SPF, DKIM, DMARC : les 3 boucliers anti-spam que toute entreprise du 04 doit activer

Pourquoi vos emails pro sont en danger sans ces 3 réglages

Chaque jour, des TPE et PME des Alpes-de-Haute-Provence envoient des devis, des factures, des confirmations de rendez-vous. Ces emails portent votre image. Si un cybercriminel peut envoyer un message en se faisant passer pour vous — avec votre domaine affiché — vos clients vont le croire. C'est ce qu'on appelle l'usurpation d'identité par email, ou email spoofing.

Sans protection, votre domaine est une porte ouverte. N'importe qui peut envoyer un email depuis contact@votre-entreprise.fr sans avoir accès à votre messagerie. Les conséquences sont concrètes :

• Vos vrais emails atterrissent en spam chez vos clients
• Des escrocs contactent vos fournisseurs ou clients en se faisant passer pour vous
• Votre réputation de domaine chute, vos campagnes commerciales ne passent plus
• Vous pouvez être blacklisté par les grands fournisseurs de messagerie (Gmail, Orange, La Poste…)

La bonne nouvelle : il existe trois mécanismes standards, éprouvés, et gratuits à activer. Ce sont SPF, DKIM et DMARC. Voici ce qu'ils font exactement — et comment les mettre en place.

SPF : déclarer qui a le droit d'envoyer des emails en votre nom

Le Sender Policy Framework (SPF) est un enregistrement texte que vous ajoutez dans votre zone DNS. Il liste les serveurs autorisés à envoyer des emails depuis votre domaine.

Concrètement, quand un serveur de messagerie reçoit un email qui prétend venir de @votre-domaine.fr, il va vérifier votre enregistrement SPF. Si l'adresse IP de l'expéditeur ne figure pas dans la liste, l'email est suspect.

À quoi ressemble un enregistrement SPF ?

Un enregistrement SPF typique ressemble à ceci dans votre zone DNS :

v=spf1 include:_spf.google.com include:spf.protection.outlook.com ~all

Ce que ça signifie : "Seuls les serveurs de Google et Microsoft sont autorisés à envoyer des emails pour ce domaine. Tout le reste est suspect (~all) ou à rejeter (-all)."

Si vous utilisez Microsoft 365, OVH, Infomaniak ou un autre hébergeur email, chacun fournit sa propre ligne SPF à intégrer. Il ne peut y avoir qu'un seul enregistrement SPF par domaine — si vous en avez plusieurs, ils s'annulent et SPF ne fonctionne pas.

DKIM : signer numériquement chaque email que vous envoyez

Le DomainKeys Identified Mail (DKIM) ajoute une signature cryptographique invisible à chaque email que vous envoyez. Le serveur destinataire peut vérifier cette signature grâce à une clé publique publiée dans votre DNS.

L'intérêt : si un attaquant intercepte votre email et le modifie (ou tente de le copier), la signature ne correspond plus. Le destinataire sait que le message a été altéré ou falsifié.

DKIM vs SPF : quelle différence ?

SPF vérifie d'où vient l'email (l'adresse IP du serveur expéditeur). DKIM vérifie que le contenu n'a pas été modifié et que l'email vient bien d'un expéditeur qui possède la clé privée. Les deux sont complémentaires — l'un sans l'autre laisse des failles.

Avec Microsoft 365 ou Google Workspace, DKIM est souvent activable en quelques clics depuis le panneau d'administration. Avec un hébergeur email classique (OVH, Infomaniak…), il faut générer la paire de clés et ajouter l'enregistrement DNS manuellement.

DMARC : la politique qui décide quoi faire en cas d'échec

SPF et DKIM détectent les problèmes. DMARC (Domain-based Message Authentication, Reporting and Conformance) décide de la marche à suivre quand un email échoue ces vérifications — et vous envoie des rapports.

Un enregistrement DMARC ressemble à ça :

v=DMARC1; p=quarantine; rua=mailto:dmarc@votre-domaine.fr; pct=100

Les trois politiques possibles :

• p=none : mode observation — les emails suspects passent quand même, mais vous recevez des rapports. Idéal pour démarrer.
• p=quarantine : les emails suspects vont en spam chez le destinataire.
• p=reject : les emails suspects sont bloqués et ne sont jamais délivrés. La protection maximale.

