DMARC vs SPF vs DKIM : Quelle différence et pourquoi c’est important

Temps de lecture estimé : 6-7 minutes

SPF, DKIM et DMARC sont trois protocoles d’authentification des e-mails qui protègent contre l’usurpation de domaine et le phishing.

• SPF vérifie que le serveur d’envoi est autorisé à envoyer des e-mails pour votre domaine.
• DKIM garantit que le message n’a pas été modifié pendant le transit.
• DMARC s’appuie sur SPF et DKIM pour indiquer aux serveurs de réception quoi faire si un message échoue à l’authentification.

Ensemble, ils forment une défense en couches pour la réputation de votre domaine et la délivrabilité de vos e-mails.

Chaque jour, des attaquants usurpent l’identité de marques de confiance pour voler des données ou piéger des utilisateurs. D’après les rapports de l’industrie, plus de 90 % des cyberattaques commencent par du phishing ou des e-mails usurpés.

En mettant en place SPF, DKIM et DMARC, vous vous assurez que seuls les expéditeurs autorisés peuvent utiliser votre domaine : vous protégez ainsi votre marque, vos clients, et votre réputation de boîte de réception.

Ces protocoles fonctionnent au niveau du DNS (Domain Name System), en vérifiant si un email provient réellement de l’expéditeur affiché. Lorsqu’ils sont tous les trois correctement configurés, ils réduisent le risque de :

• Fausses adresses “expéditeur”
• Fausses factures et phishing
• Problèmes de délivrabilité et pénalités liées au filtrage antispam

SPF (Sender Policy Framework) permet au propriétaire du domaine de spécifier quels serveurs de messagerie sont autorisés à envoyer des e-mails en son nom.

Comment ça fonctionne :

• Vous publiez un enregistrement SPF dans le DNS de votre domaine.
• Lorsqu’un serveur de réception reçoit un email, il vérifie le domaine dans le Return-Path (enveloppe d’expédition) par rapport à l’enregistrement SPF pour s’assurer que l’adresse IP émettrice est bien autorisée.
• Si l’IP émettrice correspond, le message passe SPF ; sinon, il échoue.

Exemple d’enregistrement SPF :

v=spf1 include:_spf.google.com include:sendgrid.net ~all

Avantages :

• Facile à mettre en œuvre.
• Efficace pour bloquer les expéditeurs non autorisés.

Limites :

• Peut échouer lors de la redirection des messages (par exemple via des listes de diffusion).
• Ne vérifie pas le contenu du message.

À retenir : Combinez toujours SPF avec DKIM et DMARC pour une protection complète.

DKIM ajoute une signature cryptographique à vos e-mails pour vérifier qu’ils n’ont pas été altérés après l’envoi.

Comment ça fonctionne :

• Votre serveur de messagerie attache une signature à clé privée à chaque en-tête d’email.
• Le serveur de réception utilise votre clé publique (publiée dans le DNS) pour vérifier la signature.
• Si la signature est valide, le message passe l’authentification DKIM.

DKIM authentifie le domaine indiqué dans le champ d= de l’en-tête DKIM-Signature, qui peut différer du domaine visible dans l’adresse From (header From). Cette distinction devient importante avec DMARC, qui vérifie l’alignement des domaines pour garantir l’authenticité de l’expéditeur.

Exemple d’enregistrement DKIM :

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA...

Avantages :

• Garantit l’intégrité du message.
• Fonctionne même lorsque les messages sont transférés.

Limites :

• Configuration complexe pour plusieurs expéditeurs tiers.
• Les clés doivent être renouvelées périodiquement pour la sécurité.

À retenir : Utilisez des clés 2048 bits et surveillez l’alignement DKIM dans vos rapports DMARC.

DMARC relie SPF et DKIM à travers une politique globale et donne au propriétaire du domaine le contrôle sur le traitement en cas d’échec à l’authentification.

Comment ça fonctionne :

• Vous publiez un enregistrement DMARC dans votre DNS pour préciser la gestion des échecs d’authentification.
• La politique peut demander aux serveurs de messagerie de :
• Ne rien faire (p=none)
• Mettre en quarantaine les messages suspects (p=quarantine)
• Rejeter directement les messages échoués (p=reject) – option la plus recommandée

DMARC évalue l’alignement entre le domaine visible dans l’adresse From (header From) et les domaines authentifiés par SPF (Return-Path ou envelope-from) et DKIM (champ d= de l’en-tête DKIM-Signature). Le message n’est considéré comme authentifié par DMARC que si au moins un des mécanismes est valide et aligné.

Exemple d’enregistrement DMARC :

v=DMARC1; p=reject; rua=mailto:dmarc-reports@yourdomain.com; ruf=mailto:dmarc-failures@yourdomain.com; adkim=s; aspf=s

Avantages :

• Apporte de la visibilité grâce aux rapports (balises rua et ruf).
• Stoppe l’abus du domaine de façon proactive.
• Renforce la confiance envers vos emails et protège votre marque.

Limites :

• Nécessite l’alignement de SPF et DKIM.
• L’application stricte peut initialement bloquer des messages légitimes si la configuration n’est pas complète.

À retenir : Commencez par p=none, examinez les rapports, puis passez progressivement à p=quarantine ou p=reject.

Considérez SPF, DKIM et DMARC comme des couches de défense :

1. SPF confirme qui est autorisé à envoyer.
2. DKIM confirme que le contenu envoyé est intact.
3. DMARC décide quoi faire lorsqu’une anomalie est détectée.

Sans DMARC, SPF et DKIM fonctionnent indépendamment et peuvent être contournés. DMARC ajoute une logique de politique – il boucle la vérification de l’expéditeur.

• Publiez des enregistrements SPF, DKIM et DMARC valides dans le DNS.
• Alignez les domaines d’envoi pour tous les systèmes sortants (ex. : CRM, outils marketing).
• Testez la configuration avec l’outil OnDMARC de Red Sift.
• Passez progressivement du mode surveillance (p=none) au mode application stricte (p=reject).
• Analysez régulièrement les rapports agrégés pour détecter toute anomalie.
• Sensibilisez les équipes internes à la mise en place pour éviter tout problème de distribution.

• Enregistrements SPF trop larges : Trop de « includes » peuvent dépasser la limite de recherches DNS (10 max).
• Selecteurs DKIM mal configurés : Provoque des échecs de validation chez certains prestataires.
• Ignorer les rapports DMARC : Sans analyse, vous ratez les premiers signes d’abus.
• Absence d’application stricte : Laisser DMARC sur p=none indéfiniment n’offre aucune protection réelle.

• SPF autorise les expéditeurs.
• DKIM sécurise l’intégrité du message.
• DMARC applique une politique et offre une visibilité.
• Ensemble, ces standards préviennent l’usurpation, protègent la confiance envers la marque et améliorent la délivrabilité.

• Vérifiez gratuitement votre configuration DMARC, SPF & DKIM
• Qu’est-ce que DMARC ?
• Qu’est-ce que BIMI ?
• Comprendre SPF & DKIM
• Essayer OnDMARC gratuitement

Cet article fait partie de la série Email Security Guide de Red Sift, conçue pour aider les professionnels de la sécurité et de l’IT à renforcer la sécurité de leur domaine via l’authentification, les rapports, et la confiance de marque.