SPF, DKIM, DMARC : pourquoi votre PME en a besoin

Pourquoi "j'ai un fournisseur email" ne suffit pas

Beaucoup de dirigeants de PME supposent qu'utiliser Google Workspace ou Microsoft 365 signifie automatiquement que leur email est sécurisé. Après tout, ce sont des plateformes de niveau entreprise avec d'excellentes réputations. Mais voici le problème : votre fournisseur email sécurise *l'infrastructure d'envoi* — pas *l'identité de votre domaine*.

Configurer SPF, DKIM et DMARC est votre responsabilité en tant que propriétaire du domaine. Sans eux, même le fournisseur email le plus réputé ne peut pas empêcher quelqu'un d'envoyer des emails frauduleux en votre nom.

SPF : qui a le droit d'envoyer en votre nom ?

SPF signifie Sender Policy Framework. C'est un enregistrement DNS de type TXT qui liste les serveurs de messagerie autorisés à envoyer des emails depuis votre domaine.

Lorsqu'un serveur de messagerie destinataire reçoit un email prétendant provenir de @votreentreprise.fr, il vérifie votre enregistrement SPF. Si le serveur expéditeur n'est pas sur la liste, SPF échoue.

Un enregistrement SPF typique pour une entreprise utilisant Google Workspace ressemble à ceci :

v=spf1 include:_spf.google.com -all

Le -all à la fin est crucial — il signifie "rejeter tout ce qui n'est pas sur cette liste." Utiliser ~all (softfail) à la place est une erreur courante qui permet aux emails non authentifiés d'atteindre quand même les boîtes de réception.

Pourquoi votre PME en a besoin : Sans SPF, n'importe quel serveur sur Internet peut envoyer des emails semblant provenir de votre domaine. Cela signifie que des factures frauduleuses, des emails de phishing et des attaques d'usurpation de fournisseurs peuvent contourner les filtres.

DKIM : prouver que vos emails n'ont pas été altérés

DKIM signifie DomainKeys Identified Mail. Là où SPF vérifie *qui* a envoyé l'email, DKIM vérifie *l'intégrité du contenu du message*.

Voici comment cela fonctionne : votre serveur mail attache une signature cryptographique à chaque email sortant. Cette signature est générée avec une clé privée stockée sur votre serveur mail. La clé publique correspondante est publiée comme enregistrement DNS. Quand le serveur destinataire reçoit votre email, il récupère votre clé publique et vérifie la signature. Si quoi que ce soit dans l'email a été modifié en transit — même un seul caractère — la signature est invalidée.

Pourquoi votre PME en a besoin : DKIM rend impossible la falsification de vos emails en transit. Il confirme également que le serveur de votre fournisseur email, et non une machine quelconque, a réellement envoyé le message. Sans DKIM, les en-têtes d'emails peuvent être falsifiés même si SPF passe.

DMARC : la politique qui relie tout

DMARC signifie Domain-based Message Authentication, Reporting and Conformance. C'est la couche qui connecte SPF et DKIM et indique aux serveurs de messagerie destinataires quoi faire lorsque les messages échouent à l'authentification.

Il existe trois niveaux de politique DMARC :

• `p=none` — Mode surveillance. Les emails sont toujours délivrés, mais DMARC vous envoie des rapports sur les échecs d'authentification. Idéal pour commencer.
• `p=quarantine` — Les emails suspects vont dans le dossier spam plutôt que la boîte de réception. Une bonne étape intermédiaire.
• `p=reject` — Les emails qui échouent à l'authentification sont rejetés. C'est la protection complète.

DMARC active également les rapports : vous recevez des rapports XML quotidiens montrant exactement quels serveurs envoient des emails en utilisant votre domaine, et s'ils passent ou échouent aux vérifications SPF et DKIM. Cette visibilité est précieuse — elle révèle des abus dont vous n'auriez autrement jamais connaissance.

Pourquoi votre PME en a besoin : Sans DMARC, passer SPF ou DKIM seul ne suffit pas à empêcher l'usurpation. Un acteur malveillant peut aligner un seul contrôle et livrer quand même des emails trompeurs. DMARC comble cette lacune et vous donne le contrôle sur la réputation email de votre domaine.

Le risque d'en avoir certains mais pas tous les trois

Voici un piège dans lequel tombent de nombreuses PME : elles configurent SPF mais ignorent DKIM et DMARC. Ou elles configurent DMARC mais le laissent en p=none indéfiniment.

SPF seul peut être contourné par la falsification d'en-têtes. DKIM seul n'indique pas aux serveurs destinataires quoi faire avec les emails non signés. DMARC sans SPF ni DKIM n'a rien à authentifier.

Les trois enregistrements doivent fonctionner ensemble. Un outil de vérification SPF DKIM DMARC vous montrera si votre configuration est complète — pas seulement si les enregistrements individuels existent.

Combien de temps faut-il pour les configurer ?

Pour une entreprise utilisant Google Workspace ou Microsoft 365 :

• SPF : 5 minutes — ajoutez un seul enregistrement DNS TXT via votre registraire
• DKIM : 15 minutes — générez des clés dans la console d'administration de votre fournisseur email, puis ajoutez l'enregistrement DNS
• DMARC : 10 minutes — créez un enregistrement DNS TXT simple ; commencez avec `p=none`, puis renforcez sur 30 jours

Investissement en temps total : moins d'une heure. Coût total : gratuit.

Vérifiez votre configuration actuelle

Vous ne savez pas si votre domaine a SPF, DKIM et DMARC correctement configurés ? L'analyse gratuite de SecuCheck vérifie les trois en quelques secondes et vous donne une explication claire de ce qui manque ou est mal configuré — ainsi qu'un score de sécurité domaine complet.

Lancez votre vérification SPF, DKIM, DMARC gratuite sur SecuCheck — obtenez votre score de sécurité domaine en 60 secondes.

Testez votre domaine maintenant

Vérifiez votre configuration en 60 secondes — gratuitement.