SPF DKIM DMARC mal configuré : guide de résolution

Q: Comment vérifier si mon SPF et DKIM sont corrects ?

Utilisez des outils gratuits comme MXToolbox, Mail-Tester ou Google Admin Toolbox. Ces outils analysent vos enregistrements DNS et vous indiquent les erreurs à corriger.

Vous vous reconnaissez ?

Vos emails sont rejetés avec des messages mentionnant "SPF fail" ou "DKIM invalid"
Mail-Tester vous donne un score faible à cause de l'authentification
Gmail ou Outlook affiche un avertissement sur vos emails
Vos emails arrivent avec un message "via" ou "en nom de" dans l'expéditeur
Vous ne savez pas si votre domaine est correctement configuré

SPF, DKIM et DMARC sont les trois protocoles d'authentification qui prouvent aux serveurs de réception que vos emails sont légitimes. Sans eux, n'importe qui pourrait envoyer des emails en se faisant passer pour vous. Les fournisseurs de messagerie se méfient naturellement des emails non authentifiés.

Depuis février 2024, Gmail et Microsoft exigent une authentification complète pour les expéditeurs de masse. Sans SPF et DKIM valides, vos emails risquent d'être systématiquement rejetés.

À quoi servent SPF, DKIM et DMARC

SPF (Sender Policy Framework) déclare quels serveurs sont autorisés à envoyer des emails pour votre domaine. C'est comme une liste blanche des expéditeurs légitimes. Quand un serveur reçoit un email de votre domaine, il vérifie si l'IP d'envoi figure dans votre enregistrement SPF.

DKIM (DomainKeys Identified Mail) ajoute une signature cryptographique à chaque email. Cette signature prouve que l'email n'a pas été modifié en transit et qu'il provient bien de votre domaine. C'est comme un sceau d'authenticité.

DMARC (Domain-based Message Authentication, Reporting and Conformance) indique aux serveurs de réception ce qu'ils doivent faire si SPF ou DKIM échoue. Il permet aussi de recevoir des rapports sur les tentatives d'usurpation de votre domaine.

                    # Exemple d'enregistrement SPF

                    v=spf1 include:_spf.google.com include:spf.ediware.net ~all

                    # Exemple d'enregistrement DKIM

                    selector._domainkey.votredomaine.com IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GC..."

                    # Exemple d'enregistrement DMARC

                    _dmarc.votredomaine.com IN TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@votredomaine.com"

Les 5 erreurs de configuration les plus fréquentes

SPF absent ou incomplet

L'erreur la plus basique : aucun enregistrement SPF n'existe pour votre domaine, ou il ne liste pas tous les serveurs qui envoient des emails en votre nom. Si vous utilisez une plateforme emailing, son serveur doit figurer dans votre SPF.

Trop de lookups DNS dans le SPF

Le SPF est limité à 10 lookups DNS. Si vous avez trop d'includes (Google, Microsoft, votre plateforme emailing, etc.), vous dépassez la limite et le SPF échoue. C'est un problème fréquent pour les entreprises qui utilisent de nombreux services.

DKIM non configuré ou clé expirée

DKIM demande de configurer un enregistrement DNS avec une clé publique. Si cette clé n'est pas présente, ou si elle ne correspond pas à la clé privée utilisée par votre serveur d'envoi, la signature est invalide.

DMARC trop strict sans préparation

Passer directement à une politique DMARC "reject" sans avoir d'abord vérifié que tous vos envois sont authentifiés peut bloquer vos propres emails légitimes. Il faut commencer par "none" pour observer, puis "quarantine", puis "reject".

Problème d'alignement DMARC

DMARC vérifie que le domaine de l'expéditeur visible (From:) correspond aux domaines authentifiés par SPF et DKIM. Si vous envoyez avec un domaine mais que l'authentification est faite sur un autre, DMARC échoue.

