SPF, DKIM et DMARC : le guide complet de l'authentification e-mail

L’authentification e-mail est le fondement d’un envoi fiable. Sans une configuration correcte de SPF, DKIM et DMARC, vos e-mails soigneusement rédigés risquent de ne jamais atteindre les boîtes de réception de vos clients. Ils se retrouvent à la place dans les dossiers spam ou sont rejetés définitivement.

Ce guide complet explique ce que fait chaque protocole d’authentification, fournit des instructions de configuration DNS étape par étape, couvre la résolution des problèmes courants et vous montre comment vérifier que votre configuration fonctionne correctement.

Pourquoi l’authentification e-mail est indispensable

L’e-mail a été conçu à une époque où la sécurité n’était pas une priorité. Le protocole SMTP d’origine ne dispose d’aucun mécanisme de vérification intégré pour confirmer qu’un e-mail provient bien de celui qui prétend l’avoir envoyé. Cette faiblesse fondamentale permet l’usurpation d’e-mail, les attaques de phishing et le spam.

Les protocoles d’authentification e-mail résolvent ce problème en permettant aux propriétaires de domaine de spécifier :

• Quels serveurs peuvent envoyer des e-mails en leur nom (SPF)
• Une preuve cryptographique que les messages sont authentiques et non altérés (DKIM)
• Ce qu’il faut faire avec les messages qui échouent à l’authentification (DMARC)

L’impact commercial d’une mauvaise authentification

Sans authentification e-mail adéquate :

• Délivrabilité réduite : les principaux fournisseurs comme Gmail, Microsoft et Yahoo filtrent plus agressivement les e-mails non authentifiés
• Taux de spam plus élevés : vos e-mails légitimes rivalisent avec des messages usurpant votre domaine
• Atteinte à la marque : les attaques de phishing usurpant votre identité érodent la confiance des clients
• Perte de revenus : les campagnes marketing n’atteignent pas les abonnés qui se sont inscrits pour les recevoir
• Risques de conformité : de nombreuses réglementations exigent désormais une authentification e-mail adéquate

La triade d’authentification

SPF, DKIM et DMARC fonctionnent ensemble comme un système d’authentification complet :

Chaque protocole traite différents vecteurs d’attaque. SPF empêche les serveurs non autorisés d’envoyer en votre nom. DKIM empêche la modification des messages après l’envoi. DMARC les relie et offre une visibilité sur les résultats d’authentification.

Comprendre SPF (Sender Policy Framework)

SPF est une méthode d’authentification e-mail basée sur le DNS qui spécifie quels serveurs de messagerie sont autorisés à envoyer des e-mails au nom de votre domaine.

Comment fonctionne SPF

Lorsqu’un e-mail arrive sur un serveur destinataire, ce serveur consulte l’enregistrement SPF du domaine expéditeur. Il vérifie ensuite si l’adresse IP ayant envoyé l’e-mail figure dans la liste des expéditeurs autorisés. Si l’IP correspond, SPF réussit. Sinon, SPF échoue.

Le processus de vérification SPF :

1. Vous envoyez un e-mail depuis votre plateforme marketing
2. Le serveur destinataire extrait votre domaine du Return-Path (expéditeur de l’enveloppe)
3. Le serveur interroge le DNS pour l’enregistrement SPF de votre domaine
4. Il compare l’IP d’envoi avec la liste autorisée de votre enregistrement SPF
5. Le serveur enregistre un résultat : réussite, échec, échec partiel ou neutre

Syntaxe des enregistrements SPF

Les enregistrements SPF sont publiés en tant qu’enregistrements TXT dans le DNS de votre domaine. Voici la structure de base :

v=spf1 [mécanismes] [qualificateur]all

Balise de version : commence toujours par v=spf1

Mécanismes : définissent qui peut envoyer

Qualificateurs : définissent comment traiter les correspondances

Le mécanisme all : appliqué à tout ce qui ne correspond pas aux mécanismes précédents

Exemples d’enregistrements SPF

Configuration de base avec un fournisseur d’e-mail :

v=spf1 include:spf.brevo.com -all

Cela autorise Brevo à envoyer des e-mails pour votre domaine et rejette tous les autres expéditeurs.

