SPF, DKIM et DMARC sont les trois records DNS qui déterminent si vos emails arrivent en boîte de réception ou en spam. Depuis 2024, Google exige ces standards d'authentification de tous les expéditeurs en masse — les ignorer signifie que vos emails atterriront en spam ou seront directement rejetés. Ce guide vous explique la configuration étape par étape.
Qu'est-ce que l'authentification email et pourquoi est-elle importante ?
L'authentification email est un ensemble de standards techniques qui permet aux fournisseurs d'email de vérifier si un email provient réellement du domaine expéditeur indiqué. Le problème : le protocole email original (SMTP) n'a pas de vérification d'expéditeur intégrée. N'importe qui peut techniquement envoyer un email avec n'importe quelle adresse d'expéditeur.
Les trois standards d'authentification résolvent ce problème de différentes manières :
| Standard | Mécanisme de protection | Contre |
|---|---|---|
| SPF | Liste blanche de serveurs autorisés | Usurpation d'identité depuis des serveurs non autorisés |
| DKIM | Signature cryptographique du message | Manipulation pendant la transmission |
| DMARC | Politique pour les échecs d'authentification | Utilisation non autorisée de votre domaine |
Depuis février 2024, Google exige que tous les expéditeurs envoyant plus de 5 000 emails par jour à Gmail configurent SPF, DKIM et DMARC. Microsoft emboîte le pas en 2025. Pour le cold email, ces standards ne sont plus optionnels — ils sont obligatoires, notamment au regard du RGPD.
Configurer SPF — Étape par étape
Qu'est-ce qu'un record SPF ?
Un record SPF est une entrée TXT dans votre DNS qui liste les serveurs autorisés à envoyer des emails en votre nom. Les serveurs de messagerie destinataires vérifient cette entrée lorsqu'un email de votre domaine arrive.
La structure de base d'un record SPF
v=spf1 include:_spf.google.com ~all
| Élément | Signification |
|---|---|
v=spf1 | Version du protocole SPF (toujours identique) |
include:domain.com | Autorise tous les serveurs du fournisseur mentionné |
ip4:1.2.3.4 | Autorise une adresse IPv4 individuelle |
~all | Soft Fail : marquer les autres serveurs comme suspects |
-all | Hard Fail : rejeter les autres serveurs |
Records SPF pour les fournisseurs d'email les plus courants
| Fournisseur | Record SPF |
|---|---|
| Google Workspace | v=spf1 include:_spf.google.com ~all |
| Microsoft 365 | v=spf1 include:spf.protection.outlook.com ~all |
| Zoho Mail | v=spf1 include:zoho.eu ~all |
Règle la plus importante : Un seul record SPF est autorisé par domaine. Si vous utilisez plusieurs fournisseurs d'email, combinez-les en un seul record :
v=spf1 include:_spf.google.com include:spf.protection.outlook.com ip4:123.45.67.89 ~all
Jetzt kostenlos starten — ohne Kreditkarte
1 Mailbox · 1 Kampagne · 50 Prospects. Starte in unter 5 Minuten mit anicampaign.io.
Configurer DKIM — La signature numérique
Comment fonctionne DKIM
DKIM (DomainKeys Identified Mail) utilise une paire de clés : une clé privée sur votre serveur de messagerie et une clé publique dans votre DNS. Chaque email sortant est signé avec la clé privée. Le serveur destinataire lit la clé publique du DNS et vérifie la signature.
Configuration de DKIM dans Google Workspace
- Ouvrez Google Admin Console (admin.google.com)
- Naviguez vers Applications → Google Workspace → Gmail → Authentification des emails
- Sélectionnez votre domaine
- Cliquez sur "Générer un nouveau record" (2048 bits recommandé)
- Ajoutez le record TXT à votre DNS (Nom :
google._domainkey, Type : TXT) - Attendez 15 à 30 minutes, puis cliquez sur "Démarrer l'authentification DKIM"
Configurer DMARC — La politique
Le modèle de déploiement progressif de DMARC
Ne commencez jamais avec une politique stricte :
| Phase | Record | Signification | Durée |
|---|---|---|---|
| Phase 1 | p=none | Surveillance uniquement | 2-4 semaines |
| Phase 2 | p=quarantine; pct=25 | 25% des suspects en spam | 2 semaines |
| Phase 3 | p=quarantine; pct=100 | Tous les suspects en spam | 2-4 semaines |
| Phase 4 | p=reject | Rejeter les suspects | Permanent |
Configurer le record DMARC
Phase 1 (départ) :
Nom : _dmarc.votredomaine.fr
Type : TXT
Valeur : v=DMARC1; p=none; rua=mailto:dmarc@votredomaine.fr; fo=1
Erreurs courantes et comment les éviter
- Plusieurs records SPF : Un seul est autorisé. Combinez tout en un record.
- DMARC avant SPF et DKIM : Configurez d'abord SPF et DKIM, puis DMARC avec
p=none. - Trop de requêtes DNS dans SPF : La limite est 10. Minimisez les directives
include:. - Mauvais statut proxy dans Cloudflare : Les records TXT doivent être en "DNS only".
- Commencer directement avec
p=reject: Commencez toujours parp=noneet analysez les rapports.
Vérification avec des outils
- MXToolbox (mxtoolbox.com) : Vérificateurs séparés pour SPF, DKIM et DMARC
- Google Admin Toolbox (toolbox.googleapps.com) : Vérifie tous les records DNS en une étape
- mail-tester.com : Envoyez un vrai email et recevez un score anti-spam de 0 à 10
Objectif : 9/10 ou plus sur mail-tester.com.
Questions fréquentes
Qu'est-ce que SPF et pourquoi en ai-je besoin ?
SPF est un record DNS qui spécifie quels serveurs peuvent envoyer des emails pour votre domaine. Sans SPF, les fournisseurs ne peuvent pas vérifier vos emails et les envoient souvent en spam.
Quelle est la différence entre DKIM et SPF ?
SPF vérifie si le serveur expéditeur est autorisé ; DKIM signe l'email cryptographiquement. Ils se complètent.
Que se passe-t-il si je configure DMARC incorrectement ?
Un DMARC mal configuré avec une politique "reject" peut faire rejeter tous vos emails. Commencez toujours par p=none et changez de politique uniquement après avoir analysé les rapports pendant 2 à 4 semaines.
Combien de temps faut-il pour que les modifications DNS prennent effet ?
La propagation DNS peut prendre de 15 minutes à 48 heures ; 1 à 4 heures est typique.
Ai-je besoin de SPF, DKIM et DMARC pour le cold email ?
Oui, les trois sont indispensables. Sans authentification correcte, vos emails atterriront très probablement en spam.