SPF, DKIM, DMARC : protéger son domaine contre l'usurpation d'email
Sans SPF, DKIM et DMARC correctement configurés, n'importe qui peut envoyer des emails en se faisant passer pour votre domaine. Phishing, usurpation d'identité : voici comment protéger votre réputation email.
Le problème : l'usurpation de domaine email
Par défaut, le protocole SMTP ne vérifie pas l'identité de l'expéditeur d'un email. Un attaquant peut donc envoyer un message avec n'importe quelle adresse "From:", y compris contact@votre-entreprise.fr.
C'est la base des attaques de phishing et d'ingénierie sociale. Vos clients, partenaires ou employés peuvent recevoir des emails frauduleux qui semblent provenir de vous.
SPF — Sender Policy Framework
SPF est un enregistrement DNS de type TXT qui liste les serveurs autorisés à envoyer des emails pour votre domaine.
Exemple : v=spf1 include:_spf.google.com include:sendgrid.net ~all
Le ~all (softfail) indique que les emails hors de cette liste doivent être marqués comme suspects. Préférez -all (hardfail) pour rejeter carrément les emails non autorisés.
DKIM — DomainKeys Identified Mail
DKIM ajoute une signature cryptographique à chaque email sortant. Le serveur destinataire peut vérifier cette signature via un enregistrement DNS public.
Cela garantit que l'email n'a pas été modifié en transit et qu'il provient bien d'un serveur autorisé par votre domaine.
DMARC — Domain-based Message Authentication
DMARC est la politique qui chapeaute SPF et DKIM. Il indique au serveur destinataire quoi faire si un email échoue les vérifications SPF/DKIM.
Exemple : v=DMARC1; p=quarantine; rua=mailto:dmarc@votre-domaine.fr; pct=100
Les politiques possibles : - p=none : surveillance uniquement (pas de rejet) - p=quarantine : les emails suspects vont en spam - p=reject : les emails suspects sont rejetés
Recommandation : commencez par p=none pour analyser les rapports, puis passez à p=quarantine, puis p=reject.
DNSSEC et CAA : aller plus loin
DNSSEC signe cryptographiquement vos enregistrements DNS pour empêcher leur falsification. CAA (Certification Authority Authorization) liste les autorités de certification autorisées à émettre des certificats SSL pour votre domaine.
Vérifier votre configuration
WebImpulsion vérifie automatiquement SPF, DKIM, DMARC, DNSSEC et CAA pour chaque actif. Vous obtenez un statut clair (complet, partiel, absent) et des recommandations précises pour chaque enregistrement manquant.
WebImpulsion
Analysez votre site dès maintenant
Audit complet en ~30 secondes. Performance, sécurité, CVE, DNS, TLS.
Accéder à la plateforme