Plusieurs services d’e-mail :

v=spf1 include:spf.brevo.com include:_spf.google.com include:spf.protection.outlook.com -all

Cela autorise Brevo, Google Workspace et Microsoft 365.

Inclusion de votre propre serveur de messagerie :

v=spf1 ip4:203.0.113.10 include:spf.brevo.com -all

Cela autorise une adresse IP spécifique (votre serveur) ainsi que Brevo.

Démarrage avec un échec partiel lors des tests :

v=spf1 include:spf.brevo.com ~all

L’utilisation de ~all plutôt que -all marque les échecs sans les rejeter. Utile lors de la configuration initiale.

Configuration des enregistrements SPF

Étape 1 : identifier vos sources d’envoi

Listez tous les services qui envoient des e-mails depuis votre domaine :

• Plateformes d’e-mail marketing (Brevo, Mailchimp, etc.)
• Services d’e-mails transactionnels
• Systèmes CRM
• Logiciels de centre d’aide
• Messagerie d’entreprise (Google Workspace, Microsoft 365)
• Vos propres serveurs de messagerie

Étape 2 : collecter les instructions include SPF

Chaque fournisseur de services d’e-mail documente l’instruction include SPF requise. Exemples courants :

Étape 3 : créer votre enregistrement SPF

Combinez tous les includes en un seul enregistrement :

v=spf1 include:spf.brevo.com include:_spf.google.com -all

Étape 4 : ajouter l’enregistrement DNS

Dans votre interface de gestion DNS :

• Type : TXT
• Hôte/Nom : @ (ou laisser vide pour le domaine racine)
• Valeur : votre enregistrement SPF complet
• TTL : 3600 (ou par défaut)

Étape 5 : vérifier l’enregistrement

Utilisez des outils de recherche DNS pour confirmer :

dig TXT votredomaine.com

Ou utilisez des outils en ligne comme MXToolbox SPF Lookup.

Limitations et meilleures pratiques SPF

La limite des 10 requêtes DNS :

SPF est limité à 10 requêtes DNS maximum. Chaque include: compte comme une requête, et les enregistrements inclus peuvent contenir leurs propres includes, qui comptent également. Dépasser cette limite provoque une erreur permanente SPF (permerror), faisant échouer toutes les vérifications.

Stratégies pour rester sous la limite :

• Utilisez directement des adresses IP lorsque possible (ip4: ne compte pas comme une requête)
• Consolidez les services utilisant le même fournisseur
• Utilisez des services d’aplatissement SPF qui convertissent les includes en adresses IP
• Supprimez les includes obsolètes d’anciens services

Autres meilleures pratiques SPF :

• Un seul enregistrement SPF par domaine (plusieurs enregistrements provoquent des échecs)
• Commencez avec ~all (échec partiel) lors de la configuration, passez à -all une fois confirmé
• Mettez à jour SPF lors du changement de fournisseur d’e-mail
• N’utilisez pas le mécanisme ptr obsolète
• Gardez les enregistrements aussi simples que possible

Erreurs courantes avec SPF

Plusieurs enregistrements SPF :

Incorrect :
v=spf1 include:spf.brevo.com -all
v=spf1 include:_spf.google.com -all

Correct :
v=spf1 include:spf.brevo.com include:_spf.google.com -all

Dépassement de la limite de requêtes DNS :

Si vous avez de nombreux includes, vérifiez votre nombre total de requêtes. Utilisez des analyseurs SPF pour vérifier que vous êtes sous 10.

Oubli de mise à jour après changement de fournisseur :

Lors du passage d’un service d’e-mail à un autre, supprimez l’ancien include et ajoutez le nouveau.

Utilisation de +all :

N’utilisez jamais +all car cela autorise tout le monde à envoyer depuis votre domaine.

Comprendre DKIM (DomainKeys Identified Mail)

DKIM ajoute une signature cryptographique à vos e-mails, prouvant que le message provient de votre domaine et n’a pas été modifié en transit.

