Découvrez les protocoles SPF, DKIM et DMARC ?

L’email est le pilier de la communication professionnelle, mais c’est aussi l’un des canaux les plus détournés. Le phishing, l’usurpation et le spam coûtent cher, représentent un danger réel et sapent la confiance. Le problème ? L’email n’a jamais été conçu pour être sécurisé.

C’est là qu’entre en jeu l’authentification au niveau du domaine. Place au Sender Policy Framework (SPF), au DomainKeys Identified Mail (DKIM) et au Domain-based Message Authentication, Reporting and Conformance (DMARC), le trio de protocoles qui aident à vérifier l’identité de l’expéditeur, protéger votre marque et restaurer la confiance dans la boîte de réception. Et lorsqu’ils sont combinés avec des signaux visuels de confiance comme les logos de marque via BIMI et les certificats de marque verifiée (VMC), vous ne sécurisez pas seulement l’email, vous le valorisez.

Qu’est-ce que le Sender Policy Framework (SPF) ?

Le SPF (Sender Policy Framework) est comme une liste d’invités pour votre domaine. Il indique aux serveurs de messagerie récepteurs quelles adresses IP sont autorisées à envoyer des emails en votre nom.

Voyez le SPF comme le videur de votre domaine. Son rôle est de vérifier si le serveur qui envoie un email en votre nom est bien autorisé. Pour cela, vous configurez un enregistrement SPF dans le DNS (Domain Name System) de votre domaine, précisant exactement quelles adresses IP sont habilitées à envoyer en votre nom. Par exemple, un enregistrement typique peut ressembler à : v=spf1 include:_spf.example.com ~all. Cela indique aux serveurs de faire confiance aux emails provenant de certaines sources précises et de considérer tout le reste comme suspect.

Sans SPF, votre domaine est vulnérable aux usurpateurs qui se font passer pour vous pour envoyer du phishing ou du spam. Avec le SPF en place, vous signalez aux filtres de messagerie que vous respectez les règles et préparez le terrain pour des outils d’authentification plus avancés comme DMARC et BIMI. SPF est votre première ligne de défense et la base de votre réputation.

Qu’est-ce que le DomainKeys Identified Mail (DKIM) ?

Le DKIM (DomainKeys Identified Mail) agit comme un sceau inviolable sur chaque email que votre organisation envoie. Avant que vos messages ne quittent le serveur, DKIM les signe avec une clé cryptographique privée. Une fois arrivés à destination, les serveurs récepteurs vérifient cette signature numérique en utilisant votre clé publique publiée dans les enregistrements DNS de votre domaine.

Le DKIM joue un rôle essentiel pour s’assurer que les emails n’ont pas été modifiés ou falsifiés pendant leur transmission. En résumé, il dit aux systèmes des destinataires : « Oui, cet email vient bien de nous et il n’a pas été altéré. »

De plus, DKIM est obligatoire pour les VMCs. Si vous souhaitez que votre logo apparaisse dans les boîtes de réception compatibles avec BIMI, DKIM n’est pas optionnel, c’est indispensable.

Qu’est-ce que le Domain-based Message Authentication, Reporting and Conformance (DMARC) ?

Le DMARC est l’architecte des politiques d’authentification email. Il relie SPF et DKIM en fournissant une directive claire aux serveurs récepteurs sur la façon de traiter les messages qui échouent aux contrôles d’authentification.

Le cœur de DMARC réside dans ses options de politique. Lorsque vous le définissez sur « None » (aucune action), vous êtes en mode observation : vous surveillez et analysez sans intervenir. Une politique « Quarantine » (quarantaine) adopte une approche prudente en envoyant les messages douteux dans le dossier spam, tandis que « Reject » (rejet) applique une sécurité stricte en bloquant purement et simplement les emails non authentifiés avant qu’ils n’atteignent la boîte de réception.
Chaque niveau vous offre un degré de contrôle différent. Commencez par « none » pour observer, « quarantine » pour signaler, puis « reject » pour appliquer une protection complète.

