Se connecter

Sécurisez votre domaine avec DMARC : l’alignement SPF et DKIM en détail

Qu'est ce que D MARC
Linkedin

Sécurisez votre domaine avec DMARC : comprendre l’alignement SPF et DKIM

Les attaques de phishing explosent : +58,2 % en 2024, soit plus de 3,4 milliards d’e-mails frauduleux envoyés chaque jour. Dans ce contexte, protéger votre domaine n’est plus une option. DMARC, basé sur SPF et DKIM, est aujourd’hui l’un des standards clés pour éviter l’usurpation d’identité et renforcer la sécurité de vos envois.

Dans cet article, nous vous expliquons clairement comment fonctionnent SPF, DKIM et l’alignement DMARC — et comment les configurer efficacement.

1. DMARC : qu’est-ce que c’est et pourquoi c’est essentiel ?

DMARC (Domain-based Message Authentication, Reporting & Conformance) est un protocole qui permet de vérifier qu’un e-mail envoyé depuis votre domaine est bien légitime. Il s’appuie sur deux mécanismes : SPF et DKIM.

DMARC définit :

  • comment un e-mail doit être authentifié,

  • quoi faire lorsqu’un message ne respecte pas les règles (laisser passer, mettre en quarantaine ou rejeter),

  • comment envoyer des rapports d’usage pour identifier les tentatives d’usurpation.

L’objectif : garantir que seuls les expéditeurs autorisés utilisent votre domaine, et renforcer votre réputation globale.

2. SPF et DKIM : le rappel essentiel

SPF (Sender Policy Framework)

SPF est un enregistrement DNS qui liste les serveurs autorisés à envoyer des e-mails pour votre domaine.

Validation SPF :
Le serveur du destinataire vérifie si l’IP de l’expéditeur figure bien dans cette liste.

DKIM (DomainKeys Identified Mail)

DKIM appose une signature cryptographique à chaque e-mail. Le destinataire utilise la clé publique stockée dans votre DNS pour vérifier que le message n’a pas été modifié.

Validation DKIM :
La signature dans l’e-mail doit correspondre à la clé publique déclarée — sinon l’e-mail échoue au test.

3. Comment DMARC valide un e-mail ?

Pour qu’un e-mail soit conforme à DMARC, il doit :

  1. Passer SPF ou DKIM (au moins l’un des deux)

  2. Être correctement aligné avec la politique DMARC du domaine

La politique DMARC, publiée dans le DNS, précise :

  • le niveau d’alignement (strict ou relax),

  • l’action en cas d’échec,

  • les adresses destinées à recevoir les rapports de tentative de fraude.

Alignement SPF : strict ou relax ?

L’alignement SPF consiste à comparer :

  • le domaine du Return-Path (MAIL FROM),

  • avec le domaine affiché dans le From:.

Alignement strict

Les deux domaines doivent être identiques.
Ex.
Mail From : noreply@exemple.com
From : contact@exemple.comOK

Alignement relaxé

Ils doivent appartenir au même domaine parent.
Ex.
Mail From : noreply@sousdomaine.exemple.com
From : contact@exemple.comOK

5. Alignement DKIM : strict ou relax ?

DMARC compare :

  • le domaine déclaré dans la signature DKIM (d=),

  • avec le domaine utilisé dans le From:.

Alignement strict

d=exemple.com
From : contact@exemple.comAligné

Alignement relaxé

d=sousdomaine.exemple.com
From : contact@exemple.comAligné

6. Pourquoi l’alignement est indispensable ?

DMARC exige :

  • une authentification valide (SPF ou DKIM),

  • et un alignement conforme.

Sans alignement, l’e-mail est considéré comme suspect, même s’il passe SPF ou DKIM.

Par défaut :

  • aspf (pour SPF) = relax

  • adkim (pour DKIM) = relax

Si vous ne précisez rien, DMARC se montre donc tolérant.

Recommandations pour bien démarrer

  1. Commencez avec une politique DMARC en p=none
    Cela permet d’observer les rapports sans bloquer vos envois.

  2. Analysez les rapports (rua / ruf)
    Ils vous montrent qui envoie réellement des e-mails avec votre domaine.

  3. Ajustez SPF et DKIM en fonction des services utilisés
    Surtout si plusieurs outils (CRM, marketing, support…) envoient en votre nom.

  4. Montez en protection progressivement
    p=none → p=quarantine → p=reject.

Ce processus est indispensable pour pouvoir activer BIMI, qui exige au minimum une politique p=quarantine.

Conclusion

Une configuration DMARC correcte, combinée à un alignement solide SPF et DKIM, constitue l’un des meilleurs remparts contre l’usurpation d’identité. En maîtrisant ces mécanismes, vous protégez votre nom de domaine, sécurisez vos envois et renforcez votre délivrabilité.

Les experts ACTIVECOM peuvent vous accompagner dans la configuration, l’analyse et l’optimisation de votre politique DMARC pour une protection maximale.

Activemailer Home
Decouvrir la solution

Ceci pourrait vous intéresser...

3 règles pour optimiser la délivrabilité de vos campagnes d’e-mails marketing

Optimiser son taux d’ouverture

Gmail

Gmail tronque mes emails : comment y remédier ?

Powered by  GDPR Cookie Compliance
Politique de cookies

Ce site web utilise des cookies afin de vous offrir la meilleure expérience utilisateur possible.

Les informations des cookies sont stockées dans votre navigateur et remplissent des fonctions telles que vous reconnaître lorsque vous revenez sur notre site web et aider notre équipe à comprendre quelles sections du site web vous trouvez les plus intéressantes et utiles.