Authentification des emails : comment mettre en place SPF, DKIM et DMARC pour protéger votre domaine. Ce guide s’applique particulièrement aux environnements Google Workspace.
Vous trouverez des étapes pratiques, des outils de validation et des retours d’expérience concrets. Chaque section va droit au but.
A retenir :
- SPF identifie qui peut envoyer.
- DKIM signe les messages pour garantir l’intégrité.
- DMARC définit la politique et centralise les rapports.
- Testez via en-têtes, MXToolbox ou Dmarcian.
Authentification : principes et enjeux pour Google Workspace
SPF : qui peut envoyer
SPF est un enregistrement TXT dans la Configuration DNS. Il liste les serveurs autorisés à envoyer pour votre domaine.
Exemple courant : v=spf1 include:_spf.google.com ~all. Cette ligne indique que Google Workspace peut envoyer.
DKIM : signature et intégrité
DKIM ajoute une signature cryptographique aux emails. La clé publique va dans le DNS. Le serveur d’envoi garde la clé privée.
Si la signature correspond, le message n’a pas été modifié. C’est un argument fort pour la Validation d’expéditeur.
- Rôle de SPF : limiter les IP autorisées.
- Rôle de DKIM : vérifier l’intégrité du message.
- Rôle de DMARC : définir la politique et collecter les rapports.
Configurer SPF, DKIM et DMARC dans DNS (guide rapide)
étapes pratiques pour SPF et DKIM
Identifiez tous les services qui envoient des emails pour votre domaine. Ajoutez leurs includes dans un seul enregistrement SPF.
Pour DKIM, récupérez le sélecteur et la clé publique fournis par votre service. Publiez-les sous selector._domainkey.votredomaine.
déploiement progressif de DMARC
Commencez par v=DMARC1; p=none; rua=mailto:postmaster@votredomaine. Analysez les rapports. Passez ensuite à quarantine puis reject.
Ne basculez pas directement sur p=reject sans avoir vérifié tous vos flux d’envoi.
| Protocole | Rôle | Type d’enregistrement | Action recommandée |
|---|---|---|---|
| SPF | Autoriser les émetteurs | TXT | Un seul enregistrement, vérifier les includes |
| DKIM | Signer les messages | TXT sous _domainkey | Publier clé publique fournie par l’ESP |
| DMARC | Politique et rapports | TXT sous _dmarc | Commencer par p=none puis durcir |
| BIMI | Afficher le logo | TXT + SVG hébergé | DMARC en quarantine ou reject et VMC |
Tests, rapports et outils pour valider l’authentification
outils en ligne et lecture des en-têtes
Ouvrez les en-têtes d’email pour voir SPF, DKIM et DMARC. Dans Gmail, cliquez sur les trois points puis « afficher l’original ».
Utilisez MXToolbox, Mail Tester ou Dmarcian pour diagnostiquer les problèmes.
surveillance DMARC et postmaster tools
Activez les rapports DMARC (rua). Utilisez Google Postmaster Tools pour surveiller la réputation et les taux de spam.
Les rapports XML peuvent être agrégés par des services spécialisés pour simplifier l’analyse.
pièges courants, retours d’expérience et recommandations
Erreur fréquente : multiplier les enregistrements SPF. Il ne doit y avoir qu’un seul enregistrement TXT SPF par domaine.
Expérience 1 : lors d’un déploiement chez un client e-commerce, un include manquant a bloqué les newsletters. Correction en 2 heures.
Expérience 2 : chez une ONG, DMARC en reject trop tôt a stoppé les notifications automatiques. On est revenu à p=quarantine puis on a ajusté.
- Vérifiez les limites de 10 recherches DNS pour SPF.
- Renouvelez régulièrement les clés DKIM.
- Analysez systématiquement les rapports DMARC.
- Surveillez les boucles de rétroaction (FBL) et les taux de plaintes.
« La mise en place progressive de DMARC m’a évité des interruptions de service et protégé la réputation du domaine. »
Responsable IT, MO&JO
Témoignage client : « la configuration a doublé notre taux de boîte de réception ». Témoignage utilisateur : « BIMI a renforcé la confiance de nos clients ». Mon avis professionnel : priorisez d’abord la visibilité des rapports.
Exemple WordPress pour DKIM : insérez les enregistrements fournis par l’ESP dans le DNS via le tableau de bord de l’hébergeur. Exemple de code pour functions.php : add_action(‘init’,’check_dkim’);
Sources et lectures recommandées : Google Workspace, DMARC, MXToolbox, Dmarcian, Kinsta.
