Si vos courriels aboutissent constamment dans les pourriels, ou si on vous a dit de « configurer SPF, DKIM et DMARC » sans savoir par où commencer, ce guide est votre feuille de route. Ces trois enregistrements sont l'épine dorsale de l'authentification des courriels — le système que les fournisseurs de messagerie utilisent pour décider si un message provient vraiment de votre domaine ou de quelqu'un qui se fait passer pour vous. Bien configurés, vos courriels sont dignes de confiance; laissés de côté, vous êtes à la merci des filtres antipourriel.

Pourquoi le courriel a-t-il besoin d'authentification

Le protocole qui transporte le courriel, le SMTP, a été conçu à une époque de confiance mutuelle et n'a aucun moyen intégré de vérifier l'expéditeur. N'importe qui peut se connecter à un serveur de courriel et prétendre être billing@yourbank.com. C'est précisément cette conception ouverte qu'exploitent les pollueurs et les hameçonneurs. L'authentification des courriels ajoute la preuve manquante : un ensemble d'enregistrements DNS qui permettent aux serveurs destinataires de confirmer, par voie cryptographique et administrative, qu'un message a été autorisé par le domaine dont il prétend provenir.

Depuis février 2024, Google et Yahoo exigent que chaque expéditeur s'authentifie, et les expéditeurs de masse doivent publier une politique DMARC. L'authentification n'est plus facultative ni « avancée » — c'est le prix d'entrée dans la boîte de réception.

Les trois enregistrements, en langage clair

SPF — qui est autorisé à envoyer

SPF (Sender Policy Framework) est une liste publiée des serveurs et services autorisés à envoyer du courrier au nom de votre domaine. Vous ajoutez un enregistrement TXT qui nomme votre fournisseur — par exemple include:_spf.google.com pour Google Workspace. Lorsqu'un serveur destinataire reçoit un message, il vérifie si le serveur expéditeur figure sur votre liste. Sinon, c'est un point contre le message.

DKIM — la preuve que le message n'a pas été falsifié ni altéré

DKIM (DomainKeys Identified Mail) joint une signature cryptographique à chaque message que vous envoyez. Votre fournisseur de courriel signe chaque message avec une clé privée; la clé publique correspondante réside dans votre DNS. Le destinataire récupère la clé publique, vérifie la signature et confirme deux choses : le message provient bel et bien de votre domaine, et rien n'y a été altéré durant le transit.

DMARC — quoi faire quand les vérifications échouent, et qui prévenir

DMARC (Domain-based Message Authentication, Reporting & Conformance) relie les deux autres. Il indique aux serveurs destinataires quoi faire du courrier qui échoue à SPF et à DKIM — ne rien faire, l'envoyer aux pourriels ou le rejeter carrément — et il leur demande de vous envoyer des rapports montrant qui envoie du courrier au nom de votre domaine. Sans DMARC, SPF et DKIM fonctionnent quand même, mais vous n'avez aucune politique ni aucune visibilité.

Comment ils fonctionnent ensemble : l'alignement

L'élément qui rend DMARC puissant est l'alignement. Il ne suffit pas que SPF ou DKIM réussisse simplement — le domaine qu'ils authentifient doit correspondre au domaine de l'adresse From: visible. Un pollueur peut facilement faire réussir SPF pour son propre domaine, mais il ne peut pas l'aligner sur le vôtre. DMARC ne réussit que lorsqu'au moins l'un de SPF ou de DKIM réussit et s'aligne sur le domaine From:. C'est cette exigence d'alignement qui stoppe réellement l'usurpation d'identité.

En une phrase : SPF répertorie vos expéditeurs, DKIM signe votre courrier et DMARC applique une politique et signale les abus — et l'alignement garantit que tout cela est lié au domaine que vos destinataires voient réellement.

L'ordre dans lequel les configurer

  1. SPF d'abord. C'est le plus simple — un seul enregistrement TXT répertoriant vos services d'envoi. La plupart des fournisseurs vous donnent la valeur exacte à publier.
  2. DKIM ensuite. Activez la signature dans la console d'administration de votre fournisseur de courriel; elle vous donne un enregistrement (ou deux) à ajouter au DNS. Une fois publié, votre courrier est signé.
  3. DMARC en dernier. N'activez une politique DMARC qu'une fois que SPF et DKIM réussissent, et commencez en mode surveillance (p=none) afin de pouvoir lire les rapports avant de resserrer. Sauter directement à p=reject peut bloquer votre propre courrier légitime.

Idées fausses courantes

« J'ai SPF, donc je suis protégé. » SPF seul n'empêche pas l'usurpation de votre adresse From: visible, et il se brise lorsque le courrier est réacheminé. Il vous faut aussi DKIM et DMARC.

« DMARC va bloquer mes courriels. » Seulement si vous activez une politique d'application avant que votre vrai courrier ne s'authentifie. Démarré correctement, à p=none, DMARC ne change rien à la livraison — il ne fait que produire des rapports.

« C'est une configuration unique. » Chaque fois que vous ajoutez un nouveau service d'envoi (une plateforme d'infolettre, un CRM, un centre d'assistance), vous devez l'autoriser dans SPF et, idéalement, lui faire signer avec DKIM, sinon son courrier échouera à votre politique DMARC.

Vérifiez où vous en êtes

Le moyen le plus rapide de voir votre état actuel est de consulter les trois d'un seul coup. La vérification complète de domaine de MXHelper rapporte SPF, DKIM et DMARC ensemble, signale ce qui manque ou est mal configuré, et fournit des étapes propres à votre fournisseur pour corriger chacun. De là, vous pouvez lire les guides plus approfondis sur SPF, DKIM et la configuration de DMARC.