Tutoriel Cybersécurité & Cloud
Guide Définitif : Comprendre et configurer SPF, DKIM et DMARC sans se tromper
C'est le cauchemar de toute entreprise : envoyer un devis crucial, une facture ou une newsletter, et apprendre quelques jours plus tard que le message a atterri dans le dossier "Spam" du destinataire. Avec le durcissement récent des règles de sécurité imposées par Google et Yahoo, avoir une adresse e-mail professionnelle (ex: [email protected]) ne suffit plus. Il faut prouver votre identité.
Pour garantir votre délivrabilité, vous devez configurer la "Sainte Trinité" de la messagerie : SPF, DKIM et DMARC. Qu'est-ce que c'est ? Comment les configurer ? Quels générateurs gratuits utiliser ? Voici notre tutoriel clair et sans jargon technique inutile.
Pourquoi vos e-mails finissent-ils en spam ?
Sur Internet, envoyer un e-mail est comme envoyer une carte postale : par défaut, n'importe qui peut écrire n'importe quoi au dos de la carte, et écrire l'adresse d'expéditeur de son choix. C'est ce qu'on appelle l'usurpation d'identité (Spoofing).
Pour lutter contre le piratage et le phishing, les grands serveurs de messagerie (Gmail, Outlook, Apple) ont mis en place des videurs à l'entrée de leurs boîtes de réception. Si vous ne montrez pas patte blanche via les protocoles SPF, DKIM et DMARC, ces videurs considèrent que votre e-mail est une potentielle arnaque et le jettent à la poubelle.
1. Le SPF : La liste des invités autorisés
Le SPF (Sender Policy Framework) est l'équivalent d'une liste d'invités à l'entrée d'une soirée. C'est une ligne de texte (un enregistrement DNS de type TXT) que vous placez chez l'hébergeur de votre nom de domaine (OVH, Infomaniak, etc.). Cette ligne déclare publiquement : "Voici la liste officielle des serveurs qui ont le droit d'envoyer des e-mails au nom de mon entreprise."
Si vous utilisez Microsoft 365 ou Google Workspace pour vos e-mails, votre SPF doit obligatoirement les inclure. Si vous utilisez aussi un outil comme Mailchimp ou Brevo pour vos newsletters, ils doivent également y figurer.
Comment générer et configurer un SPF qui fonctionne ?
La syntaxe d'un SPF est très stricte. Une simple erreur d'espace invalide toute la chaîne. Voici la structure d'un SPF standard (exemple pour Microsoft 365) :
v=spf1 include:spf.protection.outlook.com ~all
Plutôt que d'écrire votre SPF à la main et de risquer une erreur de syntaxe, utilisez un générateur reconnu par l'industrie. Remplissez les cases (serveurs utilisés) et copiez-collez le résultat dans votre zone DNS.
Ouvrir le générateur SPF de MxToolbox →2. Le DKIM : Le sceau de cire inviolable
Le DKIM (DomainKeys Identified Mail) agit comme un sceau de cire cryptographique apposé sur chaque e-mail que vous envoyez. Il garantit au destinataire que le message n'a pas été intercepté et modifié (pièce jointe altérée, RIB remplacé) pendant son transit sur Internet.
Attention au piège des "Générateurs DKIM" en ligne
Contrairement au SPF ou au DMARC, vous ne devez pas utiliser de générateurs externes pour créer vos clés DKIM. Le DKIM fonctionne avec un système de clés asymétriques (une clé privée et une clé publique). La clé privée doit impérativement être générée et conservée de manière sécurisée par votre propre serveur de messagerie (Google Workspace ou Microsoft 365). Un site tiers qui générerait cette clé pour vous compromettrait totalement votre sécurité.
La bonne méthode pour configurer DKIM :
- 1 Dans Google Workspace : Allez dans Applications > Google Workspace > Gmail > Authentifier les e-mails. Cliquez sur "Générer un nouvel enregistrement" (Format 2048 bits recommandé).
- 1 Dans Microsoft 365 : Allez dans le Portail Microsoft Defender > Stratégies et règles > Stratégies de menace > DKIM. Sélectionnez votre domaine et cliquez sur "Créer des clés DKIM".
- 2 Publiez la clé publique : Le système vous donnera un enregistrement (CNAME ou TXT). C'est cette information publique qu'il faut aller coller dans la zone DNS de votre nom de domaine (chez OVH, Gandi, etc.).
- 3 Activez la signature : Retournez sur Google/Microsoft et cliquez sur "Activer l'authentification".
3. Le DMARC : Le vigile intransigeant
Le DMARC (Domain-based Message Authentication, Reporting, and Conformance) est le protocole ultime, devenu obligatoire depuis 2024 pour envoyer des e-mails en masse vers Gmail ou Yahoo.
Il s'agit d'une consigne (toujours un enregistrement TXT) que vous donnez aux videurs d'Internet. Le DMARC leur dit exactement quoi faire si un e-mail prétend venir de votre entreprise, mais qu'il échoue aux tests SPF ou DKIM.
Les 3 niveaux d'une politique DMARC :
| Politique (Tag p=) | Signification | Quand l'utiliser ? |
|---|---|---|
| p=none (Surveillance) | Laissez passer l'e-mail, mais envoyez-moi un rapport pour m'alerter. | Toujours commencer par ici ! Idéal pour vérifier que vos propres outils ne sont pas mal configurés sans bloquer la production. |
| p=quarantine (Quarantaine) | Mettez l'e-mail directement dans les courriers indésirables (Spams) du destinataire. | Étape intermédiaire. Quand vous êtes sûr que 90% de votre flux est légitime. |
| p=reject (Rejet) | Supprimez purement et simplement l'e-mail. Le destinataire ne le verra jamais. | L'objectif final de cybersécurité. Empêche toute usurpation de votre domaine. |
Créez votre enregistrement DMARC de manière visuelle et sécurisée. N'oubliez pas d'inclure une adresse e-mail de réception (rua) pour recevoir les rapports d'erreurs.
Ouvrir le générateur DMARC de EasyDMARC →Le danger de l'auto-configuration (et pourquoi nous pouvons vous aider)
La mise en place du trio SPF, DKIM et DMARC est la fondation de la cybersécurité moderne des e-mails. Cependant, modifier la zone DNS de votre entreprise n'est jamais anodin.
Une erreur de syntaxe dans votre SPF (comme avoir deux enregistrements SPF actifs en même temps, ce qui est formellement interdit par le protocole) ou un passage trop rapide à une politique DMARC en "Reject" peut provoquer un véritable black-out : plus aucun de vos devis, factures ou réponses clients n'arrivera à destination. Vos e-mails seront rejetés silencieusement.
Ne jouez pas à la roulette russe avec vos e-mails professionnels
Configurer les zones DNS, analyser les rapports cryptographiques XML du DMARC et s'assurer que vos outils tiers (CRM, ERP) envoient correctement vos messages demande une expertise technique pointue.