SPF et DKIM : Configuration et Optimisation

Sécurisez vos emails et améliorez leur délivrabilité grâce à une configuration optimale de SPF et DKIM. Ce guide vous accompagne étape par étape.

Qu'est-ce que SPF et DKIM ?

SPF (Sender Policy Framework)

SPF est un mécanisme d'authentification email qui permet de spécifier quels serveurs sont autorisés à envoyer des emails pour votre domaine. Il aide à prévenir l'usurpation d'identité et améliore la délivrabilité.

DKIM (DomainKeys Identified Mail)

DKIM ajoute une signature cryptographique à vos emails, permettant aux destinataires de vérifier que le message n'a pas été modifié en transit et qu'il provient bien de votre domaine.

Configuration SPF : Guide Étape par Étape

1. Identifier vos sources d'envoi

Avant de configurer SPF, listez tous les services qui envoient des emails pour votre domaine :

Serveurs de messagerie internes
Services externes (MailChimp, SendGrid, etc.)
Applications web
Serveurs de sauvegarde

2. Créer votre enregistrement SPF

L'enregistrement SPF est un enregistrement TXT DNS qui suit cette syntaxe :

"v=spf1 include:_spf.google.com include:spf.protection.outlook.com ~all"

Mécanismes SPF principaux :

ip4: Autorise une adresse IPv4 spécifique
ip6: Autorise une adresse IPv6 spécifique
include: Inclut la politique SPF d'un autre domaine
a: Autorise l'adresse IP de l'enregistrement A du domaine
mx: Autorise les serveurs de messagerie du domaine

3. Directive finale

Elle définit la règle que le serveur de réception doit appliquer aux e-mails envoyés depuis des serveurs non autorisés :

-all : seuls les serveurs listés sont autorisés. Les autres sont rejetés (recommandé)

~all (SoftFail) : les serveurs non-autorisés ne sont pas bloqués mais marqués suspects.

?all (Neutral) : aucun jugement. L'équivalent de "aucune protection".

+all : autorise tout le monde. SPF devient inutile. À proscrire.

Configuration DKIM : Authentification Cryptographique

1. Génération des clés DKIM

DKIM utilise une paire de clés cryptographiques (publique/privée) :

Clé privée : Stockée sur votre serveur d'envoi
Clé publique : Publiée dans vos enregistrements DNS

2. Configuration serveur

Étapes de configuration :

Générer une paire de clés DKIM (RSA 2048 bits recommandé)
Configurer votre serveur de messagerie pour signer avec la clé privée
Publier la clé publique dans vos enregistrements DNS
Tester la signature DKIM

Nos outils sont à votre disposition :

3. Enregistrement DNS DKIM

L'enregistrement DKIM se présente sous cette forme :

selector._domainkey.votre-domaine.com TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC..."

Important : Le sélecteur (selector) doit correspondre à celui configuré sur votre serveur de messagerie.

Bonnes Pratiques et Optimisation

SPF - Recommandations

Limitez le nombre de lookups DNS (maximum 10)
Utilisez ~all plutôt que -all initialement
Surveillez vos rapports DMARC pour détecter les échecs
Mettez à jour vos enregistrements si vous avez des nouveaux serveurs/sources d'envoi
Pensez à supprimer les serveurs d'envoi obsolètes de vos enregistrements SPF
Cela vous permet de garder une configuration propre et réduit la surface d’attaque.

DKIM - Recommandations

Utilisez des clés RSA de 2048 bits minimum
Les clés plus faible (comme 1024 bits) sont désormais considérées comme insuffisantes.
Supprimez les clés inactives
Si vous effectuez des rotations de vos clés, pensez à retirer les anciens enregistrements DKIM inutilisés pour garder une configuration propre et réduire la surface d’attaque.
Signez tous vos emails sortants
Surveillez les signatures DKIM
Assurez-vous que vos emails sortants sont bien signés et que les signatures sont valides. Un outil comme DMARC ASSIST peut vous aider à détecter les échecs.

Erreurs Courantes à Éviter

⚠️ Erreurs SPF Fréquentes

Trop de lookups DNS : Dépassement de la limite de 10 lookups
Enregistrements multiples : Un seul enregistrement SPF par domaine
Syntaxe incorrecte : Espaces manquants ou mécanismes mal formés
Oubli de services : Ne pas inclure tous les expéditeurs légitimes

⚠️ Erreurs DKIM Fréquentes

Clés trop courtes : Utilisation de clés RSA inférieures à 1024 bits
Sélecteur incorrect : Discordance entre serveur et DNS
Mauvaise canonicalisation : Problèmes de formatage des headers
Expiration des clés : Clés expirées non renouvelées

Outils de Vérification et Test

Vérifiez vos configurations

Utilisez ces outils pour valider vos enregistrements SPF et DKIM :

Avec DMARC ASSIST

Notre plateforme vous permet de :

Générer automatiquement vos enregistrements SPF, DKIM et DMARC
Vérifier leur syntaxe et validité
Monitorer leur efficacité via les rapports DMARC
Centraliser les rapports DMARC directement dans votre compte
Visualiser un Tableau de bord et des graphiques interactifs pour une vision globale
Détecter les problèmes de configuration

Commencer gratuitement

Questions Fréquentes

Combien de temps pour la propagation DNS ?

Les modifications DNS peuvent prendre entre 1 heure et 48 heures pour se propager complètement, selon votre fournisseur DNS.

Puis-je avoir plusieurs enregistrements DKIM ?

Oui, vous pouvez avoir plusieurs sélecteurs DKIM pour le même domaine, ce qui est utile pour différents services d'envoi.

Que faire si mes emails sont toujours rejetés ?

Vérifiez votre configuration DMARC, analysez vos rapports DMARC, et assurez-vous que SPF et DKIM sont correctement alignés. N'hésitez pas à nous contacter si besoin.

Simplifiez votre Configuration Email

DMARC ASSIST : configuration SPF, DKIM et DMARC, avec rapports DMARC centralisés pour sécuriser vos emails.

Démarrer maintenant

Configuration DMARC