8 min de lecture<\/p>\n
Les e-mails de votre entreprise atterrissent depuis des semaines dans le dossier spam de vos clients. L’administrateur informatique a tout v\u00e9rifi\u00e9, le serveur de messagerie fonctionne correctement, mais Google continue de les filtrer. La raison est presque toujours la m\u00eame : une authentification des e-mails absente ou mal configur\u00e9e. Depuis f\u00e9vrier 2024, Google et Yahoo exigent DMARC pour tous les exp\u00e9diteurs en masse. Depuis novembre 2025, Gmail rejette cat\u00e9goriquement les e-mails non conformes. Ceux qui n’ont pas correctement configur\u00e9 SPF, DKIM et DMARC ne perdent pas seulement leur d\u00e9livrabilit\u00e9, ils font de leur domaine un outil de phishing pour les attaquants.<\/strong><\/p>\n L’authentification des e-mails r\u00e9pond \u00e0 une question simple : le serveur qui envoie cet e-mail est-il autoris\u00e9 \u00e0 envoyer au nom de ce domaine ? Sans authentification, n’importe quel serveur de messagerie peut envoyer des e-mails avec votre domaine exp\u00e9diteur. E-mails de phishing, fausses factures, instructions de fraude au pr\u00e9sident – tout est possible, car le protocole SMTP n’int\u00e8gre aucune v\u00e9rification de l’exp\u00e9diteur.<\/p>\n Les trois protocoles SPF, DKIM et DMARC r\u00e9solvent ce probl\u00e8me \u00e0 diff\u00e9rents niveaux. Ils se compl\u00e8tent mutuellement et ne sont v\u00e9ritablement efficaces qu’en combinaison. Une entreprise qui n’utilise que SPF sans DKIM ni DMARC a fait la moiti\u00e9 du travail et profite peu de cet investissement.<\/p>\n SPF (Sender Policy Framework) : qui peut envoyer ?<\/p>\n SPF d\u00e9finit dans un enregistrement DNS TXT quelles adresses IP et quels serveurs sont autoris\u00e9s \u00e0 envoyer des e-mails pour votre domaine. Le serveur de messagerie r\u00e9cepteur v\u00e9rifie \u00e0 chaque e-mail entrant si l’IP du serveur exp\u00e9diteur figure dans l’enregistrement SPF du domaine exp\u00e9diteur. Si ce n’est pas le cas, l’e-mail peut \u00eatre marqu\u00e9 comme suspect ou rejet\u00e9. Important : SPF a une limite de 10 consultations DNS maximum. Les entreprises qui utilisent simultan\u00e9ment de nombreux fournisseurs tiers (CRM, newsletter, syst\u00e8me de tickets) atteignent rapidement cette limite. La solution passe par des outils de SPF flattening ou par la consolidation de l’infrastructure d’envoi.<\/p>\n<\/div>\n<\/div>\n DKIM (DomainKeys Identified Mail) : le contenu est-il intact ?<\/p>\n DKIM ajoute une signature cryptographique \u00e0 chaque e-mail sortant. Le serveur exp\u00e9diteur signe des champs d’en-t\u00eate d\u00e9finis et le corps avec une cl\u00e9 priv\u00e9e. La cl\u00e9 publique est publi\u00e9e comme enregistrement DNS. Le serveur r\u00e9cepteur v\u00e9rifie la signature par rapport \u00e0 la cl\u00e9 publique et peut ainsi d\u00e9terminer si l’e-mail a \u00e9t\u00e9 modifi\u00e9 en transit. DKIM prot\u00e8ge ainsi non seulement l’identit\u00e9 de l’exp\u00e9diteur, mais aussi l’int\u00e9grit\u00e9 du contenu. C’est particuli\u00e8rement pertinent pour les secteurs soumis \u00e0 des exigences de conformit\u00e9, o\u00f9 l’immuabilit\u00e9 des communications professionnelles doit \u00eatre prouv\u00e9e.<\/p>\n<\/div>\n<\/div>\n DMARC (Domain-based Message Authentication, Reporting and Conformance) : que se passe-t-il en cas de violation ?<\/p>\n DMARC associe SPF et DKIM \u00e0 une politique qui indique au serveur r\u00e9cepteur ce qu’il faut faire des e-mails qui ne passent aucune des deux v\u00e9rifications. Les trois niveaux de politique sont : none (observer et reporter uniquement), quarantine (placer les e-mails suspects dans le dossier spam) et reject (rejeter compl\u00e8tement les e-mails). De plus, DMARC fournit un reporting : des rapports quotidiens montrent qui envoie des e-mails en votre nom, quels e-mails passent SPF et DKIM et lesquels \u00e9chouent. Ces rapports sont pr\u00e9cieux pour identifier le shadow IT et les fournisseurs tiers non autoris\u00e9s.