Comment fonctionne DKIM

DKIM utilise la cryptographie à clé publique :

1. Votre fournisseur d’e-mail génère une paire de clés publique/privée
2. Vous publiez la clé publique dans le DNS
3. Le fournisseur signe les e-mails sortants avec la clé privée
4. Les serveurs destinataires récupèrent votre clé publique depuis le DNS
5. Ils utilisent la clé publique pour vérifier la signature
6. Une signature valide prouve l’authenticité et l’intégrité

Ce que DKIM signe :

Les signatures DKIM couvrent généralement des en-têtes spécifiques et le corps du message :

• En-tête From (obligatoire)
• En-tête Subject
• En-tête Date
• Corps du message
• Autres en-têtes selon la configuration

Cela empêche les attaquants de modifier ces éléments après l’envoi.

Structure des enregistrements DKIM

Les enregistrements DKIM sont publiés en tant qu’enregistrements TXT avec un format de nommage spécifique :

sélecteur._domainkey.votredomaine.com

Le sélecteur est un identifiant unique qui permet d’avoir plusieurs clés DKIM. Différents services d’e-mail utilisent différents sélecteurs (par exemple, brevo, google, s1, s2).

Contenu d’un enregistrement DKIM :

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC...

Configuration de DKIM

Étape 1 : générer les clés DKIM

Votre fournisseur d’e-mail génère généralement les clés pour vous. Dans Brevo :

1. Accédez à Paramètres > Expéditeurs, domaines et IP dédiées
2. Sélectionnez votre domaine
3. Naviguez vers la section DKIM
4. Copiez l’enregistrement DNS fourni

Pour les serveurs de messagerie auto-hébergés, générez les clés avec OpenSSL :

openssl genrsa -out private.key 2048
openssl rsa -in private.key -pubout -out public.key

Étape 2 : ajouter l’enregistrement DNS DKIM

Dans votre gestion DNS :

• Type : TXT
• Hôte/Nom : sélecteur._domainkey (par exemple, brevo._domainkey)
• Valeur : l’enregistrement DKIM de votre fournisseur
• TTL : 3600

Étape 3 : activer la signature DKIM

Dans les paramètres de votre fournisseur d’e-mail, activez la signature DKIM pour votre domaine. Cela indique au fournisseur de signer les messages sortants.

Étape 4 : vérifier la configuration

Envoyez un e-mail de test et vérifiez les en-têtes pour la signature DKIM. Utilisez des outils comme :

• mail-tester.com
• DKIM Validator
• MXToolbox DKIM Lookup

Meilleures pratiques DKIM

Utilisez des clés de 2048 bits :

Les anciennes clés de 1024 bits sont considérées comme faibles. Les standards de sécurité modernes recommandent des clés RSA de 2048 bits minimum.

Faites pivoter les clés périodiquement :

Bien que non strictement obligatoire, une rotation annuelle des clés DKIM est une bonne pratique de sécurité. Ajoutez la nouvelle clé avant de supprimer l’ancienne pour éviter les interruptions.

Surveillez les compromissions de clés :

Si votre clé privée est compromise, des attaquants peuvent signer des messages en votre nom. Surveillez les schémas d’authentification inhabituels.

Utilisez des sélecteurs différents pour différents services :

Chaque fournisseur d’e-mail doit utiliser un sélecteur unique. Cela permet une gestion des clés indépendante et ne crée pas de conflit avec d’autres services.

Vérifiez la propagation DNS :

Les clés DKIM peuvent être longues. Assurez-vous que votre fournisseur DNS prend en charge des enregistrements TXT de longueur suffisante. Certains fournisseurs nécessitent de diviser la clé en plusieurs chaînes.

Lecture des en-têtes DKIM

Lorsque vous recevez un e-mail, l’en-tête DKIM-Signature affiche :

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
  d=example.com; s=brevo;
  h=from:to:subject:date:message-id;
  bh=base64hashofbody;
  b=base64signature;

Comprendre DMARC (Domain-based Message Authentication, Reporting, and Conformance)

DMARC s’appuie sur SPF et DKIM pour assurer l’application des politiques et générer des rapports. Il indique aux serveurs destinataires comment agir en cas d’échec d’authentification et vous envoie des rapports sur les résultats d’authentification.

