SPF, DKIM, DMARC : l'authentification email expliquée simplement
Les trois protocoles qui prouvent votre légitimité aux fournisseurs. Ce qu'ils font, comment ils s'articulent et pourquoi ils conditionnent votre délivrabilité.
SPF, DKIM et DMARC sont trois protocoles d'authentification qui permettent aux fournisseurs de vérifier qu'un email provient bien de qui il prétend. Mal configurés ou absents, ils suffisent à envoyer vos messages en spam, voire à les faire rejeter. Bien configurés, ils constituent le socle technique indispensable de toute bonne délivrabilité. Voici ce qu'ils font, expliqué sans jargon inutile.
Pourquoi l'authentification est indispensable
Le courrier électronique a été conçu sans mécanisme natif pour vérifier l'identité de l'expéditeur. N'importe qui peut techniquement prétendre écrire depuis votre domaine, ce qui ouvre la porte à l'usurpation et au phishing. SPF, DKIM et DMARC comblent ce manque. Ils forment le premier pilier de la délivrabilité décrit dans notre guide complet, et c'est le tout premier point à corriger si vos emails finissent en spam.
SPF : qui a le droit d'envoyer
Le SPF (Sender Policy Framework) est un enregistrement DNS qui liste les serveurs autorisés à envoyer des emails pour votre domaine. À la réception, le fournisseur compare le serveur d'origine à cette liste. Si le serveur n'y figure pas, le message est considéré comme suspect. Le SPF répond donc à une question simple : cet expéditeur a-t-il le droit d'utiliser ce domaine ?
Le SPF a toutefois une limite : il s'appuie sur l'adresse d'enveloppe, pas sur l'adresse visible par le destinataire, et il ne survit pas toujours aux transferts d'emails. C'est l'une des raisons pour lesquelles il ne suffit pas à lui seul et doit être complété par le DKIM.
DKIM : une signature infalsifiable
Le DKIM (DomainKeys Identified Mail) ajoute à chaque email une signature cryptographique liée à votre domaine. Le fournisseur vérifie cette signature grâce à une clé publique publiée dans votre DNS. Si elle est valide, cela prouve deux choses : l'email provient bien de votre domaine et son contenu n'a pas été altéré en chemin. Le DKIM apporte ainsi l'intégrité que le SPF seul ne garantit pas.
Comme la vérification du DKIM ne dépend pas du chemin emprunté par le message, elle reste valable même après un transfert. En signant les en-têtes clés et le corps du message, le DKIM garantit que rien n'a été modifié entre l'envoi et la réception, ce qui en fait un signal de confiance particulièrement solide.
DMARC : la politique qui relie tout
Le DMARC (Domain-based Message Authentication, Reporting and Conformance) s'appuie sur SPF et DKIM pour définir une règle : que faire d'un email qui échoue à l'authentification ? Le laisser passer, le mettre en quarantaine, ou le rejeter ? Le DMARC fournit également des rapports qui révèlent qui envoie en votre nom, légitimement ou non. C'est la pièce qui transforme deux vérifications isolées en une véritable politique de sécurité.
Le DMARC s'aligne sur le domaine visible par le destinataire, celui affiché dans le champ d'expéditeur. Pour qu'un email soit conforme, il faut que SPF ou DKIM réussisse et que le domaine vérifié corresponde à ce domaine visible : c'est la notion d'alignement. C'est cet alignement qui empêche un fraudeur d'usurper votre marque, même s'il parvient à authentifier son propre domaine.
Comment les trois protocoles travaillent ensemble
Les trois protocoles sont complémentaires et se renforcent mutuellement :
- SPF déclare quels serveurs sont autorisés à envoyer pour votre domaine.
- DKIM signe chaque message et garantit son intégrité.
- DMARC fixe la conduite à tenir en cas d'échec et fournit des rapports.
Erreurs de configuration les plus fréquentes
L'authentification échoue souvent à cause d'erreurs évitables :
- Plusieurs enregistrements SPF sur le même domaine, alors qu'un seul est autorisé.
- Un SPF qui dépasse la limite de recherches DNS et devient invalide.
- Un DKIM oublié lors d'un changement de prestataire d'envoi.
- Un DMARC laissé en politique de simple surveillance indéfiniment, sans jamais durcir la règle.
Comment vérifier votre configuration
Avant toute campagne, vérifiez votre configuration. La méthode la plus simple consiste à s'envoyer un email sur une autre messagerie, puis à inspecter l'en-tête du message reçu : il indique si SPF, DKIM et DMARC sont passés ou ont échoué. De nombreux outils gratuits permettent aussi d'analyser les enregistrements DNS d'un domaine et de signaler les anomalies. Commencez par une politique DMARC en surveillance, analysez les rapports, puis durcissez progressivement vers la quarantaine ou le rejet une fois que vos envois légitimes sont tous correctement authentifiés.
BIMI : la suite logique d'un DMARC solide
Une fois SPF, DKIM et un DMARC strict en place, vous pouvez aller plus loin avec BIMI (Brand Indicators for Message Identification). Ce standard permet d'afficher le logo de votre marque à côté de vos emails dans les messageries compatibles. Au-delà de l'aspect visuel, BIMI récompense les expéditeurs qui ont fait l'effort d'une authentification rigoureuse et renforce la reconnaissance et la confiance. Il n'améliore pas directement le placement, mais il consolide l'identité d'expéditeur que toute votre stratégie de délivrabilité cherche à établir.
L'authentification ne suffit pas
Configurer correctement SPF, DKIM et DMARC est nécessaire mais non suffisant. Ces protocoles prouvent votre légitimité technique, pas la qualité de votre engagement. Une fois l'authentification en place, le travail se poursuit sur la réputation, via un warm-up et des signaux d'engagement réels. Pour voir comment BraiseInbox prend le relais sur ce volet, consultez comment fonctionne BraiseInbox.
En résumé, l'authentification est le ticket d'entrée : sans elle, rien ne fonctionne, mais elle ne fait pas tout. Associez-la à une réputation solide et à un engagement réel pour transformer un socle technique en délivrabilité durable, comme le détaille notre guide complet.
À lire aussi
Délivrabilité email : le guide complet pour atteindre la boîte de réception
Authentification, réputation, engagement et warm-up : tout ce qui détermine si vos emails atteignent la boîte de réception, réuni dans un guide de référence.
Lire l'articlePourquoi vos emails finissent en spam (et comment l'éviter)
Le contenu ne joue qu'un rôle mineur. Le vrai facteur est la réputation de l'expéditeur. Décryptage complet de la décision de placement chez Gmail et Outlook.
Lire l'articleQu'est-ce que le warm-up d'une adresse email ? Le guide pratique
Le warm-up construit progressivement la réputation d'une adresse avant de monter en volume. Principe, durée, bonnes pratiques et erreurs à éviter.
Lire l'article