SCRYPTOURA
Demander mon diagnostic
Accueil · Articles · SPF DKIM DMARC PME
Bonne pratique · 6 min de lecture

SPF, DKIM, DMARC : protégez votre email en 10 minutes

Sans SPF, DKIM et DMARC sur votre domaine, n'importe qui peut envoyer un email au nom de votre entreprise — à vos clients, à votre banque, à vos fournisseurs. Ces trois enregistrements DNS sont gratuits, prennent 10 minutes à mettre en place, et protègent votre marque autant que vos clients.

Le problème : usurpation d'identité par email

Sans protection, un attaquant peut envoyer un email apparaissant comme venant de compta@votreentreprise.fr, alors qu'il est envoyé depuis son propre serveur en Russie. Vos clients reçoivent un faux RIB, votre banque reçoit une fausse demande de virement, et tout cela passe les filtres anti-spam basiques.

Trois enregistrements DNS standards résolvent ce problème. Tous les fournisseurs (OVH, Gandi, Microsoft 365, Google Workspace) les supportent.

SPF : qui a le droit d'envoyer en mon nom

SPF (Sender Policy Framework) est un enregistrement TXT qui liste les serveurs autorisés à envoyer des emails depuis votre domaine. Si l'email vient d'ailleurs, le destinataire le rejette ou le marque comme spam.

Exemple pour Microsoft 365 :

Le -all à la fin signifie « rejette tout email venu d'ailleurs ». C'est le mode strict, recommandé.

DKIM : signature cryptographique des emails

DKIM (DomainKeys Identified Mail) signe chaque email sortant avec une clé privée. Le destinataire vérifie la signature avec la clé publique publiée dans votre DNS. Si la signature ne correspond pas, l'email est rejeté.

DKIM se configure dans l'interface admin de votre fournisseur email (Microsoft 365, Google Workspace, OVH Email Pro). Il génère pour vous deux enregistrements CNAME à coller dans votre DNS :

5 minutes par domaine, le bénéfice est massif.

DMARC : la politique qui rend SPF + DKIM contraignants

DMARC (Domain-based Message Authentication, Reporting and Conformance) dit aux serveurs de réception : « Si SPF ou DKIM échoue, voilà ce que tu fais ». Trois politiques :

Exemple d'enregistrement DMARC :

L'adresse rua reçoit des rapports quotidiens des fournisseurs (Google, Outlook). Vous voyez qui envoie en votre nom et d'où.

La séquence de déploiement en 10 minutes

  1. Vérifier l'état actuel sur mxtoolbox.com/SuperTool.aspx avec votre domaine. Vous saurez ce qui existe déjà.
  2. Ajouter SPF avec -all dans votre DNS.
  3. Activer DKIM dans l'interface admin de votre messagerie.
  4. Ajouter DMARC d'abord en p=none pour observer, pendant 2 semaines.
  5. Lire les rapports DMARC pour identifier les services légitimes (votre CRM, votre outil emailing) qu'il faut autoriser dans SPF.
  6. Passer DMARC en p=quarantine puis p=reject au bout de 2 mois.

L'erreur classique à éviter

Passer directement à p=reject sans phase d'observation. Conséquence : les emails légitimes envoyés par votre CRM, votre outil de signature électronique ou votre logiciel comptable sont rejetés. Vos clients ne reçoivent plus rien et vous découvrez le problème 3 semaines plus tard.

La phase p=none de 2 semaines évite ce scénario. C'est un investissement en patience qui se rentabilise.

À retenir

SPF + DKIM + DMARC, c'est gratuit et ça change tout. 10 minutes pour la config initiale, 2 semaines d'observation, puis vous bloquez l'usurpation d'identité de votre domaine pour de bon. Mesure la plus rentable contre le phishing qui se fait passer pour vous.

Ce que Scryptoura fait pour vous

Notre offre Cybersécurité et notre Diagnostic Découverte incluent l'audit complet de votre configuration email et la mise en place de SPF/DKIM/DMARC. Si vous gérez votre domaine en interne, on vous accompagne sur les rapports DMARC les premières semaines.

Votre domaine email est-il bien protégé contre l'usurpation ?

Le Diagnostic Découverte vérifie SPF, DKIM, DMARC sur votre domaine en moins de 5 minutes.

Demander mon diagnostic Voir l'offre Cybersécurité