<\/p>\n<\/div>\n<\/div>\n<\/div>\n SPF et DKIM seuls ne suffisent pas. Sans DMARC, il n’y a aucune politique indiquant au serveur r\u00e9cepteur ce qu’il doit faire en cas d’\u00e9chec d’authentification. Cela signifie que m\u00eame si SPF et DKIM sont correctement configur\u00e9s, un attaquant peut toujours envoyer des e-mails avec une adresse exp\u00e9diteur falsifi\u00e9e qui ne passe ni SPF ni DKIM, et le serveur r\u00e9cepteur d\u00e9cide selon sa propre appr\u00e9ciation ce qu’il faut en faire.<\/p>\n 64 %<\/p>\n des domaines e-mail disposent d’un enregistrement DMARC en 2026. Mais seuls 4 % appliquent la politique la plus stricte (reject). Le reste se contente d’observer.<\/p>\n 4,88 millions USD<\/p>\n co\u00fbt moyen d’une violation par phishing en 2025. L’e-mail reste le principal vecteur d’attaque pour le phishing et la fraude au pr\u00e9sident.<\/p>\n 41 %<\/p>\n des banques n’ont aucune protection DMARC. Dans les secteurs r\u00e9glement\u00e9s notamment, une faille dangereuse subsiste.<\/p>\n Sources : EasyDMARC Adoption Report 2026, IBM Cost of a Data Breach 2025, PowerDMARC Security Trends 2026<\/p>\n<\/div>\n La vague d’enforcement des grands fournisseurs de messagerie a consid\u00e9rablement accru l’urgence. Google et Yahoo ont rendu DMARC obligatoire pour les exp\u00e9diteurs en masse en f\u00e9vrier 2024. Gmail a \u00e9t\u00e9 encore plus loin en novembre 2025 en commen\u00e7ant \u00e0 rejeter directement les e-mails non conformes au lieu de simplement les marquer. Microsoft a suivi en mai 2025 avec Outlook.com et Microsoft 365. Ceux qui n’ont pas d’enregistrement DMARC valide risquent que leurs e-mails professionnels ne parviennent tout simplement plus \u00e0 destination.<\/p>\n Pour les entreprises en France, un aspect suppl\u00e9mentaire entre en jeu : l’usurpation de domaine est un outil privil\u00e9gi\u00e9 pour la fraude au pr\u00e9sident et l’escroquerie aux fausses factures. Un attaquant qui peut envoyer des e-mails au nom de votre domaine, parce qu’aucun reject DMARC n’est actif, peut atteindre vos clients avec de fausses factures ou des instructions de paiement. Le pr\u00e9judice de r\u00e9putation d’une telle attaque d\u00e9passe de loin le co\u00fbt de la mise en place de DMARC. Et les dommages ne touchent pas seulement votre propre entreprise : les clients et partenaires qui tombent dans le pi\u00e8ge des faux e-mails subissent \u00e9galement des pertes financi\u00e8res et perdent confiance en votre marque.<\/p>\n Les protocoles ne sont pas complexes, mais leur mise en oeuvre comporte des pi\u00e8ges. Les cinq erreurs suivantes causent la plupart des probl\u00e8mes dans les PME.<\/p>\n SPF avec plus de 10 consultations DNS :<\/strong> Chaque entr\u00e9e include dans l’enregistrement SPF g\u00e9n\u00e8re des requ\u00eates DNS. Les entreprises qui utilisent simultan\u00e9ment Salesforce, HubSpot, Mailchimp et Microsoft 365 d\u00e9passent rapidement la limite de 10 consultations. La cons\u00e9quence : l’enregistrement SPF est compl\u00e8tement ignor\u00e9. La solution est le SPF flattening, dans lequel les consultations imbriqu\u00e9es sont r\u00e9solues en plages d’IP directes.<\/p>\n Cl\u00e9s DKIM jamais renouvel\u00e9es :<\/strong> Les cl\u00e9s DKIM doivent \u00eatre chang\u00e9es tous les six \u00e0 douze mois. De nombreuses entreprises configurent DKIM une fois et oublient la rotation. Une cl\u00e9 priv\u00e9e compromise permet aux attaquants d’envoyer des e-mails valablement sign\u00e9s en votre nom.