# Comment configurer SPF, DKIM et DMARC : le guide complet
Vos emails arrivent en spam ? Votre domaine est usurpé pour des campagnes de phishing ? SPF, DKIM et DMARC sont les trois protocoles qui résolvent ces problèmes. Ce guide vous explique comment les configurer de A à Z, même sans être technicien.
## Pourquoi configurer SPF, DKIM et DMARC ?
Sans ces protocoles, n’importe qui peut envoyer un email en se faisant passer pour vous. Les serveurs email destinataires n’ont aucun moyen de vérifier que l’email vient vraiment de votre domaine.
Conséquences :
– Vos emails légitimes finissent en spam
– Des escrocs usurpent votre identité pour du phishing
– Votre réputation d’expéditeur se dégrade
– Votre délivrabilité chute
En 2024, Google et Yahoo ont rendu SPF, DKIM et DMARC obligatoires pour les expéditeurs en masse. Si vous n’êtes pas configuré, vos emails sont rejetés.
## Comprendre les trois protocoles
**SPF (Sender Policy Framework) :** Déclare quels serveurs sont autorisés à envoyer des emails depuis votre domaine. C’est une liste blanche d’IPs dans vos DNS.
**DKIM (DomainKeys Identified Mail) :** Ajoute une signature cryptographique à chaque email. Le serveur destinataire vérifie que l’email n’a pas été modifié en transit et qu’il vient bien de vous.
**DMARC (Domain-based Message Authentication, Reporting & Conformance) :** La politique qui dit aux serveurs destinataires quoi faire quand un email échoue SPF ou DKIM : livrer, mettre en quarantaine, ou rejeter.
## Étape 1 : Configurer SPF
### Comprendre la syntaxe SPF
SPF s’ajoute comme enregistrement TXT dans vos DNS. Syntaxe de base :
„`
v=spf1 include:_spf.google.com include:spf.sendinblue.com ~all
„`
– `v=spf1` : version SPF
– `include:` : autoriser les serveurs de cet outil
– `~all` : soft fail (emails non autorisés marqués spam, pas rejetés)
– `-all` : hard fail (emails non autorisés rejetés)
### Créer votre enregistrement SPF
**1. Identifiez vos outils d’envoi email :**
– Gmail / Google Workspace : `include:_spf.google.com`
– Brevo (ex-Sendinblue) : `include:spf.sendinblue.com`
– Mailchimp : `include:servers.mcsv.net`
– SendGrid : `include:sendgrid.net`
– Mailgun : `include:mailgun.org`
– Votre serveur propre : `ip4:X.X.X.X`
**2. Construisez votre enregistrement :**
„`
v=spf1 include:_spf.google.com include:spf.sendinblue.com ip4:203.0.113.1 ~all
„`
**3. Ajoutez l’enregistrement TXT dans vos DNS :**
– Nom : `@` (ou votre domaine)
– Type : `TXT`
– Valeur : votre enregistrement SPF
– TTL : 3600 (1 heure)
### Vérifier SPF
Utilisez MXToolbox (mxtoolbox.com/spf.aspx) pour vérifier :
1. Entrez votre domaine
2. Cliquez „SPF Record Lookup“
3. Vérifiez „Results“ → vous devriez voir „SPF Record Accepted“
**Règle d’or SPF :** Maximum 10 lookups DNS dans un enregistrement SPF. Si vous dépassez, ajoutez un outil comme dmarcian ou easydmarc pour aplatir votre SPF.