Comment fonctionne DMARC

DMARC ajoute deux capacités essentielles :

1. Application des politiques : définissez comment les destinataires doivent gérer les échecs d’authentification
2. Rapports : recevez des données sur qui envoie des e-mails en utilisant votre domaine

Processus de vérification DMARC :

1. Un serveur destinataire reçoit un e-mail prétendant provenir de votre domaine
2. Il vérifie SPF (l’IP d’envoi correspond-elle ?)
3. Il vérifie DKIM (la signature est-elle valide ?)
4. Il vérifie l’alignement DMARC (les domaines authentifiés correspondent-ils à l’en-tête From ?)
5. En cas d’échec d’alignement, il applique votre politique DMARC
6. Il vous envoie des rapports agrégés ou forensiques

Alignement DMARC

DMARC exige un alignement entre le domaine dans l’en-tête From et les domaines qui réussissent SPF ou DKIM :

Alignement SPF : Le domaine dans le Return-Path (expéditeur de l’enveloppe) doit correspondre ou être un sous-domaine du domaine de l’en-tête From.

Alignement DKIM : Le domaine dans la signature DKIM (balise d=) doit correspondre ou être un sous-domaine du domaine de l’en-tête From.

Modes d’alignement :

Avec l’alignement détendu, si votre en-tête From indique [email protected] et DKIM signe avec brevo.example.com, l’alignement réussit car les deux partagent le domaine organisationnel example.com.

Syntaxe des enregistrements DMARC

Les enregistrements DMARC sont publiés en tant qu’enregistrements TXT à _dmarc.votredomaine.com :

v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100

Balises obligatoires :

Balises optionnelles :

Explication des politiques DMARC

p=none (surveillance uniquement) :

Aucune action sur les échecs. Les e-mails sont distribués normalement. À utiliser pendant l’analyse des rapports et la correction des problèmes d’authentification.

v=DMARC1; p=none; rua=mailto:[email protected]

p=quarantine (dossier spam) :

Les e-mails en échec sont envoyés dans le dossier spam/indésirables. Bonne étape intermédiaire avant le rejet complet.

v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=100

p=reject (blocage) :

Les e-mails en échec sont intégralement rejetés. Protection maximale, mais assurez-vous que toutes les sources légitimes réussissent d’abord.

v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100

Configuration de DMARC

Étape 1 : s’assurer que SPF et DKIM fonctionnent

DMARC dépend de SPF et DKIM. Vérifiez que les deux sont correctement configurés avant d’ajouter DMARC.

Étape 2 : commencer par la surveillance (p=none)

Démarrez avec la politique la plus permissive pour collecter des données sans affecter la distribution :

v=DMARC1; p=none; rua=mailto:[email protected]

Étape 3 : ajouter l’enregistrement DNS

Dans votre gestion DNS :

• Type : TXT
• Hôte/Nom : _dmarc
• Valeur : votre enregistrement DMARC
• TTL : 3600

Étape 4 : analyser les rapports pendant 2 à 4 semaines

Les rapports agrégés DMARC arrivent quotidiennement sous forme de fichiers XML. Ils indiquent :

• Quelles IP ont envoyé des e-mails en utilisant votre domaine
• Taux de réussite/échec SPF et DKIM
• Résultats d’alignement DMARC
• Actions des serveurs destinataires

Utilisez des analyseurs de rapports DMARC pour visualiser ces données :

• DMARC Analyzer
• Postmark DMARC
• Valimail
• dmarcian

Étape 5 : corriger les problèmes d’authentification

Problèmes courants révélés par les rapports :

• Services légitimes absents de SPF
• DKIM non activé pour un service d’envoi
• Services tiers envoyant sans authentification adéquate
• Le transfert casse l’alignement SPF

Étape 6 : appliquer progressivement

Une fois que les sources légitimes réussissent constamment :

1. Passez à p=quarantine; pct=10 (mettre en quarantaine 10 % des échecs)
2. Augmentez pct à 25, 50, 75, 100
3. Passez à p=reject; pct=10
4. Augmentez jusqu’au rejet complet

Étape 7 : maintenir et surveiller

Continuez à consulter les rapports. De nouvelles sources d’envoi, des changements de fournisseur ou une dérive de configuration peuvent provoquer des échecs d’authentification.

