SPF, DKIM, DMARC expliqués simplement
Trois sigles obscurs qui décident si vos emails arrivent ou non. Bonne nouvelle : le concept est simple. Ce sont les papiers d'identité de vos emails.
SPF — la liste des expéditeurs autorisés
Le SPF (Sender Policy Framework) est un enregistrement DNS qui liste les serveurs autorisés à envoyer des emails pour votre domaine. Quand un email arrive, la boîte du destinataire vérifie : « Le serveur qui envoie est-il bien sur la liste de votredomaine.fr ? » Si oui, un bon point.
Concrètement, c'est une ligne de texte du type v=spf1 include:… -all ajoutée à votre DNS.
DKIM — la signature cryptographique
Le DKIM (DomainKeys Identified Mail) ajoute à chaque email une signature numérique invisible, générée avec une clé privée que vous seul possédez. Le destinataire vérifie cette signature grâce à une clé publique publiée dans votre DNS.
Résultat : impossible de falsifier vos emails sans être détecté, et impossible de les modifier en chemin. C'est le pilier le plus solide de l'authentification.
DMARC — la règle du jeu
Le DMARC (Domain-based Message Authentication) s'appuie sur SPF et DKIM et ajoute deux choses essentielles :
- Une politique : que faire d'un email qui échoue à l'authentification ? Le laisser passer (
none), le mettre en spam (quarantine) ou le rejeter (reject). - Des rapports : vous recevez qui tente d'envoyer en votre nom — précieux pour repérer une usurpation.
Depuis 2024, Gmail et Yahoo exigent DMARC pour les envoyeurs de volume. Ce n'est plus optionnel.
Sans ces trois enregistrements, votre email arrive « sans papiers ». Le concierge, dans le doute, le met de côté.
La bonne nouvelle
Vous n'avez pas à écrire ces enregistrements à la main. VaEmail les génère automatiquement pour chacun de vos domaines : vous copiez trois lignes chez votre hébergeur DNS, et nous vérifions que tout est en place. Un voyant vert, et vous êtes authentifié.