zapia
Retour au blog
Email6 juin 20267 min de lecture

Comment configurer les enregistrements SPF et DKIM de votre domaine

Si vos emails partent en spam ou sont rejetés, il vous manque probablement le SPF et le DKIM — les deux enregistrements DNS qui prouvent que votre courrier est bien le vôtre. Gmail et Outlook les exigent désormais de fait. Voici à quoi ils servent et comment les ajouter.

Si vos emails atterrissent en spam — ou sont carrément rejetés — il y a de fortes chances qu'il vous manque deux enregistrements DNS : SPF et DKIM. Ce sont les deux preuves qu'un email se réclamant de votre domaine est bien autorisé par vous. Gmail, Outlook et Yahoo les exigent désormais de fait. Voici à quoi ils servent et comment les ajouter.

Pourquoi SPF et DKIM comptent

L'email a été conçu à une époque de confiance : par défaut, n'importe qui peut envoyer un message en se faisant passer pour vous@monentreprise.fr. SPF et DKIM ferment cette faille. Sans eux :

  • Vos emails légitimes ont beaucoup plus de risques d'être filtrés en spam.
  • Des escrocs peuvent usurper votre domaine pour piéger vos clients.
  • Les grands fournisseurs peuvent rejeter votre courrier — les expéditeurs en volume vers Gmail et Yahoo doivent désormais s'authentifier.

C'est quoi le SPF ?

Le SPF (Sender Policy Framework) est un simple enregistrement DNS TXT qui liste les serveurs autorisés à envoyer des emails pour votre domaine. Quand un serveur reçoit votre message, il vérifie le serveur expéditeur par rapport à cette liste.

Un enregistrement SPF ressemble à ceci :

v=spf1 include:_spf.google.com ~all
  • v=spf1 — déclare qu'il s'agit d'un enregistrement SPF.
  • include:_spf.google.com — autorise Google Workspace à envoyer pour vous (remplacez par la valeur de votre fournisseur).
  • ~all — échec souple pour tout ce qui n'est pas listé (marqué comme suspect). -all est plus strict (rejet ferme).
Vous ne pouvez avoir qu'un seul enregistrement SPF par domaine. Si vous utilisez plusieurs expéditeurs (ex. Google + un outil de newsletter), combinez-les dans un seul enregistrement avec plusieurs entrées include:— n'en créez pas deux.

C'est quoi le DKIM ?

Le DKIM (DomainKeys Identified Mail) ajoute une signaturecryptographique à chaque message que vous envoyez. Votre fournisseur détient une clé privée et signe le courrier sortant ; vous publiez la clé publique correspondante dans le DNS. Le serveur destinataire l'utilise pour confirmer que le message vient bien de vous et n'a pas été altéré en route.

Le DKIM se publie comme un enregistrement TXT sur un sous-domaine sélecteur spécial. Votre fournisseur vous fournit le nom et la valeur — par exemple :

Nom :    google._domainkey
Type :   TXT
Valeur : v=DKIM1; k=rsa; p=MIGfMA0GCSq...   (longue clé publique)

Vous ne le générez pas vous-même — vous le copiez depuis la console d'administration de votre fournisseur d'email.

Le DMARC fait le lien

Le DMARCest le troisième enregistrement : il indique aux serveurs destinataires quoi faire quand le SPF ou le DKIM échoue — et où envoyer les rapports. C'est ainsi qu'on passe d'« authentifié » à réellement protégé contre l'usurpation. Un enregistrement de départ :

Nom :    _dmarc
Type :   TXT
Valeur : v=DMARC1; p=none; rua=mailto:dmarc@monentreprise.fr
  • p=none — surveillance seule ; n'agit pas encore. Commencez ici pour collecter les rapports sans risque.
  • p=quarantine — envoie les échecs en spam. Passez ici une fois confiant.
  • p=reject — rejette les échecs purement et simplement. La protection la plus forte.
Configurez d'abord SPF et DKIM, puis ajoutez le DMARC en p=none, observez les rapports pendant deux semaines, et seulement ensuite durcissez la politique.

Comment les configurer

Les trois sont des enregistrements DNS TXTajoutés dans la zone DNS de votre domaine — chez votre bureau d'enregistrement (OVH, Gandi, Cloudflare, GoDaddy, etc.), au même endroit que vos enregistrements A.

  • Récupérez les valeurs auprès de votre fournisseur d'email. Google Workspace, Microsoft 365 et la plupart des fournisseurs proposent une configuration en un clic ou une page d'aide avec les enregistrements exacts.
  • Ouvrez l'éditeur de zone DNS chez votre registrar.
  • Ajoutez l'enregistrement SPF — un TXT sur @ avec votre valeur v=spf1 ….
  • Ajoutez l'enregistrement DKIM — un TXT sur le nom de sélecteur fourni par votre fournisseur (ex. google._domainkey).
  • Ajoutez l'enregistrement DMARC — un TXT sur _dmarc.
  • Enregistrez et attendez la propagation DNS (de quelques minutes à quelques heures).

Vérifier que ça marche

  • Envoyez un email vers un compte Gmail, ouvrez-le et utilisez « Afficher l'original » — vous devriez voir SPF : PASS et DKIM : PASS.
  • Utilisez un vérificateur gratuit (MXToolbox, dmarcian, ou l'outil intégré de votre fournisseur) pour confirmer que les trois enregistrements répondent.
  • Observez les rapports DMARC rua pendant deux semaines avant de durcir la politique.

Dépannage

  • Le SPF échoue — vous avez probablement deux enregistrements SPF, ou oublié un expéditeur. Fusionnez en un seul avec toutes vos entrées include:.
  • Le DKIM échoue — la clé publique a été collée avec un saut de ligne ou tronquée. Copiez toute la valeur en une seule chaîne.
  • Toujours en spam malgré le PASS — l'authentification est nécessaire mais pas suffisante ; la réputation d'envoi, le contenu et la qualité de la liste comptent aussi.
  • Rien ne répond — laissez le DNS se propager, et revérifiez les noms d'enregistrement (@, le sélecteur, _dmarc).
Vous ne savez pas quels enregistrements votre fournisseur attend ? Envoyez-nous votre domaine et votre fournisseur d'email à contact@zapia.fr et nous vous donnerons les valeurs exactes à coller.