Pourquoi est-ce important ? Parce que DMARC ne se limite pas à renforcer la sécurité email, il vous offre une visibilité précieuse sur la manière dont votre domaine est utilisé (ou abusé). Vous pouvez ainsi repérer les menaces, protéger votre réputation et garder le contrôle de votre image de marque. Et si vous voulez mettre en place BIMI avec VMCs, DMARC est la clé : sans lui, votre logo ne s’affichera pas dans les boîtes de réception.

Comment SPF, DKIM et DMARC fonctionnent ensemble

Mis en place conjointement, ils créent la base technique de l’authentification de marque visible, permettant d’afficher votre logo certifié via BIMI et les VMCs de GlobalSign. C’est une protection en couches, avec un impact concret : plus de confiance et une meilleure délivrabilité.

Pourquoi devriez-vous mettre en place les protocoles SPF, DKIM et DMARC ?

L’email est souvent la première ligne d’attaque, avec 91 % de toutes les cyberattaques commençant par un email de phishing. De nombreuses menaces, comme l’usurpation d’identité du PDG ou les fausses factures, commencent par quelque chose d’aussi simple en apparence qu’un message usurpé. Les protocoles SPF, DKIM et DMARC travaillent ensemble pour empêcher les acteurs malveillants de se faire passer pour vous. En vérifiant les expéditeurs et en authentifiant les messages, ils bloquent les tentatives d’usurpation avant qu’elles n’atteignent votre boîte de réception. Cela conduit également à une meilleure délivrabilité : les emails qui passent l’authentification ont plus de chances d’atterrir dans la boîte de réception plutôt que d’être interceptés par les filtres anti-spam.

Au-delà de la protection technique, ces protocoles envoient un signal plus profond à vos clients et partenaires : la confiance. Lorsque les destinataires savent que vos messages sont sécurisés et vérifiés, votre domaine gagne une crédibilité difficile à imiter. Il y a aussi un aspect pratique : les principales plateformes de messagerie comme Gmail de Google, Yahoo, et Outlook et Hotmail de Microsoft exigent désormais SPF, DKIM et DMARC pour les expéditeurs en masse. Ainsi, si vous envoyez des campagnes ou des newsletters à grande échelle, cela est essentiel pour être conforme et atteindre vos destinataires.

Premiers pas dans la mise en œuvre – Checklist

• Publier les enregistrements SPF dans le DNS
• Mettre en place des clés et signatures DKIM
• Implémenter une politique DMARC (commencer par “none”) et surveiller les rapports

Des outils utiles pour démarrer

Votre domaine est plus qu’une simple adresse web, c’est la poignée de main numérique entre votre marque et le monde. Le protéger signifie défendre non seulement votre réputation, mais aussi la confiance que vous avez construite avec vos clients, partenaires et prospects. Lorsqu’ils sont correctement mis en place, ces protocoles d’authentification des emails vérifient que vos messages proviennent de sources légitimes, préservent l’intégrité du contenu et permettent aux serveurs récepteurs d’appliquer des politiques de sécurité. Cela ne réduit pas seulement le risque d’usurpation, mais améliore aussi votre réputation d’expéditeur, favorise l’arrivée en boîte de réception et reflète votre professionnalisme à chaque envoi.

Et une fois ces défenses solides, vous êtes prêt à renforcer encore davantage cette confiance. Avec les VMCs, vous activez l’image de marque visuelle directement dans les boîtes de réception, permettant à votre logo vérifié d’apparaître aux côtés des emails authentifiés dans les plateformes compatibles. C’est une protection de domaine assortie d’un supplément de confiance, car en cybersécurité, la visibilité, c’est la confiance.

Gagnez la confiance des destinataires dès aujourd’hui.

Ce blog a été traduit depuis la version anglaise par notre traductrice, Isabelle Cottenet. Retrouvez toute son actualité sur son blog