SPF, DKIM et DMARC : sécuriser vos e-mails Trois mécanismes DNS (SPF, DKIM et DMARC) pour éviter l’usurpation et améliorer la délivrabilité des mails. Pour lutter contre le spam et l’usurpation d’identité par e-mail, SPF, DKIM et DMARC forment une triplette essentielle.
Pour lutter contre le spam et l’usurpation d’identité par e-mail, SPF, DKIM et DMARC forment une triplette essentielle. Basés sur le DNS, ces mécanismes n’altèrent pas SMTP mais ajoutent une vérification côté destinataire. Si vous contrôlez un nom de domaine, ces enregistrements renforcent la délivrabilité et réduisent les abus.
SPF, DKIM et DMARC : les bases pour protéger vos e-mails
SPF autorise les serveurs d’envoi déclarés dans la zone DNS et vérifie l’adresse d’expédition SMTP (MAIL FROM). DKIM appose une signature cryptographique sur le message, la clé publique étant publiée dans le DNS. DMARC réunit les deux systèmes et impose une politique sur ce que fait le destinataire lorsque SPF ou DKIM échouent, tout en exigeant une correspondance entre le domaine vérifié et le From visible.
Comment cela se met en œuvre
Configuration SPF : entrée TXT du DNS. Exemple :
v=spf1 ip4:203.0.113.42 include:_spf.google.com include:spf.brevo.com ~all
- v=spf1 : version du protocole
- ip4:... : autorisation d’une IP
- include:... : délégation à un prestataire
- ~all / -all : comportement sur le reste
DKIM : clé privée sur l’expéditeur et clé publique dans le DNS. Exemple de forme :
selector1._domainkey.votredomaine.fr TXT "v=DKIM1; k=rsa; p=XXXXXXXX..."
Le sélecteur permet d’avoir plusieurs clés actives. La signature peut être cassée si des intermédiaires modifient le message en transit.
DMARC : recette DNS et politique
_dmarc.votredomaine.fr TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@votredomaine.fr; ruf=mailto:forensics@votredomaine.fr; pct=100; adkim=s; aspf=s"
- p : none / quarantine / reject
- rua, ruf : adresses de rapports
- adkim, aspf : alignement DKIM/SPF
Recommandation : démarrer avec p=none, analyser les rapports, puis passer à quarantine puis à reject. Notez que les rapports DMARC sont XML et peu lisibles pour un humain; des outils peuvent aider à les interpréter.
Microsoft et les choix d’infrastructure
Microsoft a renforcé l’application de ces standards dans ses services, mais le déploiement peut varier selon l’environnement (Outlook.com, Exchange Online, Azure). Certaines configurations ont provoqué des bugs et des retards, signe que l’écosystème reste complexe et source de confusion pour l’administration.
Faut-il gérer soi-même ou déléguer ?
Gérer son propre serveur SMTP offre un contrôle total mais nécessite une surveillance continue de SPF/DKIM/DMARC, de la réputation IP et des rebonds. Passer par un prestataire spécialisé simplifie la conformité et la délivrabilité, mais engendre un coût récurrent et une dépendance externe.
La recommandation pragmatique : pour la majorité des projets, recourir à un prestataire d’envoi transactionnel est le choix le plus efficace. Cela permet de gagner du temps et de se concentrer sur DMARC et la politique associée, sans se perder dans les détails techniques.
WordPress et l’envoi d’e-mails
La fonction native wp_mail() s’appuie sur la configuration PHP du serveur. Pour une meilleure délivrabilité, on peut soit utiliser une extension SMTP (par exemple WP Mail SMTP, FluentSMTP) pour connecter un serveur SMTP réel, soit adopter une API d’envoi (Brevo, SendGrid, Postmark, Azure) qui offre des tableaux de bord et une gestion des rebonds.
Pour aller plus loin
Ressources et outils de vérification utiles pour SPF, DKIM et DMARC et la RFC associée, afin de tester et vérifier votre configuration.
