FrozenSpam
EN Démarrer pour 1 €

Configurer SPF, DKIM et DMARC en 20 minutes

Les trois enregistrements DNS d'authentification email expliqués + configuration en sécurité (sans casser votre mail légitime). Procédure validée par 12 ans de production.

Pré-requis

  • Accès à votre interface DNS (OVH, Gandi, Cloudflare, Route 53, etc.)
  • Liste de TOUS les services qui envoient des mails depuis votre domaine : MTA principal (M365, Workspace, Exchange), services tiers (Mailchimp, Brevo, SendGrid, factures Stripe, support Helpscout, etc.)

Étape 1 — Configurer SPF (5 minutes)

SPF liste les serveurs IP autorisés à envoyer du mail au nom de votre domaine. Cf définition.

Exemple pour un domaine sur M365 + Brevo + FrozenSpam :

votredomaine.fr.  IN  TXT  "v=spf1 include:spf.protection.outlook.com include:spf.sendinblue.com ip4:54.37.215.172 -all"

Important : un seul record SPF par domaine. Combinez tout dans une seule ligne avec des include:.

Démarrez avec ~all (softfail) si vous n'êtes pas sûr d'avoir listé tous vos émetteurs. Passez à -all après 1 semaine sans incident.

Étape 2 — Configurer DKIM (10 minutes)

DKIM signe cryptographiquement chaque mail. Chaque service émetteur a son propre sélecteur DKIM.

DKIM pour M365 / Microsoft 365

Dans Microsoft Defender → Email & collaboration → Policies → DKIM : activer DKIM pour votre domaine. Microsoft génère deux records CNAME que vous ajoutez à votre DNS :

selector1._domainkey.votredomaine.fr  CNAME  selector1-...domainkey.....onmicrosoft.com.
selector2._domainkey.votredomaine.fr  CNAME  selector2-...domainkey.....onmicrosoft.com.

DKIM pour Gmail Workspace

Admin Console Workspace → Apps → Google Workspace → Gmail → Authenticate email. Cliquez « Generate new record ». Ajoutez le record TXT généré au DNS :

google._domainkey.votredomaine.fr  IN  TXT  "v=DKIM1; k=rsa; p=MIIB..."

DKIM pour services tiers (Brevo, Mailchimp, SendGrid)

Chaque service fournit ses propres records DKIM. Suivez leur procédure de vérification de domaine. Ils vérifient automatiquement la propagation et activent la signature.

Étape 3 — Activer DMARC en mode monitor (5 minutes)

Avant tout DMARC strict : déployez en mode monitor pendant 4 semaines pour récupérer les rapports et identifier des envois légitimes que vous auriez oubliés.

_dmarc.votredomaine.fr.  IN  TXT  "v=DMARC1; p=none; rua=mailto:dmarc-reports@votredomaine.fr; pct=100"

Créez une adresse dmarc-reports@votredomaine.fr (ou utilisez un service gratuit comme DMARC Digests de Postmark) pour recevoir les rapports.

Étape 4 — Analyser les rapports DMARC (4 semaines)

Pendant 4 semaines, examinez les rapports. Identifiez les sources d'envoi qui échouent SPF ou DKIM. Pour chacune :

  • Si source légitime oubliée → l'ajouter à votre SPF ou activer son DKIM
  • Si usurpation → noter, ces mails seront bloqués en étape suivante

Étape 5 — Passer en DMARC quarantine puis reject

Après 4 semaines de monitor, passez à :

v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@votredomaine.fr; pct=100; adkim=s; aspf=s

Après 4-8 semaines en quarantine sans incident, passez à p=reject. C'est la politique recommandée en production.

Vérification finale

Utilisez mail-tester.com pour valider votre configuration. Score cible : 10/10. C'est ce qu'on a obtenu sur FrozenSpam le 23 mai 2026 — viable.

Pièges courants

  • Plusieurs records SPF dans la même zone → cause un fail. Toujours UN seul record SPF.
  • Limite de 10 lookups DNS SPF dépassée si trop d'includes. Utilisez SPF Validator pour vérifier.
  • DKIM non aligné avec From: → DMARC fail. Vérifier que le domaine de signature DKIM correspond au domaine `From:` visible.
  • Passer direct en `p=reject` sans monitor → casse votre mail légitime sur des sources oubliées. Toujours monitor d'abord.

Voir aussi