SPF, DKIM, DMARC : le guide complet pour configurer votre authentification email en 2026
SPF, DKIM et DMARC : si vous envoyez des emails de prospection, vous avez forcément croisé ces trois acronymes. Et probablement déjà soufflé un peu de désespoir devant la doc technique.
En 2026, ces trois protocoles d'authentification ne sont plus optionnels. Depuis février 2024, Google et Yahoo rejettent les emails non authentifiés des expéditeurs en masse, et Microsoft a suivi en mai 2025. Pour les équipes qui font du cold email B2B, c'est devenu la condition minimale pour atteindre la boîte de réception.
Qu'est-ce que SPF, DKIM et DMARC ?
SPF, DKIM et DMARC sont trois protocoles d'authentification email complémentaires. Chacun joue un rôle précis dans la vérification qu'un email envoyé depuis votre domaine est bien légitime.
- SPF (Sender Policy Framework) : déclare quels serveurs sont autorisés à envoyer des emails depuis votre domaine.
- DKIM (DomainKeys Identified Mail) : ajoute une signature cryptographique à chaque email pour prouver qu'il n'a pas été altéré.
- DMARC (Domain-based Message Authentication, Reporting and Conformance) : indique aux serveurs destinataires quoi faire si SPF ou DKIM échouent, et envoie des rapports de monitoring.
Configurer les trois correctement, c'est le ticket d'entrée pour la boîte de réception en 2026. Manquer un seul des trois, et vos emails risquent d'atterrir en spam ou d'être rejetés par Gmail, Outlook ou Yahoo.
SPF : le permis d'envoyer
SPF est le plus ancien des trois protocoles. Son principe est simple : vous publiez dans votre DNS la liste des serveurs autorisés à envoyer des emails au nom de votre domaine.
Comment ça marche
Quand un serveur reçoit un email prétendant venir de votre domaine, il vérifie que l'adresse IP de l'expéditeur figure bien dans la liste SPF que vous avez publiée.
Exemple d'enregistrement SPF :
v=spf1 include:_spf.google.com include:_spf.emelia.io ~all
Cet enregistrement dit : "Les emails depuis ce domaine peuvent être envoyés par les serveurs de Google Workspace et d'Emelia. Tout autre serveur est suspect."
La limite des 10 lookups DNS
Un piège classique : SPF ne peut pas générer plus de 10 requêtes DNS. Chaque include: compte pour un lookup, et certains services (comme Microsoft 365) en consomment plusieurs. Au-delà de 10, tout le SPF retourne une erreur PermError. Solution : utiliser un outil de SPF flattening.
Hard fail vs Soft fail
- ~all (soft fail) : l'email échoue mais peut être livré (mode recommandé pour démarrer)
- -all (hard fail) : l'email est rejeté (à utiliser quand tout est propre)
DKIM : la signature qui prouve l'intégrité
DKIM ajoute une signature cryptographique à chaque email sortant. Une clé privée signe le message côté expéditeur, une clé publique publiée dans votre DNS permet au destinataire de vérifier la signature.
Pourquoi DKIM est crucial
Contrairement à SPF, DKIM survit au transfert d'email. Quand un destinataire transfère votre message, l'IP change et SPF échoue. Mais la signature DKIM, elle, reste intacte. C'est pour ça qu'en 2026, DKIM est la pierre angulaire de l'authentification.
Exemple d'enregistrement DKIM :
selector1._domainkey.votredomaine.com IN TXT "v=DKIM1; k=rsa; p=MIGfMA0..."
Bonnes pratiques
- Utilisez des clés RSA 2048 bits (les clés 1024 bits sont pénalisées)
- Faites tourner vos clés tous les 6 à 12 mois
- Chaque service d'envoi doit avoir sa propre clé DKIM
DMARC : la politique qui décide
DMARC ne remplace ni SPF ni DKIM. Il vient par-dessus pour répondre à deux questions : "Que faire si SPF ou DKIM échouent ?" et "Qui essaie d'envoyer des emails en mon nom ?"
Les 3 politiques DMARC
- p=none : monitoring uniquement. Mode de démarrage recommandé pour collecter des rapports.
- p=quarantine : les emails non authentifiés vont en spam. Étape intermédiaire.
- p=reject : les emails non authentifiés sont rejetés. Mode cible final.
La progression recommandée
1. p=none pendant 4-6 semaines → collecter les rapports
2. Corriger toutes les sources d'email non authentifiées
3. p=quarantine pendant 2-4 semaines → tester
4. p=reject → protection maximale
Les rapports DMARC
Le bénéfice le plus sous-estimé de DMARC : avec rua=mailto:dmarc@votredomaine.com, vous recevez des rapports XML quotidiens détaillant qui envoie des emails en votre nom, depuis quelles IP, et avec quel taux de succès.
