Fondamentaux8 min de lecture

SPF, DKIM, DMARC expliqués simplement

Depuis février 2024, Gmail et Yahoo imposent ces trois mécanismes pour tout envoi de masse. Ils demeurent source de confusion pour beaucoup. Démystifions-les ensemble.

Vous envoyez des emails en masse et vous avez entendu parler de SPF, DKIM et DMARC sans vraiment comprendre la différence ? Vous n'êtes pas seul. Ces trois acronymes font peur aux responsables marketing et aux administrateurs système, alors qu'ils sont en réalité trois couches de protection complémentaires qui fonctionnent ensemble pour prouver que vos emails sont véritablement les vôtres.

Depuis février 2024, les filtres de Gmail et Yahoo exigent que vous mettiez en place SPF et DKIM, et au minimum une politique DMARC en observation (p=none). Les fournisseurs français comme Orange, Free et SFR alignent également leurs standards. Sans ces configurations, vos emails risquent de terminer en spam — et vos clients ne les verront jamais.

Dans cet article, nous décrivons ces trois mécanismes en termes simples, sans jargon technique inutile, et nous vous montrons comment vérifier que vos enregistrements sont correctement configurés.

SPFAutorise les serveursDKIMSigne le messageDMARCDéfinit la politique
Les trois piliers de l'authentification email

Qu'est-ce que SPF ?

SPF signifie Sender Policy Framework. C'est le plus simple des trois : vous déclarez publiquement (via DNS) quels serveurs SMTP sont autorisés à envoyer des emails au nom de votre domaine.

Voici comment ça marche :

  1. Vous publiez un enregistrement SPF dans les paramètres DNS de votre domaine.
  2. Vous y énumérez tous les serveurs SMTP (provenant de votre ESP, de votre hébergeur, de votre serveur privé) autorisés à envoyer du courrier au nom de votre domaine.
  3. Quand un fournisseur d'accès (Gmail, Orange, Free, etc.) reçoit un email de votre domaine, il consulte cet enregistrement SPF.
  4. Si le serveur source figure dans la liste, l'email passe le test SPF. Sinon, il échoue.

L'avantage : simple et rapide à mettre en place. L'inconvénient : SPF seul ne prouve pas que le contenu du message n'a pas été modifié en chemin. C'est pour ça qu'on a aussi DKIM.

Qu'est-ce que DKIM ?

DKIM signifie DomainKeys Identified Mail. Là où SPF dit « ce serveur est autorisé », DKIM dit « ce serveur a vraiment créé ce message ».

DKIM fonctionne selon un principe de cryptographie à clé publique/privée :

  1. Vous générez une paire de clés : une privée (gardée secrète sur votre serveur SMTP) et une publique (publiée dans DNS).
  2. Quand vous envoyez un email, votre serveur signe cryptographiquement le message avec la clé privée.
  3. Le fournisseur d'accès reçoit le message, récupère votre clé publique DKIM via DNS, et vérifie que la signature est valide.
  4. Si la signature est valide, ça prouve que le message n'a pas été modifié après l'envoi.

Avantage : preuve cryptographique que le message vient réellement de vous et qu'il n'a pas été altéré. Inconvénient : un peu plus complexe à configurer que SPF, nécessite l'implication du fournisseur ou de votre équipe technique.

Qu'est-ce que DMARC ?

DMARC signifie Domain-based Message Authentication, Reporting and Conformance. C'est la couche supérieure qui vous dit quoi faire si SPF ou DKIM échouent.

DMARC permet de :

  • Définir une politique : comment les fournisseurs doivent réagir face aux emails qui échouent l'authentification (accepter, mettre en quarantaine ou rejeter) ;
  • Recevoir des rapports : chaque jour, les fournisseurs vous envoient des statistiques détaillées sur les emails reçus au nom de votre domaine, même ceux que vous n'avez pas envoyés ;
  • Monitorer les abus : vous identifiez rapidement si quelqu'un usurpe votre domaine.

Les trois politiques DMARC possibles sont :

  • p=none : pas d'action. Vous recevez les rapports pour monitorer.
  • p=quarantine : les emails échoués sont mis en spam.
  • p=reject : les emails échoués sont rejetés (plus strict, pour domaines matures).
Commencez toujours par p=none
Beaucoup de domaines se précipitent à passer directement à p=reject, ce qui les expose à rejeter accidentellement leurs propres emails légitimes. Commencez toujours par p=none pendant quelques jours ou semaines, analysez les rapports DMARC, puis graduellement passez à p=quarantine, puis p=reject une fois que vous êtes certain que 100 % de votre trafic autorisé passe SPF ou DKIM.

Comment configurer SPF, DKIM et DMARC ?