<\/p>\n DMARC directement en reject :<\/strong> Ceux qui d\u00e9marrent DMARC directement avec la politique reject risquent de bloquer des e-mails l\u00e9gitimes de fournisseurs tiers. La voie s\u00e9curis\u00e9e : commencer avec none, analyser les rapports pendant deux \u00e0 quatre semaines, puis passer \u00e0 quarantine et, apr\u00e8s deux semaines suppl\u00e9mentaires, passer \u00e0 reject.<\/p>\n Oublier les sous-domaines :<\/strong> DMARC s’applique par d\u00e9faut uniquement au domaine principal. Les sous-domaines comme mail.entreprise.fr ou newsletter.entreprise.fr ont besoin soit de leur propre enregistrement DMARC, soit la politique du domaine principal doit d\u00e9finir le param\u00e8tre sp= (politique des sous-domaines). Les attaquants exploitent d\u00e9lib\u00e9r\u00e9ment les sous-domaines non prot\u00e9g\u00e9s pour l’usurpation.<\/p>\n Ne pas analyser les rapports :<\/strong> Les rapports DMARC sont envoy\u00e9s en XML \u00e0 l’adresse indiqu\u00e9e dans l’enregistrement. Sans outil d’analyse, ils sont pratiquement inutilisables. Des services comme dmarcian, EasyDMARC ou Valimail visualisent les donn\u00e9es et montrent quelles sources envoient des e-mails en votre nom. Cette transparence est la v\u00e9ritable valeur ajout\u00e9e de DMARC en mode monitoring.<\/p>\n Jour 1 : \u00e9tat des lieux<\/strong><\/p>\n Jour 2 : configurer SPF<\/strong><\/p>\n Jour 3 : configurer DKIM<\/strong><\/p>\n Jour 4 : d\u00e9marrer DMARC en mode monitoring<\/strong><\/p>\n Jour 5 \u00e0 semaine 6 : durcissement progressif<\/strong><\/p>\n L’authentification des e-mails n’est plus une bonne pratique optionnelle, elle est obligatoire. Ceux qui n’ont pas d’enregistrement DMARC avec enforcement risquent \u00e0 la fois des probl\u00e8mes de d\u00e9livrabilit\u00e9 chez Google, Yahoo et Microsoft, et l’utilisation abusive de leur domaine pour des attaques de phishing. La mise en place ne n\u00e9cessite ni logiciel co\u00fbteux ni projet de conseil externe. Elle requiert de la rigueur dans l’\u00e9tat des lieux, de la patience dans le durcissement progressif et la discipline d’analyser r\u00e9guli\u00e8rement les rapports.<\/p>\n Commencez d\u00e8s aujourd’hui par une v\u00e9rification SPF de votre domaine principal. V\u00e9rifiez si une cl\u00e9 DKIM est publi\u00e9e. Et si aucun enregistrement DMARC n’existe : configurez-le avec p=none et une adresse de reporting. Les rapports seuls vous montreront qui envoie des e-mails en votre nom. Le r\u00e9sultat est souvent surprenant et presque toujours porteur d’actions.<\/p>\n Une derni\u00e8re remarque pour les entreprises qui ont d\u00e9j\u00e0 configur\u00e9 SPF et DKIM, mais h\u00e9sitent sur DMARC : le mode monitoring (p=none) n’a aucun impact sur la d\u00e9livrabilit\u00e9 de vos e-mails. Il collecte exclusivement des donn\u00e9es. Il n’y a aucune raison de reporter cette \u00e9tape. La transparence qu’offrent les rapports DMARC est en elle-m\u00eame d\u00e9j\u00e0 un gain de s\u00e9curit\u00e9, avant m\u00eame que le premier e-mail ne soit bloqu\u00e9.<\/p>\n Sans DMARC, les attaquants peuvent envoyer des e-mails au nom de votre domaine sans que les serveurs r\u00e9cepteurs aient une politique pour les bloquer. Depuis novembre 2025, Gmail rejette les e-mails en masse non conformes. Microsoft 365 a suivi en mai 2025. Vos e-mails professionnels peuvent atterrir dans le spam ou \u00eatre compl\u00e8tement rejet\u00e9s, tandis que les e-mails de phishing avec votre domaine passent librement.