SPF, DKIM et DMARC : Le guide complet pour sécuriser et optimiser la délivrabilité de vos emails

Table des matières

• 1. SPF (Sender Policy Framework)
• 2. DKIM (DomainKeys Identified Mail)
• 3. DMARC (Domain-based Message Authentication)
• 4. Impact sur la délivrabilité
• 5. Configuration étape par étape
• 6. Erreurs courantes à éviter
• 7. Outils de test et monitoring

SPF : Sender Policy Framework

Qu'est-ce que le SPF ?

Le SPF (Sender Policy Framework) est un protocole d'authentification email qui permet au propriétaire d'un nom de domaine de spécifier quels serveurs de messagerie sont autorisés à envoyer des emails au nom de ce domaine. Il s'agit d'un enregistrement DNS de type TXT qui liste les adresses IP et domaines légitimes.

Syntaxe d'un enregistrement SPF

Un enregistrement SPF commence toujours par v=spf1 suivi de mécanismes et qualificateurs :

v=spf1 ip4:192.168.1.1 ip6:2001:db8::1 include:_spf.google.com ~all

Mécanismes SPF principaux

• ip4 / ip6 : Autoriser une adresse IP spécifique (v4 ou v6)
• a : Autoriser l'adresse IP de l'enregistrement A du domaine
• mx : Autoriser les serveurs MX du domaine
• include : Inclure les règles SPF d'un autre domaine
• all : Mécanisme de fallback (toutes les autres sources)

Qualificateurs SPF

Exemple d'enregistrement SPF complet

v=spf1 ip4:192.0.2.0/24 ip4:198.51.100.123 include:_spf.google.com include:spf.protection.outlook.com include:_spf.akidel.eu ~all

Cet enregistrement autorise : une plage d'IP (/24), une IP spécifique, les serveurs Google, Microsoft et AKIDEL, avec un softfail pour tout le reste.

DKIM : DomainKeys Identified Mail

Qu'est-ce que le DKIM ?

Le DKIM (DomainKeys Identified Mail) est un protocole de signature cryptographique qui permet de vérifier l'intégrité et l'authenticité d'un email. Contrairement au SPF qui vérifie l'adresse IP de l'expéditeur, DKIM utilise la cryptographie asymétrique pour garantir que l'email n'a pas été modifié en transit et provient bien du domaine revendiqué.

Fonctionnement technique du DKIM

1. Génération de paire de clés : Une clé privée (conservée secrète sur le serveur d'envoi) et une clé publique (publiée dans un enregistrement DNS TXT)
2. Signature de l'email : Le serveur d'envoi crée une signature cryptographique (hash) de certains en-têtes et du corps de l'email avec la clé privée
3. Insertion de la signature : La signature est ajoutée dans l'en-tête DKIM-Signature de l'email
4. Vérification par le destinataire : Le serveur récepteur récupère la clé publique depuis le DNS et vérifie la signature

Structure d'un en-tête DKIM-Signature

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
  d=akidel.eu; s=selector1;
  h=from:to:subject:date:message-id;
  bh=2jUSOH9NhtVGCQWNr9BrIAPreKQjO6Sn7XIkfJVOzv8=;
  b=YC3/uP5k...signature...Lx1Zy+A==

Paramètres clés de la signature DKIM

• v : Version du protocole DKIM (toujours 1)
• a : Algorithme de signature (rsa-sha256 recommandé)
• c : Méthode de canonicalisation (relaxed/relaxed ou simple/simple)
• d : Domaine signataire (domaine de l'expéditeur)
• s : Sélecteur (identifie la clé publique dans le DNS)
• h : Liste des en-têtes signés
• bh : Hash du corps de l'email (body hash)
• b : Signature cryptographique finale

Enregistrement DNS DKIM

La clé publique est publiée dans un enregistrement DNS TXT avec le format :

selector1._domainkey.akidel.eu TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC...clé...QIDAQAB"

Canonicalisation : relaxed vs simple

La canonicalisation définit comment l'email est normalisé avant signature :

• simple : Aucune modification, signature stricte (sensible aux modifications mineures)
• relaxed : Normalise les espaces blancs et les sauts de ligne (plus tolérant, recommandé)

Le format c=relaxed/relaxed signifie : relaxed pour l'en-tête, relaxed pour le corps

DMARC : Domain-based Message Authentication

Qu'est-ce que le DMARC ?