Les exigences Gmail 2024. Depuis février 2024, les expéditeurs envoyant plus de 5000 emails/jour vers Gmail doivent avoir SPF et DKIM valides, un enregistrement DMARC (même en mode "none"), un taux de plaintes inférieur à 0,3%, et une désinscription en un clic.

La méthode pour corriger votre authentification

Corriger SPF, DKIM et DMARC demande d'accéder à la zone DNS de votre domaine. Si vous n'êtes pas à l'aise avec ces manipulations, demandez à votre administrateur système ou à votre hébergeur.

Diagnostiquer l'état actuel

Utilisez MXToolbox ou Mail-Tester pour analyser vos enregistrements actuels. Ces outils vous indiquent précisément ce qui manque ou ce qui est mal configuré. Notez chaque erreur à corriger.

Lister tous vos services d'envoi

Identifiez tous les services qui envoient des emails avec votre domaine : votre serveur mail principal, votre plateforme emailing, votre CRM, vos outils de support. Chacun doit figurer dans votre SPF.

Configurer ou corriger le SPF

Créez ou modifiez l'enregistrement TXT de type SPF dans votre zone DNS. Incluez tous les services identifiés. Vérifiez que vous ne dépassez pas 10 lookups DNS. Terminez par "~all" ou "-all".

Configurer DKIM pour chaque service

Chaque plateforme d'envoi vous fournit une clé DKIM à ajouter dans votre DNS. Suivez les instructions de chaque service. Vérifiez que la clé est correctement publiée avec un outil de test.

Mettre en place DMARC progressivement

Commencez par une politique "p=none" qui ne bloque rien mais vous envoie des rapports. Analysez ces rapports pendant quelques semaines. Passez ensuite à "p=quarantine" puis "p=reject" quand vous êtes sûr que tout est correct.

Les outils pour vérifier et maintenir votre authentification

Une fois l'authentification configurée, il reste essentiel de maintenir une liste email propre. L'authentification prouve votre identité, mais si vous envoyez vers des adresses invalides, votre réputation souffrira quand même.

CleanMyList

Complétez l'authentification par une liste propre

L'authentification technique est une condition nécessaire mais pas suffisante. Même avec SPF, DKIM et DMARC parfaits, envoyer vers des adresses invalides dégrade votre réputation. CleanMyList vérifie votre liste pour éliminer les adresses problématiques.

Détection des adresses invalides

Identification des spamtraps

Vérification des domaines

Score de qualité par adresse

Nettoyer ma liste Voir tous nos outils

Pour simplifier la gestion de l'authentification, utilisez une plateforme emailing professionnelle. Ediware fournit les enregistrements à ajouter et guide ses utilisateurs dans la configuration, en plus de gérer automatiquement la signature DKIM des emails envoyés.

Propagation DNS. Après avoir modifié vos enregistrements DNS, comptez 24 à 48 heures pour que les changements se propagent. Ne paniquez pas si les tests échouent encore juste après la modification.

Questions fréquentes

SPF, DKIM, DMARC : est-ce vraiment obligatoire ?

Depuis février 2024, Gmail et Microsoft exigent SPF et DKIM pour les expéditeurs envoyant plus de 5000 emails par jour. DMARC est fortement recommandé. Sans ces protocoles, vos emails risquent d'être rejetés ou classés en spam systématiquement.

Comment vérifier si mon SPF et DKIM sont corrects ?

Utilisez des outils gratuits comme MXToolbox SPF Checker, Mail-Tester.com ou Google Admin Toolbox. Ces outils analysent vos enregistrements DNS et vous indiquent précisément les erreurs à corriger.

Puis-je configurer SPF/DKIM moi-même ?

Oui, si vous avez accès à la zone DNS de votre domaine. La configuration consiste à ajouter des enregistrements TXT. Si vous utilisez une plateforme emailing comme Ediware, celle-ci vous fournit les valeurs exactes à ajouter.

Authentification + liste propre = délivrabilité optimale

Complétez votre configuration technique par un nettoyage de liste pour maximiser votre délivrabilité.

Analyser ma liste