Les rapports DMARC (envoyés à l'adresse rua) vous permettent de voir qui envoie des emails en se faisant passer pour vous — et depuis quels serveurs. C'est une source d'information précieuse pour détecter une tentative d'usurpation.

Dans quel ordre activer SPF, DKIM et DMARC ?

L'ordre compte. Si vous activez DMARC en mode reject sans avoir configuré SPF et DKIM correctement, vous risquez de bloquer vos propres emails légitimes. Voici la séquence recommandée :

1. SPF d'abord — listez tous les services qui envoient des emails en votre nom (votre hébergeur email, votre logiciel de facturation, votre newsletter…)
2. DKIM ensuite — activez la signature sur votre serveur d'envoi principal
3. DMARC en mode none — observez les rapports pendant 2 à 4 semaines sans rien bloquer
4. Passez en quarantine une fois que vos emails légitimes passent tous les vérifications
5. Passez en reject quand vous êtes sûr de votre configuration

Cette progression évite les mauvaises surprises. Un artisan de Digne qui bloque accidentellement ses propres devis pendant une semaine, c'est du chiffre d'affaires en moins.

Le cas concret : email qui finit en spam chez vos clients

C'est la situation la plus courante que nous rencontrons à l'atelier TECHNOTREMENT. Un dirigeant nous appelle parce que ses clients ne reçoivent plus ses emails — ou les trouvent dans les indésirables. Dans 80 % des cas, la cause est l'absence ou la mauvaise configuration de SPF.

Gmail, Outlook et Yahoo ont durci leurs règles depuis 2024. Désormais, tout domaine sans SPF correctement configuré voit ses emails systématiquement orientés vers le dossier spam. Ce n'est pas un bug — c'est une décision délibérée des grands opérateurs pour lutter contre le spam de masse.

Si vous envoyez plus de 50 emails par jour depuis votre domaine professionnel, l'absence de ces trois enregistrements vous pénalise directement. Cela concerne aussi les emails transactionnels envoyés par votre logiciel de caisse, votre CRM ou votre plateforme de devis en ligne.

Pour aller plus loin sur la sécurité de votre messagerie, lisez aussi notre article sur que faire si votre mail est piraté — les réflexes d'urgence y sont détaillés étape par étape.

MTA-STS et BIMI : les 2 protections bonus à connaître

SPF, DKIM, DMARC forment le trio de base. Deux standards complémentaires peuvent renforcer encore votre posture email :

• MTA-STS (Mail Transfer Agent Strict Transport Security) : force le chiffrement des emails en transit entre serveurs. Empêche les attaques "man in the middle" sur vos emails professionnels.
• BIMI (Brand Indicators for Message Identification) : affiche votre logo dans la boîte mail du destinataire (Gmail, Apple Mail…). Réservé aux domaines avec DMARC en mode enforce — c'est aussi un signal de confiance fort pour vos contacts.

BIMI est encore peu déployé dans les TPE/PME du 04, mais il commence à faire la différence dans les secteurs où la confiance est clé : santé, cabinet comptable, notariat, assurance.

Comment vérifier si votre domaine est correctement protégé ?

Avant tout réglage, faites un diagnostic. Plusieurs outils gratuits en ligne vous permettent de vérifier l'état de vos enregistrements SPF, DKIM et DMARC en entrant simplement votre nom de domaine :

• MXToolbox (mxtoolbox.com) — diagnostic complet SPF, DKIM, DMARC, blacklists
• DMARC Analyzer — analyse des rapports DMARC
• Mail Tester (mail-tester.com) — envoyez un email test et obtenez un score de délivrabilité

Si votre domaine obtient un score inférieur à 8/10 sur Mail Tester, il y a très probablement un réglage à corriger. Si vous êtes blacklisté quelque part, MXToolbox vous le dira immédiatement.