Comprendre les rapports DMARC

Rapports agrégés (rua) :

Résumés XML quotidiens indiquant :

• Organisation émettant le rapport
• Plage de dates
• Votre politique publiée
• Résultats d’authentification par IP source
• Volume d’e-mails

Exemple d’extrait :

<record>
  <source_ip>203.0.113.10</source_ip>
  <count>1250</count>
  <policy_evaluated>
    <disposition>none</disposition>
    <dkim>pass</dkim>
    <spf>pass</spf>
  </policy_evaluated>
</record>

Rapports forensiques (ruf) :

Détails des messages individuels en cas d’échec. Plus détaillés mais sensibles sur le plan de la vie privée. De nombreux destinataires n’envoient pas de rapports forensiques.

Meilleures pratiques DMARC

Commencez toujours par p=none :

Passer directement au rejet peut bloquer des e-mails légitimes. Surveillez d’abord.

Utilisez une adresse e-mail dédiée pour les rapports :

Les rapports DMARC peuvent être volumineux. Utilisez une adresse dédiée ou un service tiers.

Définissez la politique pour les sous-domaines (sp=) :

Si vous n’envoyez pas d’e-mails depuis des sous-domaines, définissez sp=reject pour les protéger contre l’usurpation.

Utilisez le pourcentage (pct=) pour un déploiement progressif :

La balise pct vous permet d’appliquer la politique sur un pourcentage des échecs tout en surveillant le reste.

Envisagez des services DMARC dédiés :

Pour les grandes organisations, des services comme Valimail, dmarcian ou Postmark DMARC offrent une meilleure analyse des rapports que les fichiers XML bruts.

Configuration des enregistrements DNS : guide complet

La configuration de l’authentification e-mail nécessite l’ajout d’enregistrements DNS spécifiques. Cette section fournit un guide complet pour les principaux fournisseurs DNS.

Collecter les valeurs requises

Avant de commencer, collectez ces valeurs auprès de vos fournisseurs d’e-mail :

Pour SPF :

• Toutes les instructions include (par exemple, include:spf.brevo.com)
• Les adresses IP spécifiques à autoriser

Pour DKIM :

• Le nom du sélecteur (par exemple, brevo, google, s1)
• La valeur complète de la clé DKIM

Pour DMARC :

• Votre adresse e-mail pour les rapports

Ajout d’enregistrements chez les principaux fournisseurs DNS

Cloudflare :

1. Connectez-vous au tableau de bord Cloudflare
2. Sélectionnez votre domaine
3. Allez dans DNS > Enregistrements
4. Cliquez sur Ajouter un enregistrement
5. Pour SPF : Type=TXT, Nom=@, Contenu=votre enregistrement SPF
6. Pour DKIM : Type=TXT, Nom=sélecteur._domainkey, Contenu=clé DKIM
7. Pour DMARC : Type=TXT, Nom=_dmarc, Contenu=enregistrement DMARC
8. Cliquez sur Enregistrer

Google Domains/Squarespace :

1. Accédez aux paramètres DNS de votre domaine
2. Faites défiler jusqu’aux enregistrements personnalisés
3. Cliquez sur Gérer les enregistrements personnalisés
4. Ajoutez chaque enregistrement avec le type, l’hôte et les données appropriés

GoDaddy :

1. Allez dans Mes produits > Domaines
2. Cliquez sur DNS à côté de votre domaine
3. Faites défiler jusqu’à la section Enregistrements
4. Cliquez sur Ajouter pour chaque nouvel enregistrement
5. Sélectionnez TXT pour le type, entrez le nom et la valeur, puis enregistrez

Namecheap :

1. Allez dans Liste de domaines > Gérer
2. Cliquez sur DNS avancé
3. Ajoutez un nouvel enregistrement TXT pour chacun
4. Hôte : @ pour SPF, sélecteur._domainkey pour DKIM, _dmarc pour DMARC
5. Enregistrez tous les changements

Propagation DNS

Après l’ajout des enregistrements, les modifications prennent du temps pour se propager dans le monde. Cela prend généralement :

• 5 à 30 minutes pour une visibilité initiale
• Jusqu’à 48 heures pour une propagation mondiale complète

Utilisez dig ou nslookup pour vérifier :

dig TXT votredomaine.com
dig TXT sélecteur._domainkey.votredomaine.com
dig TXT _dmarc.votredomaine.com

