La configuration DNS influence directement la délivrabilité et la sécurité des courriers électroniques, elle guide les décisions d’acceptation chez les récepteurs. Protéger un domaine exige l’implémentation coordonnée de SPF, DKIM et DMARC pour éviter le spoofing et préserver la réputation.
Les besoins vont du simple webmaster aux équipes marketing qui envoient des newsletters massives, et aux administrateurs en charge des SaaS. Les points essentiels sont présentés ci-après pour un déploiement rapide et sécurisé.
A retenir :
- SPF strict, limitation des émetteurs autorisés par adresse IP
- DKIM avec clé 2048 bits, signature cryptographique des messages
- DMARC en mode audit, collecte des rapports RUA pour ajuster
- Surveillance continue avec Google Postmaster, MxToolbox et Mail-Tester
Configurer SPF pour une délivrabilité optimale
Après avoir listé l’essentiel, il faut commencer par configurer le SPF du domaine pour encadrer les sources d’envoi. Le SPF déclare les serveurs autorisés et réduit l’usurpation d’adresse au niveau du Mail From.
SPF DNS et syntaxe
Ce point détaille la syntaxe et les contraintes d’un enregistrement SPF DNS pour un domaine d’entreprise. La ligne commence par v=spf1 puis inclut ip4, ip6 et include selon besoin pour regrouper fournisseurs.
Directives SPF recommandées :
- Lister toutes les IPs d’envoi autorisées
- Inclure fournisseurs tiers via include
- Respecter la limite de dix lookups DNS
- Tester après publication avec MxToolbox
Fournisseur
SPF
Notes
Google Workspace
Oui
Utiliser include:_spf.google.com
Microsoft 365
Oui
Inclure SPF Microsoft pour Exchange Online
OVH
Oui
Gestion via zone DNS OVH
Gandi
Oui
Publier TXT dans la zone DNS
Zoho Mail
Oui
Directive include spécifique à Zoho
Déploiement pratique et tests
Ce passage explique la mise en œuvre pratique et les tests post-publication du SPF pour éviter les rebonds massifs. Selon MxToolbox, la vérification DNS et la syntaxe correcte sont essentielles pour une bonne délivrabilité des messages.
« J’ai observé une chute immédiate des rebonds après avoir corrigé notre SPF et nos include. »
Alice B.
Après un SPF solide, il reste la signature des messages pour prouver l’intégrité et éviter les falsifications. La suite aborde le DKIM et la gestion des clés publiques dans le DNS, utile pour toute messagerie professionnelle.
Mettre en place DKIM et signatures cryptographiques
Le passage précédent montrait pourquoi SPF n’est pas suffisant face à la falsification et aux altérations. Le DKIM ajoute une signature cryptographique assurant l’intégrité des messages et lier l’email au domaine émetteur.
Génération de clés et sélecteurs
Ce point décrit la génération des paires de clés et le choix des sélecteurs DKIM pour distinguer les jeux de clés. Selon Google Workspace, la clé 2048 bits est recommandée pour 2025 afin d’équilibrer sécurité et compatibilité.
Étapes génération clés :
- Générer paire RSA sur serveur sécurisé
- Sauvegarder la clé privée hors ligne
- Publier la clé publique dans un TXT sélecteur
- Activer la signature sur le serveur d’envoi
Longueur clé
Niveau de sécurité
Compatibilité
512 bits
Faible
Obsolète, à éviter
1024 bits
Acceptable
Support ancien mais limité
2048 bits
Recommandé
Bon compromis sécurité/performances
4096 bits
Très élevé
Risque de fragmentation DNS
Intégration avec fournisseurs
Ce point montre les variations selon les plateformes et les consignes fournisseurs pour DKIM, et le besoin d’adapter les sélecteurs. Des services comme Google Workspace, Microsoft 365, Zoho Mail ou Infomaniak fournissent des guides spécifiques pour publier les clés publiques.
« Après l’activation DKIM sur Mailjet, notre taux de marquage spam a fortement diminué. »
Marc L.
Une signature valide accroît la confiance, mais l’alignement des domaines reste nécessaire pour bloquer le spoofing. Le chapitre suivant traite du DMARC pour définir la politique et collecter des rapports d’usage.
Déployer DMARC et mesurer la conformité
Après signatures et listes d’envoi, il devient essentiel d’imposer une politique de contrôle pour gérer les échecs d’authentification. Le DMARC permet d’indiquer aux récepteurs la conduite à tenir face aux emails non conformes et d’activer le reporting RUA.
Rédaction d’une politique DMARC
Ce paragraphe explique les options de politique et leurs effets sur la livraison des messages à destination des boîtes de réception. Selon Afnic, commencer par p=none permet de collecter des données sans impacter la livraison pendant l’audit initial.
Paramètres DMARC clés :
- p=none pour audit initial
- p=quarantine pour marquage spam
- p=reject pour rejet strict
- rua pour rapports agrégés par mail
Directive
Impact livraison
Usage recommandé
p=none
Aucun blocage
Phase d’observation
p=quarantine
Placement probable en spam
Durcissement progressif
p=reject
Refus des messages non conformes
Usage avancé, après tests
pct
Application partielle
Rollout progressif
Surveillance et outils de reporting
Ce segment détaille l’exploitation des rapports RUA et des outils d’analyse DMARC pour détecter les usages malveillants du domaine. Selon MxToolbox et Google Postmaster, la surveillance régulière réduit les risques de blocage par les grands fournisseurs et améliore la délivrabilité.
Outils de supervision recommandés :
- Google Postmaster pour réputation et authenticité
- MxToolbox pour vérifications DNS et syntaxe
- Mail-Tester pour score d’indésirabilité
- Parsedmarc pour analyse des rapports RUA
Service
Type
Support DKIM
Mailgun
SMTP/API
Guide DKIM disponible
Sendinblue
Marketing/SMS
Configuration DKIM dans la plateforme
Mailjet
Transactional
Publication clé publique requise
Mailchimp
Email marketing
Support DKIM et conseils DNS
« Le rapport DMARC nous a permis d’identifier un service externe mal configuré. »
Sophie P.
« Avis : combiner SPF, DKIM et DMARC a sauvé notre réputation d’envoi en quelques semaines. »
Paul N.
La surveillance et l’itération restent la clé, car l’écosystème de messagerie évolue constamment. La mise en œuvre progressive et la lecture attentive des rapports permettent d’atteindre une délivrabilité robuste et durable.
Source : Google, « Postmaster Tools overview », Google, 2024 ; Afnic, « Protégez vos e-mails grâce au DNS (SPF, DKIM, DMARC) », Afnic, 2023 ; MxToolbox, « SPF Record Lookup », MxToolbox, 2023.