T
email-authentication spf dkim dmarc security dns

Guide Complet sur l'Authentification Email : SPF, DKIM et DMARC

Maîtrisez l'authentification des e-mails avec notre guide complet sur SPF, DKIM et DMARC. Apprenez à prévenir l'usurpation d'identité et à améliorer votre délivrabilité.

2026-04-12

Guide Complet sur l'Authentification Email : Maîtrisez SPF, DKIM et DMARC

L'authentification des e-mails est la pierre angulaire de la sécurité informatique moderne. Sans elle, vos e-mails sont vulnérables au "spoofing" (usurpation d'identité) et votre réputation d'expéditeur peut en souffrir, ce qui entraîne le blocage de vos messages légitimes ou leur placement en spam. Ce guide vous présente les trois piliers de l'authentification : SPF, DKIM et DMARC.

Qu'est-ce que l'Authentification Email ?

C'est un cadre technique utilisé pour vérifier qu'un message provient réellement de l'expéditeur qu'il prétend être. Aux débuts d'Internet, le protocole SMTP ne disposait d'aucune vérification intégrée, facilitant l'envoi d'e-mails frauduleux.

Aujourd'hui, nous utilisons trois protocoles principaux :

  • SPF (Sender Policy Framework) : Une liste d'adresses IP et de domaines autorisés.
  • DKIM (DomainKeys Identified Mail) : Une signature numérique garantissant que le message n'a pas été modifié.
  • DMARC (Domain-based Message Authentication, Reporting, and Conformance) : Une politique indiquant aux serveurs quoi faire si SPF ou DKIM échouent.

Principes Fondamentaux : Comment ils collaborent

1. SPF (Sender Policy Framework)

Le SPF est un enregistrement DNS qui répertorie toutes les IP autorisées à envoyer des e-mails au nom de votre domaine.

Fonctionnement :

  1. L'expéditeur envoie un e-mail.
  2. Le serveur de réception consulte l'enregistrement SPF dans le DNS du domaine expéditeur.
  3. Si l'IP de l'expéditeur figure dans la liste, le test est réussi.

Exemple de Syntaxe SPF : v=spf1 ip4:192.168.0.1 include:_spf.google.com ~all

  • v=spf1 : Identifiant de version.
  • ip4:192.168.0.1 : Autorise une IP spécifique.
  • include:_spf.google.com : Autorise les serveurs Google.
  • ~all : "Soft fail" (marquer comme spam si non autorisé). -all est un "Hard fail" (rejeter).

2. DKIM (DomainKeys Identified Mail)

Le DKIM ajoute une signature cryptographique à l'en-tête de l'e-mail, vérifiée via une clé publique dans votre DNS.

Fonctionnement :

  1. Le serveur d'envoi signe l'e-mail avec une clé privée.
  2. Le serveur de réception récupère la clé publique via un enregistrement DNS TXT.
  3. Le serveur vérifie la signature. Si elle correspond, l'e-mail est authentique.

3. DMARC (Domain-based Message Authentication)

Le DMARC lie SPF et DKIM. Il permet de spécifier une politique (none, quarantine ou reject) pour les e-mails échouant aux tests.

Exemple de Politique DMARC : v=DMARC1; p=quarantine; rua=mailto:[email protected]

  • p=quarantine : Déplace les e-mails suspects vers le dossier spam.
  • p=reject : Bloque totalement les e-mails suspects.
  • rua : Adresse pour recevoir les rapports d'activité.

Scénarios d'Application Réelle

Configuration de vos Enregistrements

La plupart des organisations utilisent un générateur d'enregistrement DKIM et un générateur d'enregistrement SPF pour créer la syntaxe correcte pour leur DNS.

Exemple pour une entreprise SaaS : Si vous utilisez Google Workspace et SendGrid, votre SPF ressemblera à : v=spf1 include:_spf.google.com include:sendgrid.net ~all

Vérification

Une fois configuré, utilisez un validateur DKIM ou un analyseur DMARC pour vous assurer que vos enregistrements fonctionnent. Une recherche d'enregistrement MX est également essentielle pour vérifier la configuration de vos serveurs.

Comparaison : SPF vs. DKIM vs. DMARC

Caractéristique SPF DKIM DMARC
Objectif Principal Vérifier l'IP de l'expéditeur Vérifier l'intégrité Définir politique et rapports
Enregistrement DNS TXT TXT (basé sur le Selector) TXT (_dmarc)
Point Fort Simple à configurer Résiste aux transferts d'e-mails Offre contrôle et visibilité
Faiblesse Échoue lors des transferts Ne vérifie pas l'identité seul Nécessite SPF/DKIM pour réussir

FAQ : Problèmes Courants et Solutions

Q : Pourquoi ai-je une "SPF syntax error" ?

R : Cela arrive souvent quand vous avez plusieurs enregistrements SPF. Vous ne devez avoir qu'un seul enregistrement SPF par domaine. Combinez-les en un seul via le mécanisme include:.

Q : Pourquoi ma "DKIM validation failed" ?

R : Causes fréquentes :

  1. Cache DNS : La propagation peut prendre jusqu'à 24h.
  2. Sélecteur Incorrect : Assurez-vous que le sélecteur DNS correspond à celui de votre service email.
  3. Erreur de Copie : Les clés DKIM sont longues, vérifiez l'absence d'espaces superflus.

Q : Comment utiliser un constructeur de politique DMARC efficacement ?

R : Commencez par p=none pour surveiller les rapports via votre analyseur DMARC. Une fois certain que vos sources légitimes sont authentifiées, passez à p=quarantine puis p=reject.

Outils Associés

  • Générateur d'Enregistrement SPF : Créez facilement vos enregistrements TXT.
  • Validateur DKIM : Vérifiez si vos signatures sont valides.
  • Analyseur DMARC : Surveillez votre statut d'authentification (Bientôt disponible !).
  • Recherche d'Enregistrement MX : Vérifiez les paramètres de votre domaine.
Retour au blog