Sécurité des emails professionnels : SPF, DKIM, DMARC expliqués

Chaque jour, des millions d’emails frauduleux sont envoyés en usurpant l’identité d’entreprises légitimes. SPF, DKIM et DMARC sont trois protocoles qui authentifient vos emails et protègent votre domaine contre cette usurpation.

Le problème : l’usurpation d’email est trop facile

Le protocole SMTP (qui gère l’envoi d’emails) a été conçu dans les années 1980 sans mécanisme d’authentification. N’importe qui peut techniquement envoyer un email en se faisant passer pour votre domaine (direction@votreentreprise.fr).

Les attaquants exploitent cette faiblesse pour le phishing, l’arnaque au président et le BEC (Business Email Compromise). Sans protection, vos clients et partenaires ne peuvent pas distinguer un vrai email de votre entreprise d’un faux.

SPF : qui est autorisé à envoyer pour votre domaine

SPF (Sender Policy Framework) est un enregistrement DNS TXT qui liste les serveurs autorisés à envoyer des emails pour votre domaine.

Exemple d’enregistrement SPF :
v=spf1 ip4:1.2.3.4 include:_spf.google.com -all

Ce record indique que seules l’IP 1.2.3.4 et les serveurs Google sont autorisés. Le -all final signifie que tout autre serveur doit être rejeté.

Pièges courants : oublier d’inclure tous vos services d’envoi (newsletter, CRM, facturation), dépasser la limite de 10 lookups DNS, ou utiliser ~all (softfail) au lieu de -all (hardfail).

DKIM : signature cryptographique de chaque email

DKIM (DomainKeys Identified Mail) ajoute une signature numérique à chaque email sortant. Le serveur de réception vérifie cette signature grâce à une clé publique publiée dans vos DNS.

DKIM garantit deux choses : l’authenticité (l’email provient bien de votre domaine) et l’intégrité (le contenu n’a pas été modifié en transit).

La mise en place nécessite de générer une paire de clés (publique/privée), de configurer le serveur mail pour signer les emails sortants, et de publier la clé publique dans vos DNS.

DMARC : la politique de gestion des échecs

DMARC (Domain-based Message Authentication) est la couche supérieure qui définit ce que le serveur de réception doit faire quand un email échoue aux vérifications SPF et DKIM.

Trois politiques possibles :

• p=none : ne rien faire, mais envoyer des rapports (mode observation)
• p=quarantine : placer les emails échouant en spam
• p=reject : rejeter les emails échouant (protection maximale)

DMARC génère aussi des rapports agrégés (RUA) qui vous montrent qui envoie des emails depuis votre domaine, légitimement ou frauduleusement.

Déploiement progressif recommandé

1. Étape 1 : configurer SPF avec tous vos services d’envoi légitimes
2. Étape 2 : déployer DKIM sur tous vos serveurs de messagerie
3. Étape 3 : activer DMARC en mode p=none pendant 2-4 semaines et analyser les rapports
4. Étape 4 : passer en p=quarantine puis p=reject une fois que tous les flux légitimes sont correctement authentifiés

Attention : passer directement en p=reject sans analyse préalable peut bloquer vos propres emails légitimes (newsletter, CRM, etc.).

Vérifier votre configuration

Utilisez des outils gratuits comme MXToolbox, dmarcian ou Mail-Tester.com pour vérifier votre configuration. Un score de 10/10 sur Mail-Tester indique une configuration optimale.

Odyssix configure et optimise SPF, DKIM et DMARC pour garantir la délivrabilité et la sécurité de vos emails professionnels.