SPF, DKIM, DMARC : à quoi ça sert concrètement ?

SPF, DKIM et DMARC sont trois protocoles d'authentification des e-mails qui prouvent aux serveurs destinataires que vos messages proviennent bien de vous. Sans eux, n'importe qui peut envoyer un e-mail en se faisant passer pour votre entreprise. Ensemble, ils forment le socle indispensable de la délivrabilité et de la sécurité e-mail en 2026.

Pour une PME française, c'est devenu non négociable : depuis février 2024, Google et Yahoo exigent ces protocoles pour tout expéditeur dépassant 5 000 messages par jour. Et même en dessous de ce seuil, leur absence pénalise directement votre réputation d'expéditeur et augmente le risque de vous retrouver en spam.

Voici ce que fait chaque protocole en une phrase : SPF déclare quels serveurs ont le droit d'envoyer en votre nom, DKIM appose une signature cryptographique sur chaque message, et DMARC indique aux serveurs destinataires quoi faire si l'un des deux échoue.

SPF : déclarez vos expéditeurs autorisés

Le Sender Policy Framework (SPF) fonctionne comme une liste blanche publiée dans votre DNS. Quand un serveur reçoit un e-mail prétendant venir de votre domaine, il consulte cette liste pour vérifier que l'adresse IP d'envoi y figure.

Comment créer son enregistrement SPF

Rendez-vous dans l'interface de gestion DNS de votre hébergeur (OVH, Gandi, Infomaniak…). Créez un enregistrement de type TXT sur votre domaine racine. Une entrée SPF basique ressemble à ceci :

  • v=spf1 : indique la version du protocole
  • include:_spf.google.com : autorise Google Workspace si vous l'utilisez
  • include:sendgrid.net : autorise votre outil d'e-mailing
  • ~all : indique que tout autre serveur est suspect (softfail)

Attention : vous ne pouvez avoir qu'un seul enregistrement SPF par domaine. Si vous en avez plusieurs, ils entrent en conflit et le protocole échoue. Consolidez tout en une seule ligne.

Les erreurs SPF les plus fréquentes en PME

La première erreur est d'oublier d'inclure son outil de facturation ou son CRM dans l'enregistrement. La deuxième est de dépasser la limite de 10 consultations DNS (lookups) autorisées par le standard. Au-delà, le SPF est considéré comme invalide par certains serveurs. Utilisez un outil comme MXToolbox pour vérifier votre configuration gratuitement.

DKIM : la signature cryptographique de vos e-mails

DomainKeys Identified Mail (DKIM) ajoute une signature numérique invisible dans l'en-tête de chaque e-mail. Cette signature est générée avec une clé privée stockée sur votre serveur d'envoi, et vérifiable par quiconque grâce à la clé publique publiée dans votre DNS.

Concrètement, si un attaquant intercepte et modifie votre e-mail en transit, la signature ne correspond plus à la clé publique : le message est signalé comme altéré. C'est une protection à la fois contre l'usurpation et contre la manipulation du contenu.

Activer DKIM chez les principaux fournisseurs

La bonne nouvelle : la plupart des outils génèrent la paire de clés pour vous. Il vous suffit de copier-coller l'enregistrement TXT fourni dans votre DNS :

  • Google Workspace : Administration → Applications → Gmail → Authentifier les e-mails
  • Microsoft 365 : Defender Portal → Stratégies et règles → DKIM
  • Brevo / Sendinblue : Paramètres → Expéditeurs → Domaines
  • OVH Mail Pro : Espace client → DKIM activable en un clic depuis 2023

En 2026, la recommandation est d'utiliser des clés de 2048 bits minimum. Les clés de 1024 bits sont encore valides mais considérées comme fragiles face aux capacités de calcul actuelles, selon les recommandations de l'ANSSI.

DMARC : la politique qui donne des ordres

DMARC (Domain-based Message Authentication, Reporting and Conformance) est le chef d'orchestre. Il s'appuie sur SPF et DKIM pour décider du sort des e-mails qui échouent à l'authentification, et vous envoie des rapports pour surveiller ce qui se passe.

Un enregistrement DMARC se publie aussi en TXT dans votre DNS, sur le sous-domaine _dmarc.votredomaine.fr. Il contient trois éléments clés :

  • p=none : mode surveillance, aucune action (idéal pour démarrer)
  • p=quarantine : les e-mails suspects vont en spam
  • p=reject : les e-mails suspects sont bloqués définitivement

La stratégie recommandée pour une PME est de commencer avec p=none pendant 4 à 8 semaines, d'analyser les rapports reçus, puis de passer progressivement à quarantine et enfin reject. Brûler les étapes expose au risque de bloquer des e-mails légitimes envoyés par des outils que vous auriez oubliés dans votre SPF.