Pourquoi les trois ensemble ?
Chaque protocole couvre un angle mort :
- SPF seul vérifie l'IP d'envoi (Return-Path), pas le From visible. Un attaquant peut spoof votre nom.
- DKIM seul prouve l'intégrité du message mais n'indique pas quoi faire en cas d'échec.
- DMARC seul ne fonctionne pas sans SPF ou DKIM pour s'appuyer dessus.
Ensemble, ils forment un système complet : SPF vérifie l'IP, DKIM vérifie le contenu, DMARC applique la politique.
Guide de configuration pas à pas
Étape 1 : SPF
Listez tous les services qui envoient des emails pour vous. Demandez à chacun la valeur include: à utiliser. Combinez-les dans un seul enregistrement TXT à la racine de votre domaine. Démarrez en ~all. Vérifiez avec MXToolbox.
Étape 2 : DKIM
Pour chaque service d'envoi, générez une paire de clés dans son interface. Publiez le TXT dans votre DNS au sélecteur indiqué. Attendez la propagation (5-60 min), puis activez l'authentification.
Étape 3 : DMARC
Publiez _dmarc.votredomaine.com en p=none pour commencer. Pendant 4-6 semaines, analysez les rapports et corrigez les sources qui échouent. Puis passez à p=quarantine, puis p=reject.
Outils de vérification
- MXToolbox : vérification complète SPF, DKIM, DMARC
- Google Admin Toolbox : diagnostic Google Workspace
- dmarcian : analyse des rapports DMARC
- Commande
dig: vérification DNS en ligne de commande
Erreurs courantes à éviter
| Erreur | Solution |
|---|---|
| Dépasser 10 lookups DNS SPF | Aplatir le SPF |
| Plusieurs enregistrements SPF | Un seul par domaine |
| Alignement DMARC incorrect | Vérifier From vs Return-Path |
| Ignorer les rapports DMARC | Analyser quotidiennement |
| Clé DKIM 1024 bits | Passer en 2048 bits |
| Passer à p=reject trop vite | Attendre 6+ semaines de monitoring |
SPF, DKIM, DMARC et le cold email
Si vous faites du cold email B2B en 2026, configurer correctement ces trois protocoles est la condition de survie de vos campagnes. Gmail, Outlook et Yahoo rejettent désormais les emails non authentifiés — ils ne les classent plus en spam, ils les bloquent.
Votre réputation de domaine se construit sur l'ensemble des emails envoyés. Si une partie de vos envois est mal authentifiée, c'est tout votre domaine qui pâtit. C'est pourquoi les pros du cold email utilisent souvent des domaines dédiés à la prospection (ex: votremarque-prospection.com) avec leur propre SPF/DKIM/DMARC, pour isoler la réputation de leur domaine principal.
FAQ
SPF et DKIM, quelle différence ?
SPF vérifie l'IP du serveur d'envoi. DKIM vérifie l'intégrité du contenu via une signature cryptographique. SPF échoue lors d'un transfert, DKIM non.
Faut-il vraiment les trois ?
Oui. Depuis 2024, Google, Yahoo et Microsoft exigent SPF + DKIM + DMARC pour les expéditeurs en masse. SPF seul ne suffit pas.
Comment vérifier ma configuration ?
MXToolbox vérifie les trois protocoles en quelques secondes. En ligne de commande : dig TXT votredomaine.com pour SPF, dig TXT _dmarc.votredomaine.com pour DMARC.
Combien de temps pour tout configurer ?
La configuration technique prend 30 min à 2h. Le déploiement complet jusqu'à p=reject prend 6 à 12 semaines (monitoring inclus).
Que risque-t-on avec p=reject trop tôt ?
Bloquer vos propres emails légitimes. Un service oublié (newsletter, CRM, outil RH) qui envoie sans authentification verra tous ses messages rejetés.
Conclusion
SPF, DKIM et DMARC sont la fondation technique de votre délivrabilité email en 2026. Une fois configurés correctement, vous protégez votre domaine contre l'usurpation, vous maximisez votre taux de livraison et vous gagnez une visibilité totale sur qui envoie des emails en votre nom.
Si vous démarrez une stratégie de prospection email B2B, commencez par l'authentification avant même d'écrire votre première séquence. C'est l'investissement ponctuel qui rapporte sur toute la durée de vie de vos campagnes.
Envie de lire la suite ?
Inscrivez-vous gratuitement pour débloquer la fin de cet article et recevoir nos meilleurs contenus.
Prêt à automatiser votre business ?
Rejoignez nos programmes sur-mesure et construisez la Growth Machine que votre entreprise mérite.
Découvrir nos offres
