer le destinataire des rapports (adresse externe ou outil d’analyse DMARC)
- Vérifier les premiers rapports après 24 heures : quelles sources passent SPF et DKIM, lesquelles non ?
Jour 5 à semaine 6 : durcissement progressif
- Identifier les sources non autorisées et les légitimer ou les bloquer
- Après 2 semaines de rapports stables : passer à p=quarantine
- Après 2 semaines supplémentaires : activer p=reject
- Compléter la politique des sous-domaines via le paramètre sp=
- Planifier la rotation des clés DKIM tous les 6 mois
Conclusion : trois enregistrements DNS qui protègent votre domaine
L’authentification des e-mails n’est plus une bonne pratique optionnelle, elle est obligatoire. Ceux qui n’ont pas d’enregistrement DMARC avec enforcement risquent à la fois des problèmes de délivrabilité chez Google, Yahoo et Microsoft, et l’utilisation abusive de leur domaine pour des attaques de phishing. La mise en place ne nécessite ni logiciel coûteux ni projet de conseil externe. Elle requiert de la rigueur dans l’état des lieux, de la patience dans le durcissement progressif et la discipline d’analyser régulièrement les rapports.
Commencez dès aujourd’hui par une vérification SPF de votre domaine principal. Vérifiez si une clé DKIM est publiée. Et si aucun enregistrement DMARC n’existe : configurez-le avec p=none et une adresse de reporting. Les rapports seuls vous montreront qui envoie des e-mails en votre nom. Le résultat est souvent surprenant et presque toujours porteur d’actions.
Une dernière remarque pour les entreprises qui ont déjà configuré SPF et DKIM, mais hésitent sur DMARC : le mode monitoring (p=none) n’a aucun impact sur la délivrabilité de vos e-mails. Il collecte exclusivement des données. Il n’y a aucune raison de reporter cette étape. La transparence qu’offrent les rapports DMARC est en elle-même déjà un gain de sécurité, avant même que le premier e-mail ne soit bloqué.
Questions fréquentes
Que se passe-t-il si je ne configure pas DMARC ?
Sans DMARC, les attaquants peuvent envoyer des e-mails au nom de votre domaine sans que les serveurs récepteurs aient une politique pour les bloquer. Depuis novembre 2025, Gmail rejette les e-mails en masse non conformes. Microsoft 365 a suivi en mai 2025. Vos e-mails professionnels peuvent atterrir dans le spam ou être complètement rejetés, tandis que les e-mails de phishing avec votre domaine passent librement.
Dans quel ordre configurer SPF, DKIM et DMARC ?
D’abord SPF, puis DKIM, puis DMARC. SPF est le point d’entrée le plus simple et ne nécessite qu’un enregistrement DNS. DKIM nécessite une paire de clés et une configuration sur le serveur de messagerie. DMARC suppose qu’au moins l’un des deux autres protocoles fonctionne, de préférence les deux. Démarrez toujours DMARC avec p=none et durcissez progressivement.
Qu’est-ce que la limite de 10 consultations DNS pour SPF ?
La norme SPF autorise un maximum de 10 consultations DNS par vérification. Chaque entrée include dans votre enregistrement SPF génère au moins une consultation. Les entreprises qui utilisent de nombreux services tiers pour l’envoi d’e-mails dépassent rapidement cette limite. Si la limite est dépassée, l’intégralité de l’enregistrement SPF est ignorée, ce qui est pire que de ne pas avoir de SPF du tout. La solution est le SPF flattening ou la consolidation de l’infrastructure d’envoi.
Combien de temps faut-il pour que DMARC soit effectif ?
La configuration technique prend une journée. Il faut quatre à six semaines avant que la politique reject soit active et sécurisée. Pendant cette période, DMARC fonctionne en mode monitoring (p=none) et collecte des rapports sur qui envoie des e-mails en votre nom. Cette phase est cruciale pour identifier les fournisseurs tiers légitimes et éviter de les bloquer par inadvertance.
Ai-je besoin d’un outil spécial pour DMARC ?
Pas pour la configuration. SPF, DKIM et DMARC sont des enregistrements DNS qui peuvent être définis avec n’importe quel fournisseur DNS. Pour l’analyse des rapports DMARC, un outil d’analyse est toutefois vivement recommandé. Les rapports arrivent sous forme de fichiers XML et sont difficiles à exploiter sans visualisation. Des services comme dmarcian, EasyDMARC, Valimail ou PowerDMARC proposent des tableaux de bord clairs à partir d’environ 100 euros par an pour les petites entreprises.
Lectures recommandées
- Privileged Access Management : pourquoi les comptes administrateurs sont la principale porte d’entrée pour les attaques (SecurityToday)
- Threat Intelligence pour les PME : détecter les menaces avant qu’elles ne frappent (SecurityToday)
- Cyber-assurance 2026 : ce que l’assureur vérifie vraiment et ce que les RSSI doivent préparer (SecurityToday)
Plus du réseau MBF Media
Source image : Pexels / cottonbro studio (px:7439124)
