Configurer SPF DKIM DMARC : méthode pas à pas
Configurer SPF DKIM DMARC permet de réduire l’usurpation d’identité (spoofing), d’améliorer la délivrabilité et d’éviter que vos messages finissent en spam.
Le problème, c’est que beaucoup de domaines ont “un SPF”, parfois “un DKIM”, mais une configuration incohérente : plusieurs enregistrements, des expéditeurs oubliés, ou un DMARC posé sans monitoring. Voici une méthode pas à pas, simple et robuste.
Configurer SPF DKIM DMARC : prérequis et logique de base
Avant de toucher au DNS, posez le cadre. Configurer SPF DKIM DMARC revient à aligner 3 choses : qui a le droit d’envoyer (SPF), qui signe les messages (DKIM), et quoi faire si ça ne colle pas (DMARC).
Commencez par lister vos sources d’envoi (même celles “qui envoient peu”) :
- votre messagerie (Google Workspace / Microsoft 365 / autre)
- votre site (formulaire WordPress, plugin SMTP, WooCommerce…)
- votre outil d’emailing (newsletter, automation)
- votre CRM / facturation / support (tickets, devis, relances)
- vos services tiers (réservation, marketing, emailing transactionnel)
Cette cartographie évite le classique : “tout marchait… sauf les formulaires”. Si vous faites déjà de l’e-mail marketing pour votre entreprise, cette étape est encore plus importante : chaque outil doit être inclus proprement.
Étape 1 — Vérifier l’existant et supprimer les incohérences
Avant d’ajouter quoi que ce soit, regardez ce qui existe déjà dans la zone DNS :
- un enregistrement SPF (type TXT, souvent
v=spf1 ...) - des enregistrements DKIM (souvent des sélecteurs type
selector1._domainkey) - un enregistrement DMARC (type TXT,
_dmarc.votredomaine.tld)
Objectif : un seul SPF par domaine. S’il y en a plusieurs, c’est presque toujours source d’erreurs. Configurer SPF DKIM DMARC proprement commence souvent par… nettoyer.
Étape 2 — Créer (ou corriger) le SPF
Le SPF indique quels serveurs ont le droit d’envoyer des emails pour votre domaine. La structure ressemble à ceci :
v=spf1: début obligatoire- des mécanismes (ex :
include:de vos fournisseurs,ip4:si besoin) - une règle de fin (souvent
~allau départ, puis-allquand c’est stabilisé)
Bonnes pratiques :
- privilégiez
include:fournis par vos services (emailing, transactional) - évitez d’empiler des mécanismes inutiles
- démarrez en “souple” (
~all) si vous n’êtes pas sûr, puis durcissez
À ce stade, vous avez déjà une base : Configurer SPF DKIM DMARC ne sert à rien si le SPF est faux ou incomplet.
Étape 3 — Activer le DKIM sur chaque expéditeur
Le DKIM signe vos emails. Concrètement, chaque fournisseur vous donne :
- un ou plusieurs enregistrements DNS à ajouter
- un “sélecteur” (ex :
s1,google,default, etc.) - une clé publique (longue valeur dans un TXT)
Important : vous pouvez avoir plusieurs DKIM (un par outil), ce n’est pas un problème. Le piège, c’est d’activer le DKIM dans l’outil sans avoir posé les bons enregistrements DNS.
Quand vous avez plusieurs sources d’envoi, Configurer SPF DKIM DMARC devient plus simple si vous standardisez : liste claire des expéditeurs + preuve DKIM “OK” sur chacun.
Étape 4 — Poser DMARC en mode “monitoring” d’abord
DMARC se configure via un TXT sur _dmarc.votredomaine.tld. Il vous permet :
- de dire quoi faire en cas d’échec (none / quarantine / reject)
- de recevoir des rapports (RUA), utiles pour repérer les expéditeurs oubliés
- d’exiger un alignement cohérent entre domaine visible et domaine authentifié
Méthode recommandée :
- démarrez avec
p=none(surveillance) - analysez les rapports et corrigez les expéditeurs non conformes
- passez à
p=quarantine(mise en spam) progressivement - terminez à
p=reject(blocage) quand tout est propre
C’est la partie la plus “stratégique” : configurer SPF DKIM DMARC sans phase de monitoring peut casser des envois légitimes.
