Avony/Le Lab/Sécurité
Sécurité 7 min de lecture·30 septembre 2024

SPF, DKIM, DMARC : le trio qui protège vos emails (et votre réputation)

Quelqu'un peut envoyer des emails en se faisant passer pour vous. SPF, DKIM et DMARC existent pour empêcher ça. Comment ça fonctionne et pourquoi c'est critique pour une PME.

Le problème : n'importe qui peut "être" vous par email

Par défaut, le protocole email (SMTP) ne vérifie pas l'identité de l'expéditeur. N'importe qui peut envoyer un email en prétendant venir de [email protected]. C'est la base de nombreuses arnaques : faux emails de dirigeant demandant un virement, factures frauduleuses imitant vos fournisseurs, phishing ciblé de vos clients.

SPF, DKIM et DMARC sont trois enregistrements DNS qui permettent aux serveurs de messagerie destinataires de vérifier qu'un email venant de votre domaine est bien légitime.

SPF : la liste blanche des serveurs autorisés

Le Sender Policy Framework (SPF) est un enregistrement TXT dans votre zone DNS qui liste les serveurs IP autorisés à envoyer des emails pour votre domaine.

Exemple : v=spf1 include:spf.protection.outlook.com -all

Quand un serveur reçoit un email de votre domaine, il vérifie si l'IP d'envoi est dans cette liste. Le -all à la fin signifie "rejeter tout email qui ne vient pas des serveurs listés".

DKIM : la signature cryptographique

DomainKeys Identified Mail ajoute une signature cryptographique à chaque email envoyé. La clé publique est publiée dans votre DNS ; le serveur destinataire vérifie que la signature correspond.

Si un email est modifié en transit ou si quelqu'un essaie d'en envoyer un faux, la signature ne correspond plus et l'email est signalé.

Dans Microsoft 365, DKIM s'active en quelques clics dans le centre de sécurité. C'est une étape que beaucoup de PME oublient lors de la configuration initiale.

DMARC : la politique et les rapports

DMARC (Domain-based Message Authentication, Reporting and Conformance) dit quoi faire quand SPF ou DKIM échoue.

Trois politiques possibles :

  • none : surveillance uniquement, aucune action (bon point de départ)
  • quarantine : les emails suspects vont en spam
  • reject : les emails non authentifiés sont rejetés

DMARC envoie aussi des rapports quotidiens qui montrent qui envoie des emails avec votre domaine — vous voyez immédiatement si quelqu'un essaie de vous usurper.

La configuration recommandée pour une PME sous M365

  1. SPF : v=spf1 include:spf.protection.outlook.com -all
  2. DKIM : activer dans le centre de sécurité M365, publier les enregistrements DNS fournis
  3. DMARC : commencer avec p=none et une adresse de rapport, passer à p=reject après 2-4 semaines de surveillance

Un domaine sans DMARC en reject est une porte ouverte à l'usurpation. Chez Avony, cette configuration est systématiquement vérifiée lors de l'onboarding.

Vous voulez mettre ces bonnes pratiques en place ?

Avony s'occupe de tout : déploiement, configuration et suivi. Contactez-nous pour un audit gratuit.

Prendre contact
← Retour au Lab

Prêt à simplifier votre informatique ?

Discutons de votre projet. Contactez-moi pour une analyse gratuite.

Pour plus d'informations, téléchargez ma brochure.
Ou remplissez le formulaire

© 2026 Avony. Tous droits réservés.

Conçu pour les TPE en Belgique. · Mentions légales · CGV