## Étape 2 : Configurer DKIM
### Comment fonctionne DKIM
DKIM utilise une paire de clés cryptographiques :
– **Clé privée** : sur votre serveur/outil d’envoi — signe chaque email
– **Clé publique** : dans vos DNS — permet la vérification
### Configurer DKIM sur Brevo
1. Dans Brevo → Paramètres → Expéditeurs & IP → Domaines
2. Cliquez sur votre domaine
3. Copiez les 3 enregistrements DNS fournis (CNAME)
4. Ajoutez-les dans vos DNS chez Cloudflare/OVH/Gandi
5. Attendez 15-30 min et cliquez „Vérifier“
### Configurer DKIM sur Google Workspace
1. Google Admin Console → Apps → Google Workspace → Gmail
2. Authentifier les emails
3. Sélectionnez votre domaine
4. Cliquez „Générer une nouvelle clé“
5. Copiez l’enregistrement TXT
6. Ajoutez dans vos DNS
7. Activez DKIM après 48h
### Vérifier DKIM
Envoyez un email depuis votre domaine vers mail-tester.com ou utilisez MXToolbox DKIM Lookup :
– Entrez votre domaine et le sélecteur DKIM (indiqué dans l’enregistrement DNS)
– Vérifiez „DKIM Record Published“
## Étape 3 : Configurer DMARC
### Commencer en mode monitoring
Commencez TOUJOURS avec une politique `p=none` (monitoring uniquement). Vous collectez les rapports sans bloquer aucun email.
„`
v=DMARC1; p=none; rua=mailto:dmarc@votredomaine.com; ruf=mailto:dmarc@votredomaine.com; fo=1;
„`
**Explication des paramètres :**
– `p=none` : politique de monitoring (aucune action)
– `rua=` : adresse pour les rapports agrégés (quotidiens)
– `ruf=` : adresse pour les rapports forensic (par email échoué)
– `fo=1` : rapport si SPF ou DKIM échoue
### Ajouter l’enregistrement DMARC dans vos DNS
– Nom : `_dmarc` (ou `_dmarc.votredomaine.com`)
– Type : `TXT`
– Valeur : votre enregistrement DMARC
– TTL : 3600
### Analyser les rapports DMARC
Les rapports DMARC sont en XML illisibles. Utilisez des outils gratuits :
– **Google Postmaster Tools** : pour les volumes élevés
– **dmarcian** : 30 jours gratuits
– **DMARC Digest** : rapports hebdomadaires gratuits
– **MXToolbox DMARC Analyzer** : gratuit
Après 2-4 semaines de monitoring :
1. Vérifiez que 95%+ de vos emails passent SPF ET DKIM
2. Identifiez les sources d’envoi légitimes non configurées
3. Corrigez les problèmes détectés
### Passer à une politique restrictive
**Étape intermédiaire (quarantaine 25%) :**
„`
v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@votredomaine.com;
„`
**Politique finale (rejet 100%) :**
„`
v=DMARC1; p=reject; rua=mailto:dmarc@votredomaine.com;
„`
Attendez 2-4 semaines à chaque étape avant de renforcer. Aller trop vite = bloquer vos propres emails.
## Checklist de vérification finale
✅ SPF configuré avec tous vos outils d’envoi
✅ DKIM activé sur chaque outil d’envoi
✅ DMARC en `p=none` pendant 30 jours minimum
✅ Rapports DMARC analysés
✅ Passage à `p=quarantine` puis `p=reject`
✅ Vérification sur mail-tester.com (score 10/10)
## L’impact sur votre délivrabilité
Une configuration complète SPF+DKIM+DMARC améliore typiquement :
– Taux d’inbox (vs spam) : +5-15 points
– Réputation d’expéditeur : significativement améliorée
– Protection phishing : blocage de l’usurpation de domaine
Avec les nouvelles exigences Google/Yahoo 2024, c’est désormais obligatoire pour tous les expéditeurs qui envoient plus de 5 000 emails/jour.
—
## Verwandte Artikel
– [Comment Utiliser Optimizely pour Améliorer votre Stratégie SEO en 2024](/comment-utiliser-optimizely-pour-amliorer-votre-stratgie-seo-en-2024-3/)
– [Comment Améliorer Votre SEO en 2024 : Guide Étapes Par Étapes](/comment-amliorer-votre-seo-en-2024-guide-tapes-par-tapes-3/)
– [Comment créer une base de connaissances interne efficace pour votre équipe](/creer-base-connaissances-interne-equipe-guide-3/)
– [MailerLite vs Brevo : lequel choisir pour votre email marketing ?](/mailerlite-vs-brevo-comparatif-2025-2/)