Vérifier SPF, DKIM et DMARC gratuitement : guide étape par étape
Pourquoi vérifier SPF, DKIM et DMARC en priorité
Avant d'investir dans des solutions de cybersécurité onéreuses, la première étape pour toute PME est de vérifier gratuitement sa configuration SPF, DKIM et DMARC. Ces trois enregistrements DNS sont la fondation de la sécurité email — et leur absence ou mauvaise configuration expose votre domaine à l'usurpation, sans coût pour l'attaquant.
La bonne nouvelle : il existe des outils gratuits efficaces pour effectuer cette vérification en quelques minutes.
Comprendre les trois enregistrements avant de les vérifier
SPF : la liste blanche de vos expéditeurs
Le Sender Policy Framework est un enregistrement DNS de type TXT qui liste explicitement les serveurs autorisés à envoyer des emails pour votre domaine. Voici à quoi ressemble un enregistrement SPF typique :
v=spf1 include:_spf.google.com include:sendgrid.net -allÉléments à vérifier :
- Le préfixe `v=spf1` est présent
- Tous vos services d'envoi sont listés (`include:` ou `ip4:`)
- Le suffixe est `-all` (hardfail) et non `~all` (softfail) ou `?all` (neutre)
- Il n'y a qu'un seul enregistrement SPF par domaine (les doublons cassent la validation)
DKIM : la signature numérique de vos emails
Le DomainKeys Identified Mail ajoute une signature cryptographique invisible dans les en-têtes de chaque email. Le serveur destinataire peut vérifier cette signature grâce à une clé publique publiée dans votre DNS.
Un enregistrement DKIM ressemble à :
v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQ...Ce que vous devez vérifier :
- La clé publique est publiée dans votre DNS (sous `selecteur._domainkey.votredomaine.fr`)
- La longueur de clé est d'au moins 2048 bits (les clés RSA 1024 bits sont dépréciées)
- Le sélecteur utilisé correspond bien à celui configuré dans votre fournisseur email
DMARC : la politique qui gouverne les deux autres
Le Domain-based Message Authentication, Reporting and Conformance s'appuie sur SPF et DKIM pour définir ce qui se passe quand un email échoue aux vérifications :
v=DMARC1; p=reject; rua=mailto:dmarc@votredomaine.fr; pct=100Points essentiels :
- La politique `p=` est idéalement `reject` ou au minimum `quarantine` (pas `none`)
- L'adresse `rua=` reçoit les rapports agrégés quotidiens
- `pct=100` applique la politique à 100 % des emails
Comment vérifier SPF, DKIM et DMARC gratuitement
Option 1 : ExpertCyberScore (recommandé)
La méthode la plus simple : entrez votre adresse email professionnelle sur ExpertCyberScore. En 60 secondes, l'outil vérifie automatiquement :
- La présence et la validité de votre SPF
- La publication et la force de votre clé DKIM
- La politique et la configuration de votre DMARC
- Votre certificat SSL/TLS
- Vos ports ouverts
- La santé globale de vos DNS
Vous recevez un score chiffré, une note littérale (A à F), et des recommandations précises pour chaque point.
Option 2 : La commande dig (vérification manuelle)
Pour vérifier directement depuis un terminal :
SPF :
dig TXT votredomaine.fr +short | grep "v=spf1"DMARC :
dig TXT _dmarc.votredomaine.fr +shortDKIM (remplacez "google" par le sélecteur de votre fournisseur) :
dig TXT google._domainkey.votredomaine.fr +shortSi la commande renvoie un résultat vide, l'enregistrement est absent ou mal configuré.
Les problèmes les plus courants et comment les corriger
Problème 1 : SPF absent
Diagnostic : La commande dig ne renvoie rien pour votre domaine.
Correction : Créez un enregistrement TXT chez votre registraire de domaine. Si vous utilisez Google Workspace :
v=spf1 include:_spf.google.com -allProblème 2 : Plusieurs enregistrements SPF
Diagnostic : dig renvoie deux lignes commençant par v=spf1.
Correction : Les multiples enregistrements SPF violent le RFC et cassent la validation. Fusionnez-les en un seul enregistrement en combinant les include: sur une seule ligne.
Problème 3 : DMARC en `p=none`
Diagnostic : Votre enregistrement DMARC existe mais contient p=none.
Correction : Après avoir confirmé que vos emails légitimes passent bien SPF et DKIM (visible dans les rapports DMARC), passez à p=quarantine puis p=reject.
Problème 4 : DKIM introuvable
Diagnostic : La commande dig ne retourne rien pour le sélecteur DKIM.
Correction : Dans la console d'administration de votre fournisseur email (Google Admin → Apps → Gmail → Authenticate email), générez une nouvelle paire de clés, puis publiez la clé publique dans votre DNS.
La fréquence idéale de vérification
Un audit SPF/DKIM/DMARC n'est pas une opération ponctuelle. Planifiez des vérifications :
- À chaque ajout d'un outil d'envoi (CRM, plateforme emailing, etc.)
- Trimestriellement pour détecter les dérives
- Après tout incident signalé par un client ou partenaire
ExpertCyberScore permet de relancer un scan en un clic, sans ré-enregistrement.
Vérifiez votre configuration maintenant
Ne laissez pas votre domaine exposé. Un test gratuit de 60 secondes vous donne une image complète de votre configuration SPF, DKIM et DMARC — avec exactement quoi corriger et comment.
Vérifiez gratuitement votre SPF, DKIM et DMARC maintenant sur ExpertCyberScore. Sans inscription, résultats instantanés.
Testez votre domaine maintenant
Vérifiez votre configuration en 60 secondes — gratuitement.
Scanner mon domaine