Exemple de configuration complète

Pour un domaine utilisant Brevo et Google Workspace :

Enregistrement SPF (TXT à @) :

v=spf1 include:spf.brevo.com include:_spf.google.com -all

Enregistrement DKIM pour Brevo (TXT à brevo._domainkey) :

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBA... [clé depuis le tableau de bord Brevo]

Enregistrement DKIM pour Google (TXT à google._domainkey) :

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BA... [clé depuis Google Admin]

Enregistrement DMARC (TXT à _dmarc) :

v=DMARC1; p=none; rua=mailto:[email protected]

Résoudre les problèmes courants

Même avec une configuration soigneuse, l’authentification e-mail peut échouer. Voici les problèmes courants et comment les résoudre.

Résolution des problèmes SPF

Enregistrement SPF introuvable :

Symptômes : les vérifications SPF affichent « none » ou « no record »

Causes : enregistrement non ajouté au DNS, enregistrement ajouté au mauvais endroit, propagation DNS non terminée.

Solutions : vérifiez que l’enregistrement existe avec dig TXT votredomaine.com, contrôlez le champ Nom/Hôte (doit être @ pour le domaine racine), attendez la propagation DNS.

Erreur permanente SPF (trop de requêtes) :

Symptômes : les résultats SPF affichent « permerror »

Causes : plus de 10 requêtes DNS dans votre enregistrement SPF.

Solutions : vérifiez vos includes et supprimez ceux qui sont inutilisés, remplacez les includes par des entrées ip4: quand c’est possible, utilisez des services d’aplatissement SPF.

Échec partiel ou échec SPF pour les e-mails légitimes :

Solutions : ajoutez l’include manquant pour votre service d’envoi, vérifiez quelle IP a effectivement envoyé l’e-mail depuis les en-têtes, contactez votre fournisseur pour les paramètres SPF corrects.

Résolution des problèmes DKIM

Signature DKIM absente :

Solutions : activez DKIM dans les paramètres de votre fournisseur, terminez les étapes de vérification du domaine, consultez la documentation du fournisseur.

Échec de vérification DKIM :

Solutions : vérifiez que l’enregistrement DNS existe à sélecteur._domainkey.domaine, comparez le sélecteur dans l’en-tête DKIM-Signature avec le DNS, régénérez les clés en cas d’inadéquation suspectée.

Clé DKIM trop longue pour le DNS :

Solutions : divisez la clé en plusieurs chaînes entre guillemets, vérifiez si votre fournisseur DNS prend en charge les enregistrements TXT longs.

Exemple d’enregistrement DKIM divisé :

"v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA..."
"...suite de la clé..."

Résolution des problèmes DMARC

Échecs d’alignement DMARC :

Solutions : assurez-vous que votre fournisseur d’e-mail signe avec votre domaine (DKIM personnalisé), configurez le Return-Path personnalisé, utilisez le mode d’alignement détendu (adkim=r; aspf=r).

Non-réception des rapports DMARC :

Solutions : vérifiez la syntaxe rua, testez que l’adresse de rapports peut recevoir des e-mails externes, vérifiez le dossier spam pour les rapports.

Enregistrement DMARC introuvable :

Solutions : l’enregistrement doit être à _dmarc.votredomaine.com, vérifiez avec dig TXT _dmarc.votredomaine.com.

Outils généraux de résolution de problèmes

Validateurs en ligne :

• MXToolbox (mxtoolbox.com) : recherches SPF, DKIM, DMARC
• Mail Tester (mail-tester.com) : envoyez un e-mail de test pour une analyse complète
• DMARC Analyzer : visualisation des rapports
• Google Admin Toolbox : vérification MX, SPF, DKIM

Outils en ligne de commande :

# Vérifier SPF
dig TXT votredomaine.com

# Vérifier DKIM
dig TXT sélecteur._domainkey.votredomaine.com

# Vérifier DMARC
dig TXT _dmarc.votredomaine.com

# Vérifier depuis un serveur DNS spécifique
dig @8.8.8.8 TXT votredomaine.com

Analyse des en-têtes d’e-mail :

Vérifiez l’en-tête Authentication-Results dans les e-mails reçus :

Authentication-Results: mx.google.com;
  dkim=pass header.d=example.com header.s=brevo;
  spf=pass smtp.mailfrom=example.com;
  dmarc=pass action=none header.from=example.com

Authentification e-mail et Brevo

Brevo offre un support complet d’authentification e-mail, facilitant la configuration de SPF, DKIM et DMARC pour vos domaines d’envoi.