Lire et exploiter les rapports DMARC

DMARC génère deux types de rapports envoyés à l'adresse e-mail que vous spécifiez : les rapports agrégés (RUA) quotidiens, et les rapports forensiques (RUF) sur chaque échec individuel. Ces fichiers XML sont illisibles bruts, mais des outils gratuits comme DMARC Analyzer ou Postmark DMARC les rendent exploitables en quelques clics.

Ces rapports révèlent qui envoie des e-mails en votre nom : vos outils légitimes, mais aussi d'éventuels usurpateurs. C'est une mine d'or pour détecter un abus de domaine avant qu'il ne nuise à votre réputation.

Tableau comparatif : SPF, DKIM, DMARC en un coup d'œil

ProtocoleCe qu'il protègeOù se configureDélai de mise en place
SPFL'adresse IP d'envoiDNS (enregistrement TXT)15 à 30 minutes
DKIMLe contenu du messageDNS + votre outil d'envoi30 à 60 minutes
DMARCLa politique globaleDNS (enregistrement TXT)15 minutes + 4-8 semaines d'analyse

« Configurer SPF, DKIM et DMARC, c'est poser les fondations de votre crédibilité numérique. Un e-mail non authentifié, c'est une lettre sans enveloppe ni timbre : personne ne lui fait confiance. Chez FrozenSpam, nous considérons ces trois protocoles comme le minimum vital avant même de parler de filtrage anti-spam. »

Les erreurs critiques à éviter absolument

Selon le rapport Verizon DBIR 2024, 94 % des malwares sont encore distribués par e-mail. L'usurpation de domaine (spoofing) est l'un des vecteurs les plus utilisés contre les PME, précisément parce que leur configuration DNS est souvent négligée.

Voici les pièges les plus courants observés chez les PME françaises :

  • Politique DMARC à p=reject sans avoir vérifié SPF et DKIM : vous bloquerez vos propres e-mails légitimes.
  • Plusieurs enregistrements SPF sur le même domaine : résultat, le SPF échoue systématiquement.
  • Ignorer les sous-domaines : si vous utilisez newsletter.votredomaine.fr, il a besoin de sa propre configuration ou d'une politique DMARC avec sp=reject.
  • Ne jamais consulter les rapports DMARC : sans lecture régulière, vous passez à côté des signaux d'alerte.
  • Oublier de renouveler les clés DKIM : une rotation annuelle est recommandée par les experts en sécurité e-mail.

SPF, DKIM, DMARC et délivrabilité : le lien direct

L'authentification e-mail n'est pas qu'une question de sécurité : c'est un levier de délivrabilité direct. Les grandes messageries (Gmail, Outlook, Orange, La Poste) utilisent ces protocoles comme signal de confiance majeur dans leur algorithme de filtrage. Un domaine correctement authentifié atteint en moyenne un taux de délivrabilité supérieur de 10 à 15 points par rapport à un domaine non configuré, selon les benchmarks publiés par Return Path.

Pour les PME qui utilisent un outil de prospection commerciale ou d'e-mailing, c'est un enjeu économique direct : un e-mail en spam, c'est une opportunité perdue. Et quand c'est une facture ou un devis qui finit en courrier indésirable, c'est votre trésorerie qui en pâtit.

La combinaison SPF + DKIM + DMARC complète votre dispositif anti-spam côté émission. Côté réception, d'autres mécanismes entrent en jeu pour filtrer ce que vous recevez — c'est là qu'interviennent des solutions comme le défi-réponse pour éliminer les spams automatisés avant même qu'ils n'atteignent votre boîte.

Conclusion : configurez ces trois protocoles dès cette semaine

SPF, DKIM et DMARC forment un trio indissociable pour toute PME française qui prend son e-mail au sérieux en 2026. SPF déclare vos expéditeurs, DKIM signe vos messages, DMARC orchestre et surveille. Ensemble, ils protègent votre réputation, améliorent votre délivrabilité et réduisent le risque d'usurpation de votre domaine.

La mise en place prend moins d'une demi-journée pour un profil technique moyen. L'impact, lui, est immédiat et durable. Commencez par auditer votre configuration actuelle avec MXToolbox, puis suivez les étapes dans l'ordre : SPF d'abord, DKIM ensuite, DMARC en surveillance pendant un mois.

Vous souhaitez aller plus loin dans la protection de votre messagerie professionnelle ? Découvrez comment FrozenSpam complète ces protocoles côté réception en testant gratuitement notre solution sur /pilote, ou consultez nos formules adaptées aux PME sur /tarifs.