Tutoriel 10 min de lecture Mis à jour avril 2026

DKIM, SPF et DMARC : guide complet de configuration pour la délivrabilité email

L'authentification email est le fondement de la délivrabilité. Sans DKIM, SPF et DMARC, vos emails seront rejetés ou marqués comme spam par les principaux fournisseurs de messagerie. Ce guide vous accompagne dans la configuration complète.

Pourquoi l'authentification est importante

Gmail et Yahoo exigent désormais DMARC pour les expéditeurs en masse (exigence 2024). Sans authentification correcte, vos emails seront rejetés ou marqués comme spam. L'authentification protège également votre domaine contre son utilisation dans des attaques de phishing.

SPF : configuration et exemples

SPF (Sender Policy Framework) est un enregistrement TXT dans votre DNS qui liste les adresses IP autorisées à envoyer des emails pour votre domaine.

Enregistrement SPF de base

v=spf1 include:emitlo.com ~all

Cet enregistrement autorise les serveurs d'Emitlo à envoyer des emails pour votre domaine. Le ~all (softfail) signifie que les emails provenant d'IPs non autorisées sont marqués comme suspects mais pas rejetés. Utilisez -all (hardfail) une fois que vous êtes sûr que tous les expéditeurs légitimes sont inclus.

SPF avec plusieurs expéditeurs

v=spf1 include:emitlo.com include:_spf.google.com ~all

⚠️ Limite de lookups SPF

Les enregistrements SPF ont un maximum de 10 lookups DNS. Chaque include: compte comme un lookup. Si vous dépassez 10, SPF échouera. Utilisez des outils de flattening SPF si nécessaire.

DKIM : configuration et exemples

DKIM (DomainKeys Identified Mail) ajoute une signature cryptographique à vos emails. Vous publiez une clé publique dans le DNS ; le serveur d'envoi signe les emails avec la clé privée correspondante.

Format d'enregistrement DNS DKIM

selecteur._domainkey.votredomaine.com  TXT  "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA..."

Le selecteur est une étiquette qui identifie quelle clé utiliser (ex: emitlo1). La valeur p= est votre clé publique (clé RSA encodée en base64).

Double signature DKIM

Emitlo signe chaque email avec deux clés DKIM : votre clé de domaine et la clé de plateforme d'Emitlo. Cela signifie que deux signatures DKIM apparaissent dans les en-têtes de l'email, fournissant une couche d'authentification supplémentaire. Vous n'avez besoin de publier que l'enregistrement DKIM de votre domaine — Emitlo gère automatiquement la clé de plateforme.

Emitlo génère automatiquement vos clés DKIM, valide votre enregistrement SPF et vérifie votre politique DMARC lors de la configuration du domaine — pas de débogage DNS manuel. Démarrer gratuitement →

DMARC : configuration et progression des politiques

DMARC (Domain-based Message Authentication, Reporting & Conformance) indique aux serveurs de réception quoi faire quand un email échoue à l'authentification SPF ou DKIM.

Étape 1 : Commencer par la surveillance (p=none)

_dmarc.votredomaine.com  TXT  "v=DMARC1; p=none; rua=mailto:[email protected]"

Surveillez pendant 2 à 4 semaines. Examinez les rapports DMARC pour identifier toutes les sources d'emails légitimes.

Étape 2 : Quarantaine (p=quarantine)

_dmarc.votredomaine.com  TXT  "v=DMARC1; p=quarantine; pct=25; rua=mailto:[email protected]"

Commencez avec pct=25 (appliquer à 25% des emails en échec). Augmentez progressivement jusqu'à 100%.

Étape 3 : Rejet (p=reject)

_dmarc.votredomaine.com  TXT  "v=DMARC1; p=reject; rua=mailto:[email protected]"

La politique la plus stricte. Les emails non authentifiés sont rejetés entièrement. Ne passez ici que quand vous êtes sûr que tous les expéditeurs légitimes sont authentifiés.

Tester votre configuration

M

MXToolbox

Vérifiez les enregistrements SPF, DKIM et DMARC. Identifiez les erreurs de configuration.

M

Mail-Tester

Envoyez un email de test et obtenez un score spam avec des résultats d'authentification détaillés.

D

DMARC Analyzer

Analysez et visualisez les rapports DMARC.

G

Google Postmaster Tools

Surveillez la réputation de votre domaine et les taux d'authentification avec Gmail.

