Email · 7 min

DMARC, SPF et DKIM pour PME : protéger votre domaine de l’usurpation

Comprendre SPF, DKIM et DMARC en langage clair : à quoi ils servent contre l’usurpation de domaine, comment les vérifier et déployer DMARC en toute sécurité.

Réponse courte

En bref

Comprendre SPF, DKIM et DMARC en langage clair : à quoi ils servent contre l’usurpation de domaine, comment les vérifier et déployer DMARC en toute sécurité.

Sans protection, n’importe qui peut envoyer un e-mail qui semble provenir de votre entreprise. Un attaquant peut ainsi écrire à vos clients ou à vos collaborateurs en votre nom, pour réclamer un paiement ou soutirer des informations. C’est l’usurpation de domaine, et elle abîme directement votre réputation.

Trois mécanismes travaillent ensemble pour empêcher cela : SPF, DKIM et DMARC. Leurs noms sont techniques, mais leur logique est simple. Une fois en place, ils authentifient vos e-mails légitimes et permettent de rejeter ceux qui usurpent votre domaine.

Cet article explique chacun de ces mécanismes en langage clair, pourquoi ils comptent, comment vérifier les vôtres, et comment déployer DMARC progressivement sans risquer de bloquer vos propres messages.

SPF, DKIM, DMARC : à quoi ils servent, simplement

Ces trois mécanismes reposent sur des enregistrements publics de votre domaine et fonctionnent en complément les uns des autres. Pris isolément, chacun couvre une partie du problème ; ensemble, ils forment une protection cohérente.

L’image utile : SPF dresse la liste des expéditeurs autorisés, DKIM appose un sceau infalsifiable, et DMARC dicte la conduite à tenir face à un message qui échoue aux contrôles.

  • SPF déclare quels serveurs ont le droit d’envoyer des e-mails pour votre domaine.
  • DKIM ajoute une signature cryptographique qui prouve que le message n’a pas été altéré et vient bien de vous.
  • DMARC indique aux serveurs destinataires quoi faire si SPF ou DKIM échoue, et vous envoie des rapports.

Pourquoi c’est important pour une PME

Une PME qui néglige ces réglages laisse la porte ouverte à l’usurpation de son nom. Les conséquences sont concrètes : clients trompés par de faux e-mails, factures frauduleuses, perte de confiance et messages légitimes classés en indésirables.

À l’inverse, un domaine correctement authentifié inspire confiance, améliore la délivrabilité de vos e-mails et coupe l’un des vecteurs les plus utilisés dans les fraudes ciblant les PME.

Comment vérifier votre configuration

Avant de modifier quoi que ce soit, il faut savoir où vous en êtes. Vous pouvez consulter les enregistrements publics de votre domaine pour voir si SPF, DKIM et DMARC existent et comment ils sont configurés.

L’erreur classique est d’avoir un SPF ou un DMARC présent mais mal réglé, ce qui donne un faux sentiment de sécurité. Une vérification sérieuse examine le contenu des enregistrements, pas seulement leur existence.

  • Vérifier la présence et le contenu de l’enregistrement SPF, et qu’il liste bien tous vos services d’envoi.
  • Contrôler que DKIM est actif et correctement signé pour votre domaine.
  • Regarder si un enregistrement DMARC existe et quelle politique il applique.
  • Analyser les rapports DMARC pour repérer les envois légitimes non authentifiés.

Déployer DMARC en toute sécurité

DMARC ne s’active pas brutalement. Passer directement en mode rejet risque de bloquer vos propres e-mails légitimes, par exemple ceux envoyés par un outil de facturation ou une plateforme marketing oubliée.

La bonne méthode est progressive : on observe d’abord, on resserre ensuite, on durcit enfin. Chaque étape s’appuie sur les rapports pour s’assurer qu’aucun flux légitime n’est pris au piège.

  • Étape 1 — none : observer sans bloquer et collecter les rapports pour identifier tous vos expéditeurs légitimes.
  • Étape 2 — quarantine : diriger les messages douteux vers les indésirables une fois les flux légitimes authentifiés.
  • Étape 3 — reject : rejeter les messages usurpant votre domaine, une fois la configuration stabilisée.

Les pièges les plus fréquents

Quelques erreurs reviennent souvent et empêchent la protection de fonctionner comme prévu. Les connaître évite de croire à tort que votre domaine est protégé.

Un audit de votre messagerie inclut la vérification de cette chaîne d’authentification et son alignement avec vos outils d’envoi réels. C’est un chantier court, à fort effet, souvent négligé.

  • Oublier un service d’envoi légitime dans SPF, qui finit rejeté par DMARC.
  • Dépasser les limites de l’enregistrement SPF en cumulant trop de services.
  • Rester indéfiniment en politique « none » sans jamais passer au rejet.
  • Ne pas lire les rapports DMARC, et donc ne pas détecter les usurpations.