SPF, DKIM et DMARC : le guide complet pour protéger votre domaine (2026)

Pourquoi SPF, DKIM et DMARC sont essentiels

Par défaut, le protocole email (SMTP) ne vérifie pas l'identité de l'expéditeur. N'importe qui peut envoyer un email en prétendant venir de contact@votre-domaine.fr. C'est ce qu'on appelle le spoofing ou usurpation d'identité.

Les conséquences sont directes : vos clients reçoivent des emails frauduleux soi-disant envoyés par vous, votre réputation d'expéditeur se dégrade, et Gmail ou Outlook commencent à passer vos vrais emails en spam.

SPF, DKIM et DMARC forment un système à trois niveaux qui résout ce problème :

Protocole	Ce qu'il fait	Type DNS
SPF	Déclare quels serveurs sont autorisés à envoyer pour votre domaine	TXT
DKIM	Signe chaque email avec une clé cryptographique vérifiable	TXT
DMARC	Dit aux serveurs destinataires quoi faire en cas d'échec SPF ou DKIM	TXT

INFO

Règle de Google et Yahoo (2024) : depuis février 2024, Gmail et Yahoo exigent SPF + DMARC pour tous les expéditeurs de masse. Sans ça, vos emails arrivent en spam ou sont rejetés.

1. Configurer SPF

SPF (Sender Policy Framework) s'ajoute comme un enregistrement TXT à la racine de votre domaine. Il liste les adresses IP ou services autorisés à envoyer des emails en votre nom.

Structure d'un enregistrement SPF

v=spf1 include:_spf.google.com include:sendgrid.net ~all
│         │                         │                    │
│         └─ Gmail autorisé        └─ SendGrid autorisé  └─ Échec doux (~) ou rejet (-)
└─ Version SPF (toujours v=spf1)

La directive finale est cruciale :

~all — softfail : les emails non autorisés arrivent quand même mais sont marqués (recommandé pour commencer)
-all — fail : les emails non autorisés sont rejetés (recommandé une fois stabilisé)
?all — neutral : ne fait rien, à éviter

Exemples selon votre fournisseur d'email

Service	Directive à inclure
Google Workspace	`include:_spf.google.com`
Microsoft 365	`include:spf.protection.outlook.com`
OVH	`include:mx.ovh.com`
Infomaniak	`include:_spf.infomaniak.com`
Brevo (ex-Sendinblue)	`include:sendinblue.com`
Mailchimp	`include:servers.mcsv.net`

WARN

Limite des 10 lookups DNS : un enregistrement SPF ne peut déclencher que 10 requêtes DNS (inclusions). Si vous avez beaucoup de services, utilisez un outil de "flattening" SPF pour aplatir les inclusions en adresses IP directes.

2. Configurer DKIM

DKIM (DomainKeys Identified Mail) fonctionne avec une paire de clés cryptographiques. Votre serveur d'envoi signe chaque email avec une clé privée. Le destinataire vérifie la signature avec la clé publique publiée dans vos DNS.

Où trouver votre clé DKIM

La clé DKIM est générée par votre service d'envoi, pas par vous. Dans votre interface :

Google Workspace : Admin Console → Apps → Google Workspace → Gmail → Authentifier les e-mails
Microsoft 365 : Defender → Email & Collaboration → Policies → DKIM
Brevo / Mailchimp : Paramètres → Expéditeurs → DKIM

Votre service vous donnera un enregistrement DNS à ajouter, qui ressemble à ceci :

Nom du champ DNS :
google._domainkey.votre-domaine.fr

Valeur (enregistrement TXT) :
v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQ...

Le préfixe (google, s1, mail…) est appelé le sélecteur DKIM. Vous pouvez en avoir plusieurs, un par service d'envoi, sur le même domaine.

Clé de 2048 bits minimum : les clés de 1024 bits sont considérées obsolètes. Assurez-vous que votre service génère des clés de 2048 bits lors de la configuration DKIM.

3. Configurer DMARC

DMARC est le chef d'orchestre. Il indique aux serveurs destinataires quoi faire quand un email échoue la vérification SPF ou DKIM. Il vous envoie aussi des rapports quotidiens sur qui envoie des emails depuis votre domaine.