<\/p>\n D’abord SPF, puis DKIM, puis DMARC. SPF est le point d’entr\u00e9e le plus simple et ne n\u00e9cessite qu’un enregistrement DNS. DKIM n\u00e9cessite une paire de cl\u00e9s et une configuration sur le serveur de messagerie. DMARC suppose qu’au moins l’un des deux autres protocoles fonctionne, de pr\u00e9f\u00e9rence les deux. D\u00e9marrez toujours DMARC avec p=none et durcissez progressivement.<\/p>\n La norme SPF autorise un maximum de 10 consultations DNS par v\u00e9rification. Chaque entr\u00e9e include dans votre enregistrement SPF g\u00e9n\u00e8re au moins une consultation. Les entreprises qui utilisent de nombreux services tiers pour l’envoi d’e-mails d\u00e9passent rapidement cette limite. Si la limite est d\u00e9pass\u00e9e, l’int\u00e9gralit\u00e9 de l’enregistrement SPF est ignor\u00e9e, ce qui est pire que de ne pas avoir de SPF du tout. La solution est le SPF flattening ou la consolidation de l’infrastructure d’envoi.<\/p>\n La configuration technique prend une journ\u00e9e. Il faut quatre \u00e0 six semaines avant que la politique reject soit active et s\u00e9curis\u00e9e. Pendant cette p\u00e9riode, DMARC fonctionne en mode monitoring (p=none) et collecte des rapports sur qui envoie des e-mails en votre nom. Cette phase est cruciale pour identifier les fournisseurs tiers l\u00e9gitimes et \u00e9viter de les bloquer par inadvertance.<\/p>\n Pas pour la configuration. SPF, DKIM et DMARC sont des enregistrements DNS qui peuvent \u00eatre d\u00e9finis avec n’importe quel fournisseur DNS. Pour l’analyse des rapports DMARC, un outil d’analyse est toutefois vivement recommand\u00e9. Les rapports arrivent sous forme de fichiers XML et sont difficiles \u00e0 exploiter sans visualisation. Des services comme dmarcian, EasyDMARC, Valimail ou PowerDMARC proposent des tableaux de bord clairs \u00e0 partir d’environ 100 euros par an pour les petites entreprises.<\/p>\nL’essentiel en bref<\/h2>\n
\n
Trois protocoles, un objectif : qui peut envoyer des e-mails en votre nom ?<\/h2>\n
SPF, DKIM et DMARC en comparaison<\/h2>\n
\n\n
\n \nCrit\u00e8re<\/th>\n SPF<\/th>\n DKIM<\/th>\n DMARC<\/th>\n<\/tr>\n<\/thead>\n \n Ce qui est v\u00e9rifi\u00e9<\/td>\n IP du serveur exp\u00e9diteur<\/td>\n Signature cryptographique<\/td>\n Alignement SPF + DKIM<\/td>\n<\/tr>\n \n Protection contre<\/td>\n Serveurs non autoris\u00e9s<\/td>\n Manipulation du contenu<\/td>\n Usurpation de domaine<\/td>\n<\/tr>\n \n Type d’enregistrement DNS<\/td>\n TXT<\/td>\n TXT (CNAME chez les fournisseurs)<\/td>\n TXT<\/td>\n<\/tr>\n \n Effort de configuration<\/td>\n Faible (1 enregistrement DNS)<\/td>\n Moyen (paire de cl\u00e9s + config)<\/td>\n Moyen \u00e0 \u00e9lev\u00e9 (r\u00e9glage de politique)<\/td>\n<\/tr>\n \n Erreur la plus fr\u00e9quente<\/td>\n Plus de 10 consultations DNS<\/td>\n Rotation de cl\u00e9 oubli\u00e9e<\/td>\n Passer directement \u00e0 reject sans progressivit\u00e9<\/td>\n<\/tr>\n \n Adoption 2026<\/td>\n 93 %<\/td>\n 90 %<\/td>\n 64 % (seulement 4 % en reject)<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n Pourquoi DMARC est le maillon critique<\/h2>\n
Les erreurs les plus fr\u00e9quentes lors de la configuration<\/h2>\n
Checklist : configurer l’authentification e-mail en 5 jours<\/h2>\n
\n
\n
\n
\n
\n
Conclusion : trois enregistrements DNS qui prot\u00e8gent votre domaine<\/h2>\n
Questions fr\u00e9quentes<\/h2>\n
Que se passe-t-il si je ne configure pas DMARC ?<\/h3>\n
Dans quel ordre configurer SPF, DKIM et DMARC ?<\/h3>\n
Qu’est-ce que la limite de 10 consultations DNS pour SPF ?<\/h3>\n
Combien de temps faut-il pour que DMARC soit effectif ?<\/h3>\n
Ai-je besoin d’un outil sp\u00e9cial pour DMARC ?<\/h3>\n
Lectures recommand\u00e9es<\/h2>\n
\n