SPF, DKIM et DMARC — authentification DNS du courrier
spf dkim dmarc dns · enregistrements authentification email · verifier spf · enregistrement txt dmarc
SPF, DKIM et DMARC TXT : fonctionnement, exemples, alignement et vérification d'authentification email avec DNS Checker.
Par DN01 Network Team
La délivrabilité moderne repose sur trois standards basés sur TXT : SPF liste qui peut envoyer du courrier pour votre domaine, DKIM signe les messages cryptographiquement et DMARC indique aux récepteurs comment traiter les échecs et où envoyer les rapports agrégés.
Publiez les trois après l'intégration de Google Workspace, Microsoft 365 ou tout relais SMTP. Vérifiez les valeurs en direct avec le DNS Checker, puis surveillez la réputation avec le Blacklist Checker si l'envoi en masse est soudain différé.
SPF (Sender Policy Framework)
SPF TXT à l'apex ressemble souvent à `v=spf1 include:_spf.google.com ~all`. Les mécanismes incluent ip4, include, a, mx et qualificateur all. Échec dur (-all) est plus strict qu'échec souple (~all).
Un seul TXT SPF par nom. Fusionnez les includes au lieu d'ajouter un second enregistrement. RFC 7208 documente la syntaxe et les limites (10 requêtes DNS pendant l'évaluation SPF).
DKIM (DomainKeys Identified Mail)
DKIM publie une clé publique en TXT sur `selector._domainkey.example.com`. Le sélecteur vient de votre fournisseur de messagerie. Les clés tournent — mettez à jour le DNS quand le panneau génère un nouveau sélecteur.
L'alignement signifie que le domaine signataire correspond au domaine de l'en-tête From (strict) ou au domaine organisationnel (relâché). DKIM non aligné vérifie encore cryptographiquement mais peut ne pas satisfaire DMARC.
DMARC (Domain-based Message Authentication)
DMARC vit sur `_dmarc.example.com` sous la forme `v=DMARC1; p=none|quarantine|reject; rua=mailto:[email protected]`. Commencez avec p=none pour collecter des rapports, puis resserrez la politique.
DMARC ne passe que lorsque SPF ou DKIM s'aligne avec le domaine From et qu'au moins l'un passe. Corriger DMARC sans SPF/DKIM est impossible — configurez d'abord l'authentification.
Liste de vérification
Interrogez TXT à l'apex pour SPF, TXT du sélecteur pour DKIM, `_dmarc` pour la politique. Envoyez un message test vers une boîte affichant les en-têtes Authentication-Results. Revérifiez après le TTL lors de la rotation des clés.
Utilisez DIG avec le type TXT si vous avez besoin de réponses multi-chaînes brutes pour des pièces jointes de tickets.
| Standard | Emplacement | Extrait d'exemple |
|---|---|---|
| SPF | example.com TXT | v=spf1 include:send.example.net -all |
| DKIM | s1._domainkey.example.com TXT | v=DKIM1; k=rsa; p=MIGfMA0G... |
| DMARC | _dmarc.example.com TXT | v=DMARC1; p=quarantine; pct=100; rua=mailto:[email protected] |
Questions fréquentes
- SPF et DKIM peuvent-ils échouer alors que le courrier est livré ?
Oui — les récepteurs peuvent accepter avec un score spam. La politique DMARC détermine si les échecs entraînent quarantaine ou rejet.
- Combien d'includes SPF sont trop ?
Plus de dix requêtes DNS pendant l'évaluation SPF casse SPF selon la spec. Aplatissez les includes ou utilisez prudemment les macros SPF.
- Ai-je besoin de DMARC dès le premier jour ?
Publiez p=none avec reporting d'abord. Passez à quarantine/reject une fois SPF et DKIM alignés de façon fiable.
- Où se place BIMI ?
BIMI est un branding optionnel au-dessus de DMARC avec p=quarantine ou reject et un certificat de marque vérifié — hors scope de la configuration de base.