Configuration de l’authentification dans Brevo

Étape 1 : ajouter votre domaine

1. Connectez-vous à votre compte Brevo
2. Accédez à Paramètres > Expéditeurs, domaines et IP dédiées
3. Cliquez sur Ajouter un domaine
4. Entrez le nom de votre domaine

Étape 2 : configurer SPF

Brevo fournit l’include SPF à ajouter à votre DNS :

include:spf.brevo.com

Ajoutez-le à votre enregistrement SPF existant ou créez-en un nouveau :

v=spf1 include:spf.brevo.com -all

Étape 3 : configurer DKIM

Brevo génère automatiquement les clés DKIM. Copiez l’enregistrement fourni, puis ajoutez l’enregistrement TXT à votre DNS.

Étape 4 : vérifier la configuration

Brevo vérifie automatiquement vos enregistrements DNS. Les coches vertes indiquent une configuration réussie.

Avantages d’une authentification correcte avec Brevo

Lorsque vous configurez correctement l’authentification avec Brevo :

• Meilleure arrivée en boîte de réception : Gmail, Microsoft et d’autres fournisseurs font confiance aux messages authentifiés
• Protection de la marque : DMARC empêche l’usurpation de votre domaine
• Meilleures analyses : suivi précis des ouvertures et des clics
• Construction de la réputation : une authentification constante renforce la réputation de l’expéditeur

Avantages de l’intégration Tajo

L’utilisation de Tajo pour connecter votre boutique Shopify à Brevo offre des avantages supplémentaires :

• Synchronisation automatique des clients : les données clients circulent de manière transparente pour des e-mails personnalisés
• Suivi des événements : les événements d’achat, de navigation et de panier déclenchent des e-mails transactionnels authentifiés
• Coordination multicanale : maintenez une authentification cohérente sur les e-mails, SMS et WhatsApp
• Analyses unifiées : suivez les performances e-mail parallèlement aux autres métriques marketing

La combinaison d’une authentification e-mail adéquate et d’une synchronisation des données clients en temps réel garantit que vos e-mails non seulement atteignent la boîte de réception, mais résonnent auprès de chaque destinataire.

Questions fréquentes

Quelle est la différence entre SPF, DKIM et DMARC ?

SPF spécifie quels serveurs peuvent envoyer des e-mails pour votre domaine. DKIM ajoute une signature cryptographique prouvant l’authenticité du message. DMARC définit la politique sur la façon dont les destinataires doivent gérer les échecs d’authentification et fournit des rapports. Les trois fonctionnent ensemble pour une authentification e-mail complète.

Ai-je besoin des trois protocoles (SPF, DKIM et DMARC) ?

Pour une délivrabilité et une sécurité optimales, oui. SPF seul est vulnérable à l’usurpation. DKIM seul ne définit pas de politique. DMARC nécessite SPF ou DKIM pour fonctionner. Ensemble, ils offrent une protection complète et les meilleurs taux d’arrivée en boîte de réception.

Combien de temps faut-il pour que l’authentification e-mail fonctionne ?

Les modifications DNS se propagent généralement en 30 minutes à 48 heures. Une fois propagée, l’authentification s’applique immédiatement. Cependant, la construction d’une réputation d’expéditeur basée sur une authentification constante prend des semaines voire des mois.

L’activation de DMARC avec p=reject va-t-elle bloquer mes e-mails légitimes ?

C’est possible si la configuration est incorrecte. C’est pourquoi vous devez toujours commencer avec p=none (surveillance), analyser les rapports pendant 2 à 4 semaines, corriger les problèmes, puis passer progressivement à la quarantaine et au rejet. Ne sautez jamais la phase de surveillance.

Qu’est-ce que l’alignement SPF versus l’alignement DKIM ?

L’alignement signifie que le domaine authentifié correspond au domaine visible de l’en-tête From. L’alignement SPF compare le domaine Return-Path. L’alignement DKIM compare le domaine signataire (balise d=). DMARC exige qu’au moins l’un des deux soit aligné.