Pour tous les trois, vous allez travailler dans les paramètres DNS de votre domaine. Selon votre hébergeur (Gandi, OVH, Namecheap, AWS Route 53, etc.), l'interface peut varier légèrement, mais le concept reste identique.

  1. Demandez à votre ESP ou serveur les valeurs SPF, DKIM et DMARC qu'il faut ajouter. Brevo, Mailjet, SES Amazon, votre hébergeur PrestaShop/WordPress — tous fournissent ces valeurs.
  2. Accédez à votre gestionnaire DNS (la plupart proposent une interface de gestion des enregistrements TXT).
  3. Ajoutez les enregistrements SPF, DKIM, DMARC en tant que nouveaux enregistrements TXT.
  4. Attendez la propagation DNS (généralement quelques heures, parfois 24 h).
  5. Testez vos configurations avec check.live-direct-marketing.online pour vérifier que vos emails arrivent en boîte de réception et que vos enregistrements sont correctement reconnus.
v=spf1 include:sendingservice.com include:mail.company.com ~allVersion SPFAutorise le serveur du service d'envoiAutorise votre serveur mail interneSoft-fail pour les autres serveurs
Exemple d'enregistrement SPF dans DNS

Comment vérifier que vos configurations sont correctes ?

Avant de déployer en production à grande échelle, vérifiez que vos enregistrements fonctionnent réellement. Voici deux approches :

  1. Vérification manuelle : utilisez des outils en ligne gratuits (MXToolbox, Google Admin Toolbox, etc.) pour inspecter les enregistrements TXT de votre domaine. Vérifiez que SPF, DKIM et DMARC y figurent et qu'il n'y a pas d'erreur de syntaxe.
  2. Test réel d'envoi : envoyez un email de test avec check.live-direct-marketing.online (gratuit, sans inscription) et regardez où il arrive chez 20 & fournisseurs comme Gmail, Yahoo, Orange, Free, SFR, Outlook et autres. L'outil vous montre si vos SPF/DKIM/DMARC ont bien été lus, et où votre email a atterri (Inbox, Spam, Promotions, etc.).

C'est le plus simple et le plus transparent : vous voyez en direct comment vos emails sont reçus par les boîtes des vrais utilisateurs.

Récapitulatif : quand faire quoi

Voici l'ordre recommandé de mise en place :

  1. Mettez en place SPF d'abord (le plus simple).
  2. Ajoutez DKIM (plus impactant, mais un peu plus complexe).
  3. Finissez avec DMARC en p=none pour collecter les rapports sans bloquer d'emails.
  4. Après une semaine ou deux, passez à p=quarantine si tout est bon.
  5. Après une nouvelle semaine, considérez p=reject si 100 % de votre trafic passe l'authentification.

Ce processus graduellement vous protège contre les accidents tout en maximisant votre délivrabilité.

Mon ESP gère déjà SPF et DKIM pour moi. Ai-je vraiment besoin de DMARC ?

Oui. SPF et DKIM sont les briques techniques, DMARC est la politique qui les gouverne et qui vous donne la visibilité. Sans DMARC, vous ne recevez pas les rapports détaillés d'authentification, et vous n'êtes pas alerté si quelqu'un usurpe votre domaine. De plus, Gmail et Yahoo apprécient fortement les domaines avec une politique DMARC bien configurée.

Qu'arrive-t-il si mon SPF a plusieurs domaines inclus ?

SPF permet d'inclure plusieurs domaines ou ESP dans le même enregistrement. Par exemple, si vous utilisez à la fois Brevo et Mailjet, vous aurez deux instructions include:. Cependant, SPF a une limite de 10 include maximum (par le RFC 7208). Si vous dépassez ce nombre, envisagez d'utiliser des redirects redirect= pour consolider.

Combien de temps faut-il pour que SPF/DKIM/DMARC prennent effet ?

Généralement, la propagation DNS prend entre quelques heures et 24 heures. Cependant, les fournisseurs (Gmail, Orange, etc.) mettent en cache les enregistrements, donc il peut falloir quelques heures de plus pour voir les résultats complets. Pour vérifier rapidement, testez vos enregistrements avec check.live-direct-marketing.online — l'outil teste immédiatement auprès des vrais fournisseurs.

À lire aussi
Found this useful? Share it
AB
À propos de l'auteur
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

Vérifiez votre délivrabilité chez plus de 20 fournisseurs

Gmail, Outlook, Yahoo, Orange, GMX, ProtonMail et plus. Captures réelles de la boîte de réception, SPF/DKIM/DMARC, verdicts des filtres anti-spam. Gratuit, sans inscription.

Lancer le test gratuit →

Tests illimités · Plus de 20 boîtes · Résultats en direct · Sans compte