Étape 5 — Tester, puis déployer progressivement
Testez avec plusieurs scénarios : email interne, email vers Gmail/Outlook, formulaire du site, envoi via l’outil d’emailing, email transactionnel (commande/devis).
Contrôles utiles :
- les headers d’un email reçu (SPF = pass, DKIM = pass, DMARC = pass)
- la cohérence du domaine (alignement DMARC)
- la stabilité sur plusieurs jours (pas uniquement “ça marche sur un test”)
Si vous avez besoin d’outillage, certains outils pour la délivrabilité des e-mails permettent de vérifier rapidement la signature DKIM, la conformité DMARC et les problèmes de réputation.
Les erreurs fréquentes qui font perdre des semaines
Même avec une bonne intention, on voit souvent les mêmes pièges :
- plusieurs SPF (un TXT “v=spf1” en double)
- trop de
include:(risque de dépasser les limites SPF) - DKIM activé côté outil, mais DNS incomplet
- DMARC en “reject” trop tôt
- expéditeur “oublié” (CRM, support, formulaire WordPress, facturation)
Une fois ces erreurs corrigées, Configurer SPF DKIM DMARC devient un vrai levier : vos emails arrivent mieux, et votre domaine est beaucoup plus difficile à usurper.
Passez à une délivrabilité stable, sans zone grise
Si vous voulez éviter les approximations (et surtout éviter de casser un formulaire ou un outil transactionnel), l’approche la plus sûre consiste à faire un audit des expéditeurs, corriger SPF/DKIM, poser DMARC en monitoring, puis durcir progressivement jusqu’au “reject”.
Vous avez du mal à configurer SPF DKIM DMARC proprement, à sécuriser votre domaine et améliorer durablement la délivrabilité de vos emails ? Parlons-en ensemble…
FAQ – Configurer SPF DKIM DMARC
À quoi servent SPF, DKIM et DMARC ?
SPF indique quels serveurs ont le droit d’envoyer des emails pour votre domaine. DKIM signe les messages pour prouver qu’ils n’ont pas été modifiés. DMARC coordonne SPF et DKIM, impose des règles (surveiller, mettre en spam, rejeter) et fournit des rapports pour identifier les expéditeurs non conformes.
Est-ce obligatoire de configurer SPF DKIM DMARC ?
Ce n’est pas légalement obligatoire dans la plupart des cas, mais c’est fortement recommandé. Configurer SPF DKIM DMARC réduit l’usurpation d’identité et améliore la délivrabilité, surtout si vous envoyez des emails transactionnels ou des newsletters.
Peut-on avoir plusieurs enregistrements SPF ?
Non, il doit y avoir un seul enregistrement SPF (un seul TXT contenant v=spf1) par domaine. En avoir plusieurs provoque des erreurs et peut dégrader la délivrabilité. Si vous avez plusieurs services, il faut les regrouper dans un seul SPF.
Combien de temps faut-il pour que les changements DNS soient pris en compte ?
Cela dépend du TTL et du DNS, mais c’est souvent effectif en quelques minutes à quelques heures. Dans certains cas, il peut falloir jusqu’à 24–48 heures pour une propagation complète.
Pourquoi activer DMARC en “p=none” au début ?
Parce que Configurer SPF DKIM DMARC correctement nécessite d’identifier tous les expéditeurs légitimes. Le mode p=none permet de recevoir des rapports (monitoring) sans bloquer les emails, puis de corriger avant de durcir vers quarantine ou reject.
Qu’est-ce que l’alignement DMARC ?
DMARC vérifie que le domaine visible dans l’adresse d’envoi (From) est cohérent avec le domaine authentifié par SPF et/ou DKIM. Sans alignement, DMARC peut échouer même si SPF ou DKIM “passent” techniquement.
Que faire si mes emails arrivent en spam malgré SPF/DKIM/DMARC ?
La délivrabilité dépend aussi de la réputation du domaine/IP, du contenu, de la fréquence d’envoi et des plaintes. Même si Configurer SPF DKIM DMARC est correct, un historique d’envoi douteux ou des listes non qualifiées peuvent entraîner du spam.
Quels emails sont souvent oubliés lors de la configuration ?
Les emails de formulaires WordPress, WooCommerce, CRM, facturation, support (tickets) et certains outils marketing. Un expéditeur oublié est une cause fréquente d’échecs DMARC après durcissement.