Puis-je avoir plusieurs clés DKIM pour un même domaine ?

Oui. Chaque service d’e-mail peut utiliser un sélecteur différent (par exemple, brevo._domainkey, google._domainkey). Il n’y a pas de limite au nombre de sélecteurs DKIM.

Pourquoi mes e-mails vont-ils toujours en spam après la configuration de l’authentification ?

L’authentification est nécessaire mais pas suffisante pour l’arrivée en boîte de réception. D’autres facteurs incluent la réputation de l’expéditeur, la qualité du contenu, les taux d’engagement et l’hygiène de la liste.

Comment lire les rapports agrégés DMARC ?

Les rapports agrégés DMARC sont des fichiers XML. Utilisez des outils comme dmarcian, Postmark DMARC ou DMARC Analyzer pour les analyser et les visualiser.

Que se passe-t-il si je dépasse la limite des 10 requêtes SPF ?

SPF retourne une erreur permanente (permerror) et toutes les vérifications SPF échouent. Pour résoudre ce problème, supprimez les includes inutilisés, remplacez les includes par des adresses IP quand c’est possible, ou utilisez des services d’aplatissement SPF.

Dois-je utiliser -all ou ~all dans mon enregistrement SPF ?

Utilisez ~all (échec partiel) lors des tests et de la montée en confiance. Une fois confirmé que toutes les sources légitimes réussissent, passez à -all (échec strict) pour une protection renforcée.

À quelle fréquence dois-je faire pivoter les clés DKIM ?

Il n’y a pas d’obligation stricte, mais une rotation annuelle est une bonne pratique de sécurité. Lors de la rotation, ajoutez d’abord la nouvelle clé, attendez la propagation DNS, puis supprimez l’ancienne après une période de transition.

Les sous-domaines nécessitent-ils une authentification séparée ?

SPF : oui, chaque sous-domaine a besoin de son propre enregistrement SPF s’il envoie des e-mails. DKIM : les clés peuvent être partagées ou séparées par sous-domaine. DMARC : les sous-domaines héritent de la politique parente sauf si sp= est défini ou si le sous-domaine a son propre enregistrement DMARC.

Conclusion

L’authentification e-mail via SPF, DKIM et DMARC n’est plus optionnelle pour les entreprises qui comptent sur la communication par e-mail. Ces protocoles protègent votre marque contre l’usurpation, améliorent la délivrabilité et construisent la confiance nécessaire pour un e-mail marketing efficace.

Points clés à retenir :

• SPF autorise les serveurs d’envoi via le DNS
• DKIM prouve l’authenticité des messages par des signatures cryptographiques
• DMARC applique la politique et offre une visibilité via les rapports
• Commencez par la surveillance (p=none) avant d’appliquer le rejet
• Toutes les sources d’envoi légitimes doivent être correctement configurées
• Une surveillance régulière prévient la dérive de configuration

Pour les entreprises e-commerce utilisant Shopify, la combinaison d’une authentification e-mail adéquate avec l’intégration des données clients via Tajo et Brevo crée une base solide. Vos e-mails transactionnels atteignent les clients de manière fiable, vos campagnes marketing bénéficient d’un meilleur placement en boîte de réception, et votre marque reste protégée contre les attaques d’usurpation.

Prêt à améliorer votre délivrabilité e-mail ? Commencez par auditer votre configuration d’authentification actuelle avec les outils mentionnés dans ce guide, puis configurez SPF, DKIM et DMARC en suivant les instructions étape par étape.

Découvrez comment Tajo s’intègre à Brevo pour fournir une authentification e-mail transparente parallèlement à la synchronisation des données clients en temps réel pour votre boutique Shopify.

Articles connexes

• Campagnes d’e-mail marketing : le guide complet pour planifier, exécuter et optimiser
• Stratégie d’e-mail marketing : guide complet de planification et d’exécution [2025]
• E-mail marketing pour les PME : le guide complet (2026)
• ROI de l’e-mail marketing : comment calculer, suivre et améliorer vos rendements [2025]
• E-mail marketing pour les débutants : le guide complet pour démarrer (2026)