Structure d'un enregistrement DMARC

L'enregistrement DMARC s'ajoute sur _dmarc.votre-domaine.fr en tant que TXT :

v=DMARC1; p=quarantine; rua=mailto:dmarc@votre-domaine.fr; pct=100; adkim=s; aspf=s
          │               │                              │          │         │
          └─ Politique    └─ Rapports agrégés           └─ 100%    └─ DKIM  └─ SPF
             (none/        (adresse de réception)         des        strict   strict
              quarantine/                                  emails
              reject)

Les trois politiques DMARC

Politique	Comportement	Quand l'utiliser
`p=none`	Surveille sans agir (emails délivrés normalement)	Phase de démarrage — collectez des rapports
`p=quarantine`	Emails suspects mis en spam	Après avoir analysé les rapports (2–4 semaines)
`p=reject`	Emails suspects rejetés complètement	Configuration finale, protection maximale

Lire les rapports DMARC

Les rapports DMARC arrivent en XML brut — illisibles directement. Utilisez des services gratuits comme DMARC Analyzer, MXToolbox ou Postmark DMARC pour les visualiser et identifier quels services envoient pour votre domaine.

4. Dans quel ordre les déployer

L'ordre est important pour éviter de bloquer vos emails légitimes :

Commencez par SPF — listez tous vos services d'envoi, terminez par ~all
Activez DKIM — généralement en cliquant "Activer" dans votre service d'email, puis en ajoutant le TXT DNS fourni
Ajoutez DMARC avec p=none — récoltez les rapports pendant 2 à 4 semaines pour identifier les sources légitimes
Passez à p=quarantine une fois tous les services légitimes identifiés et configurés
Finissez sur p=reject pour une protection maximale

Vérifiez votre configuration SPF, DKIM et DMARC

Le scanner Wezea analyse votre domaine en 60 secondes : présence et validité de SPF, DKIM, DMARC, politique appliquée, et recommandations concrètes.

→ Scanner mon domaine gratuitement

Sans inscription · Résultats en 60 secondes · Rapport PDF disponible

5. Vérifier votre configuration

Une fois les enregistrements DNS ajoutés, attendez 15 à 30 minutes (propagation DNS) puis vérifiez :

En ligne : MXToolbox SPF Checker, DMARC Analyzer, mail-tester.com
En ligne de commande — vérifier SPF :

# Vérifier SPF
dig TXT votre-domaine.fr | grep spf

# Vérifier DMARC
dig TXT _dmarc.votre-domaine.fr

# Vérifier DKIM (remplacer "google" par votre sélecteur)
dig TXT google._domainkey.votre-domaine.fr

6. Erreurs courantes à éviter

Plusieurs enregistrements SPF — vous ne pouvez avoir qu'un seul enregistrement SPF par domaine. Si vous en avez deux, les serveurs ne sauront lequel prendre et les deux seront ignorés.
Oublier un service d'envoi — chaque outil qui envoie en votre nom (CRM, helpdesk, newsletter…) doit être inclus dans SPF et avoir son DKIM configuré.
Passer trop vite à p=reject — sans avoir analysé les rapports DMARC, vous risquez de bloquer des emails légitimes.
Ne pas surveiller les rapports — les rapports DMARC sont votre tableau de bord. Sans eux, vous ignorez si quelqu'un usurpe votre domaine en ce moment.
Appliquer DMARC sur des sous-domaines oubliés — sp=reject dans votre enregistrement DMARC applique la politique aux sous-domaines. Utile si vous en avez que vous n'utilisez pas pour l'email.

Checklist finale :

Un seul enregistrement SPF avec tous vos services
DKIM activé et TXT DNS ajouté pour chaque service d'envoi
DMARC avec p=none et adresse de rapport valide
Propagation DNS vérifiée (15–30 min après modification)
Rapports lus et analysés avant de passer à quarantine

Votre domaine est-il correctement configuré ?

Analysez votre domaine maintenant : SPF, DKIM, DMARC, SSL, ports ouverts et plus. Score de sécurité global en 60 secondes.

→ Analyser mon domaine

Gratuit · Sans installation · Rapport PDF exportable