Erreurs courantes

✗ Plusieurs enregistrements SPF

Solution : Vous ne pouvez avoir qu'un seul enregistrement SPF par domaine. Combinez tous les includes en un seul enregistrement.

✗ Dépasser la limite de lookups SPF (10)

Solution : Utilisez le flattening SPF pour réduire le nombre de lookups DNS.

✗ Clé DKIM trop courte

Solution : Utilisez des clés RSA 2048 bits minimum. Les clés 1024 bits sont considérées comme non sécurisées.

✗ DMARC sans alignement SPF/DKIM

Solution : DMARC exige que le domaine dans SPF/DKIM corresponde au domaine dans l'en-tête From. Vérifiez l'alignement dans vos rapports DMARC.

✗ Passer directement à p=reject

Solution : Commencez toujours par p=none, examinez les rapports, puis progressez vers quarantine, puis reject.

Configuration automatique avec Emitlo

Emitlo automatise l'ensemble du processus de configuration de l'authentification :

  • Génère des clés DKIM RSA 2048 bits pour votre domaine
  • Publie automatiquement les enregistrements DNS DKIM
  • Valide votre enregistrement SPF et suggère des corrections
  • Vérifie votre politique DMARC et fournit des recommandations
  • Signe chaque email avec double DKIM (clé de domaine + clé de plateforme)
  • Surveille les taux d'authentification en temps réel

La configuration prend moins de 10 minutes. Pas de débogage DNS manuel requis.

Configuration automatique DKIM, SPF et DMARC en 10 minutes

12 000 emails/mois gratuits (400/jour) · Double DKIM · Sans carte bancaire

Démarrer gratuitement → See all comparisons

Questions fréquentes

Ai-je besoin des trois : DKIM, SPF et DMARC ?
Oui. SPF et DKIM sont requis pour l'authentification de base. DMARC s'appuie sur les deux et est de plus en plus requis par les principaux fournisseurs de messagerie. Gmail et Yahoo exigent désormais DMARC pour les expéditeurs en masse. Configurer les trois est le minimum pour une délivrabilité fiable.
Combien de temps prend la propagation des changements DNS ?
La propagation DNS prend généralement 5 à 60 minutes pour la plupart des fournisseurs, mais peut prendre jusqu'à 48 heures dans de rares cas. La plupart des fournisseurs DNS modernes propagent les changements en quelques minutes. Emitlo vérifie automatiquement vos enregistrements DNS et vous notifie quand la propagation est terminée.
Quelle politique DMARC devrais-je commencer par utiliser ?
Commencez avec p=none (surveiller uniquement). Cela vous permet de collecter des rapports DMARC sans affecter la livraison des emails. Après avoir examiné les rapports pendant 2 à 4 semaines et confirmé que toutes les sources d'emails légitimes sont authentifiées, passez à p=quarantine, puis à p=reject.
Qu'est-ce qu'un rapport DMARC ?
Les rapports DMARC sont des fichiers XML envoyés par les fournisseurs de messagerie à l'adresse email spécifiée dans votre enregistrement DMARC. Ils montrent quels emails ont réussi ou échoué à l'authentification, depuis quelles IPs, et quelle action a été prise. Utilisez un analyseur de rapports DMARC (comme dmarcian ou DMARC Digests de Postmark) pour les analyser.
Qu'est-ce que la double signature DKIM ?
La double signature DKIM signifie qu'un email est signé avec deux clés DKIM : votre propre clé de domaine et la clé de la plateforme d'envoi. Emitlo signe chaque email avec les deux. Cela fournit une couche d'authentification supplémentaire qui améliore le placement en boîte de réception avec les récepteurs stricts comme Gmail et Outlook.
Quelle est la différence entre l'alignement DKIM et la signature DKIM ?
La signature DKIM signifie que votre email a une signature DKIM. L'alignement DKIM (requis pour DMARC) signifie que le domaine dans la signature DKIM correspond au domaine dans l'en-tête From. Les deux sont requis pour que DMARC passe.

Guides connexes :

Guide de délivrabilité email

Guide complet
Guide de chauffe d'IP

Warmup étape par étape
Bonnes pratiques email transactionnel

12 règles pour la boîte de réception
Emitlo vs Amazon SES

Configuration auto vs manuelle
Meilleurs relais SMTP

Comparaison complète