Ces vérifications, nous les faisons systématiquement lors de nos audits de cybersécurité pour les entreprises du 04. C'est souvent la première chose qui saute aux yeux.

Qui gère ces réglages dans une TPE/PME ?

C'est souvent là que ça coince. Les enregistrements SPF, DKIM et DMARC se gèrent dans la zone DNS de votre domaine — chez votre registrar (OVH, Gandi, Ionos…) ou votre hébergeur web. Pas dans votre logiciel de messagerie.

Si votre site et vos emails sont gérés par des prestataires différents, il faut souvent coordonner les deux. Et si personne en interne ne touche à ces paramètres, ils restent aux valeurs par défaut — c'est-à-dire souvent sans protection.

Dans une TPE sans responsable IT, la configuration DNS est souvent oubliée pendant des années. Le dirigeant ne sait pas que c'est un problème jusqu'au jour où un client appelle pour dire qu'il a reçu un email bizarre "de votre part" lui demandant un virement.

C'est exactement le type d'attaque décrit dans notre article sur les arnaques informatiques et phishing — et SPF/DKIM/DMARC en sont la protection directe.

Ce que TECHNOTREMENT peut faire pour vous à Digne

À l'atelier, nous intervenons régulièrement chez des professionnels de Digne-les-Bains et des communes voisines (Sisteron, Manosque, Barcelonnette, Forcalquier…) pour auditer et sécuriser la messagerie d'entreprise.

Concrètement, on peut :

• Auditer l'état actuel de vos enregistrements email (SPF, DKIM, DMARC, blacklists)
• Configurer les trois enregistrements sur votre zone DNS, quel que soit votre hébergeur
• Mettre en place la lecture des rapports DMARC pour surveiller les tentatives d'usurpation
• Vérifier la cohérence avec votre suite Microsoft 365 ou Google Workspace
• Former votre équipe à reconnaître un email frauduleux — même bien habillé

Si votre entreprise souffre d'emails qui finissent en spam, ou si vous n'avez jamais vérifié ces réglages, c'est le bon moment. Une heure de travail peut éviter des mois de problèmes de délivrabilité — ou une arnaque coûteuse à votre comptable.

Pour une protection plus large de votre système d'information, découvrez notre service cybersécurité pour professionnels et notre contrat de maintenance informatique pour TPE.

FAQ : SPF, DKIM, DMARC en 4 questions pratiques

Est-ce que SPF, DKIM et DMARC suffisent à empêcher le spam ?

Ils protègent votre domaine contre l'usurpation, mais ne bloquent pas tous les spams que vous recevez. Pour filtrer les emails entrants, il faut un filtre antispam (inclus dans Microsoft 365 ou Google Workspace, ou à ajouter via une solution dédiée). SPF/DKIM/DMARC sont avant tout une protection pour vos destinataires et votre réputation d'expéditeur.

Mon hébergeur dit que SPF est déjà configuré. C'est suffisant ?

Pas forcément. Un SPF basique configuré automatiquement peut être incomplet si vous utilisez plusieurs services d'envoi (votre CRM, votre logiciel de devis, votre newsletter…). Il faut vérifier que tous vos expéditeurs légitimes sont bien listés. Et sans DKIM et DMARC, SPF seul ne suffit pas à protéger complètement votre domaine.

Ces réglages peuvent-ils bloquer mes propres emails ?

Oui, si la configuration est mauvaise. C'est pourquoi on démarre toujours DMARC en mode none (observation) avant de passer en mode restrictif. Une configuration mal faite de SPF peut aussi exclure des serveurs légitimes. C'est pour ça qu'un accompagnement professionnel est recommandé si vous n'êtes pas à l'aise avec les zones DNS.

Combien ça coûte de configurer SPF, DKIM et DMARC ?

Les standards eux-mêmes sont gratuits — c'est de la configuration DNS. Le coût, c'est le temps ou le prestataire qui le fait à votre place. Pour une TPE avec un seul domaine et un hébergeur email standard, comptez généralement une à deux heures d'intervention. Contactez-nous pour un devis précis selon votre situation à Digne ou dans le 04.