Le DMARC (Domain-based Message Authentication, Reporting and Conformance) est le protocole qui unifie et complète SPF et DKIM. Il permet au propriétaire d'un domaine de :

• Définir une politique sur le traitement des emails qui échouent à l'authentification SPF/DKIM
• Recevoir des rapports agrégés et forensiques sur l'utilisation de son domaine
• Protéger sa marque contre le phishing et le spoofing
• Améliorer progressivement sa posture de sécurité

Structure d'un enregistrement DMARC

DMARC est un enregistrement DNS TXT publié sur le sous-domaine _dmarc :

_dmarc.akidel.eu TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@akidel.eu; ruf=mailto:dmarc-forensic@akidel.eu; pct=100; adkim=r; aspf=r; fo=1"

Paramètres DMARC essentiels

Autres paramètres DMARC importants

Alignement DMARC : le concept clé

Pour qu'un email passe DMARC, il doit satisfaire au moins un des deux critères :

1. SPF aligné : Le domaine dans le Return-Path (SPF) doit correspondre au domaine From visible
2. DKIM aligné : Le domaine de la signature DKIM (d=) doit correspondre au domaine From visible

L'implémentation correcte de SPF, DKIM et DMARC a un impact direct et mesurable sur la délivrabilité de vos campagnes email B2B. Voici les chiffres clés basés sur les études de Return Path, Validity et Valimail :

Exigences des principaux fournisseurs (2025)

Étape 1 : Configurer SPF

1. Identifier vos sources d'envoi légitimes
   • Serveurs de messagerie internes (IPs)
   • Services tiers : Google Workspace, Microsoft 365, SendGrid, Mailgun, etc.
   • Plateformes marketing : AKIDEL, Brevo, etc.
2. Construire l'enregistrement SPF

   v=spf1 ip4:votre.ip.serveur include:_spf.google.com include:spf.akidel.eu ~all

3. Ajouter l'enregistrement dans votre zone DNS

   Type : TXT, Nom : @ (ou votre domaine), Valeur : l'enregistrement SPF

4. Vérifier avec un outil : dig TXT votredomaine.com ou via MXToolbox

Étape 2 : Configurer DKIM

1. Générer une paire de clés DKIM

   Utilisez un outil comme OpenSSL ou demandez à votre fournisseur d'email (AKIDEL génère automatiquement vos clés)

   openssl genrsa -out dkim_private.key 2048 openssl rsa -in dkim_private.key -pubout -out dkim_public.key

2. Publier la clé publique dans le DNS

   Type : TXT, Nom : selecteur._domainkey.votredomaine.com

   v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKB...

3. Configurer votre serveur d'envoi pour signer les emails avec la clé privée
4. Tester l'enregistrement : dig TXT selecteur._domainkey.votredomaine.com

Étape 3 : Déployer DMARC progressivement

_dmarc.votredomaine.com TXT "v=DMARC1; p=none; rua=mailto:dmarc@votredomaine.com; pct=100"

_dmarc.votredomaine.com TXT "v=DMARC1; p=quarantine; pct=10; rua=mailto:dmarc@votredomaine.com"

_dmarc.votredomaine.com TXT "v=DMARC1; p=reject; rua=mailto:dmarc@votredomaine.com; ruf=mailto:forensic@votredomaine.com; fo=1"

Checklist de vérification complète

• Enregistrement SPF présent avec syntaxe correcte (< 10 lookups)
• Clé publique DKIM publiée et serveur d'envoi configuré pour signer
• Enregistrement DMARC avec politique adaptée (p=none puis quarantine/reject)
• Alignement SPF et/ou DKIM vérifié (domaine From: correspond)
• Rapports DMARC configurés (rua/ruf) et monitoring actif
• Tests réguliers avec Mail Tester (score > 8/10)
• Absence de blacklistage sur MXToolbox et SURBL