SPF, DKIM, DMARC : pourquoi vos emails arrivent en spam (et comment corriger ça)

Un client qui ne reçoit pas votre devis. Une relance qui tombe dans les indésirables. Une proposition commerciale jamais lue. Ces situations arrivent quotidiennement dans des PME françaises, et dans la grande majorité des cas, la cause est identique : des enregistrements d’authentification d’emails mal configurés ou absents. SPF, DKIM, DMARC — trois acronymes que peu de dirigeants connaissent, mais dont l’absence peut coûter des contrats.

Ce que font réellement SPF, DKIM et DMARC

Ces trois mécanismes constituent ce qu’on appelle l’authentification email. Leur rôle est de prouver aux serveurs de messagerie destinataires que votre email est bien envoyé par vous, et non par un imposteur.

SPF (Sender Policy Framework) est un enregistrement DNS qui liste les serveurs autorisés à envoyer des emails depuis votre nom de domaine. Concrètement : si votre domaine est monentreprise.fr, l’enregistrement SPF indique aux serveurs de réception quels serveurs peuvent légitimement expédier des messages avec l’adresse @monentreprise.fr. Un email envoyé depuis un serveur non listé sera suspect.

DKIM (DomainKeys Identified Mail) ajoute une signature cryptographique à chaque email sortant. Cette signature est vérifiable par le serveur destinataire grâce à une clé publique publiée dans votre DNS. Si le contenu de l’email a été modifié en transit, la signature ne correspond plus. C’est un gage d’intégrité.

DMARC (Domain-based Message Authentication, Reporting and Conformance) est la couche de gouvernance qui chapeaute les deux précédents. Il indique aux serveurs destinataires quoi faire quand un email échoue les vérifications SPF ou DKIM : l’accepter quand même (none), le placer en spam (quarantine), ou le rejeter complètement (reject). DMARC peut aussi vous envoyer des rapports sur les emails envoyés en votre nom — ce qui permet de détecter une usurpation de domaine.

Pourquoi tant de PME ont une mauvaise configuration

La plupart du temps, le problème vient du processus de création du domaine. Quand un prestataire web configure un hébergement, il installe le site et la messagerie de base — mais n’ajoute pas forcément les enregistrements d’authentification, qui sont une étape supplémentaire dans la zone DNS.

Avec le temps, la situation se complique. La PME change de prestataire de messagerie, passe de OVH à Microsoft 365, adopte un outil d’envoi de newsletters, ou utilise un CRM qui envoie des emails en son nom. Chaque nouveau service ajoute un point d’envoi potentiel — et si le SPF n’est pas mis à jour pour autoriser ces nouveaux serveurs, les emails partent en spam.

Le résultat est souvent invisible pendant des mois. Les emails arrivent — la plupart du temps. Mais une part d’entre eux, variable selon les destinataires, finit systématiquement en indésirables.

Comment vérifier votre situation actuelle

Avant toute correction, il faut savoir où vous en êtes. Plusieurs outils gratuits permettent de vérifier l’état de vos enregistrements DNS en quelques secondes :

• MXToolbox (mxtoolbox.com) : entrez votre nom de domaine, l’outil analyse vos enregistrements SPF, DKIM et DMARC et signale les problèmes.
• Mail Tester (mail-tester.com) : envoyez un email à l’adresse fournie, le site vous donne une note sur 10 et liste les points à corriger.
• Google Postmaster Tools : si vous envoyez vers des adresses Gmail, cet outil de Google mesure votre réputation de domaine en temps réel.

Un test rapide sur l’un de ces outils vous donnera une image précise de votre situation en moins de cinq minutes.

Les corrections à apporter

Configurer SPF correctement

L’enregistrement SPF doit lister tous les serveurs légitimes qui envoient des emails depuis votre domaine. Pour une PME sous Microsoft 365, l’enregistrement standard ressemble à ceci :

v=spf1 include:spf.protection.outlook.com -all

Si vous utilisez aussi un outil de newsletter comme Mailchimp ou Brevo, leur domaine doit également être ajouté. La directive -all en fin d’enregistrement est importante : elle indique que tout email provenant d’un serveur non listé doit être rejeté. Beaucoup de configurations utilisent ~all (soft fail), qui place l’email en spam au lieu de le rejeter — c’est un compromis acceptable pendant la transition.

Activer DKIM

Pour Microsoft 365, l’activation de DKIM se fait depuis le portail de sécurité Microsoft (security.microsoft.com). Le système génère deux enregistrements CNAME à ajouter dans votre DNS. Une fois ajoutés, les emails sortants sont automatiquement signés.

Pour d’autres prestataires (OVH, Google Workspace, etc.), la procédure est similaire : l’interface du prestataire génère une clé publique à publier en DNS.

Déployer DMARC progressivement

DMARC doit être déployé en plusieurs étapes pour ne pas bloquer des emails légitimes. Le point de départ recommandé est une politique none avec des rapports activés :

v=DMARC1; p=none; rua=mailto:dmarc-rapports@monentreprise.fr

Cette configuration ne bloque rien, mais vous envoie des rapports quotidiens sur les emails envoyés depuis votre domaine. Après deux à quatre semaines d’analyse, vous pouvez passer en quarantine, puis en reject une fois que vous êtes certain que tous les services légitimes sont correctement configurés.

Le cas particulier des factures et documents sensibles

Pour une PME qui envoie des factures par email, la configuration DMARC en reject est particulièrement importante. Elle empêche un tiers d’envoyer de fausses factures depuis votre domaine — une pratique utilisée dans les arnaques de type FOVI (Fraude au Virement) — un risque que nous couvrons dans notre offre cybersécurité. Protéger son domaine, c’est aussi protéger ses clients.

Ces configurations ne sont pas complexes, mais elles nécessitent un accès à la zone DNS de votre domaine et une compréhension de l’ensemble des services qui envoient des emails en votre nom. Si vous avez un doute sur votre configuration actuelle ou si vous venez de migrer vers Microsoft 365, l’équipe de Zerobug peut réaliser un audit de votre messagerie et corriger les enregistrements DNS — généralement en moins d’une demi-journée.