Le guide définitif de Red Sift sur la sécurité de l’email

Le Sender Policy Framework (SPF) est un protocole d’authentification des e-mails conçu pour empêcher les attaquants d’envoyer des e-mails qui semblent provenir de votre domaine. Une politique SPF indique aux serveurs de messagerie récepteurs quelles sources d'émission sont légitimes pour votre domaine, aidant ainsi à prévenir l'usurpation d'identité, le phishing et l'imitation de domaine. Depuis 2026, SPF est devenu une exigence de base pour les organisations qui envoient des e-mails en masse.

Votre politique SPF est publiée dans votre système de noms de domaine (DNS) en tant qu’enregistrement TXT, répertoriant les serveurs de messagerie (adresses IP) autorisés à envoyer des e-mails en votre nom. Lorsqu’un e-mail est envoyé, le serveur de messagerie du destinataire vérifie cette politique pour confirmer si l'adresse IP d’envoi est autorisée. Si c’est le cas, le message est délivré ; sinon, il peut être signalé comme indésirable ou rejeté.

Une recherche SPF (lookup) correspond au moment où le DNS recevant votre e-mail doit « rechercher » les adresses IP présentes dans les instructions include de votre enregistrement, afin de vérifier si elles correspondent à l’adresse IP qui envoie votre e-mail.

Un include SPF est une fonctionnalité des enregistrements SPF permettant aux propriétaires de domaine d’inclure les enregistrements SPF d’autres domaines dans leur propre politique SPF. Cela facilite la gestion et permet de tenir compte des politiques d’envoi d’e-mails des domaines inclus lors de la validation de la légitimité des messages envoyés par le domaine principal.

La limite de recherches SPF correspond au nombre maximal de requêtes qu’un DNS destinataire peut effectuer pour un domaine, fixé à 10.

Vous pouvez ajouter un nombre illimité d’adresses IP individuelles dans votre enregistrement sans générer de recherches DNS supplémentaires, car elles sont directement visibles dans l’enregistrement.

Ce n’est pas le cas pour les instructions include, dont le nombre d’adresses IP correspond au nombre de recherches que le DNS destinataire devra effectuer. Cela entre donc dans le total maximum de 10.

Par exemple, vous pouvez avoir 3 adresses IP inscrites telles quelles dans votre enregistrement SPF, une instruction include pour Google (qui contient 4 adresses IP) et une pour Mimecast (qui en contient 6). Le DNS destinataire n’a pas à effectuer de recherches pour les IP visibles, mais il doit en faire pour les instructions include de Google et Mimecast. Dans ce cas, vous atteignez donc le total de 10.

En réalité, 10 recherches ne suffisent pas, car la plupart des entreprises utilisent plusieurs outils envoyant des e-mails en leur nom. Chacun d’eux aura sa propre instruction include, qui comprendra des adresses IP et nécessitera donc des recherches. Si vous dépassez la limite, l’authentification ne sera probablement pas validée et votre taux de délivrabilité sera impacté. Depuis 2026, les solutions SPF dynamiques sont devenues la méthode recommandée pour gérer cette limitation, remplaçant les méthodes manuelles d’aplatissement SPF qui demandent un entretien constant.

L’une des principales raisons pour lesquelles l’enregistrement SPF peut échouer pour votre trafic e-mail est l’erreur « trop de recherches DNS ». La spécification SPF limite le nombre de requêtes DNS à 10. Si votre enregistrement SPF génère plus de 10 recherches, SPF échouera. Les mécanismes SPF pris en compte dans les recherches DNS sont : a, ptr, mx, include, redirect et exists. Les mécanismes « ip4 », « ip6 » et « all » ne comptent pas dans cette limite.

Si tout cela vous semble un peu trop technique, voyez-le ainsi : G Suite à elle seule consomme 4 recherches DNS, ajoutez Hubspot pour le marketing qui en consomme 7, et vous dépasserez déjà la limite de 10 ! Dès que vous franchissez la barrière des 10 recherches SPF, vos e-mails risquent d’échouer aléatoirement à la validation. C’est pourquoi, en 2026, les organisations adoptent une gestion dynamique du SPF plutôt que de tenter de maintenir manuellement des enregistrements aplatis.

DKIM signifie DomainKeys Identified Mail, un protocole d’authentification des e-mails visant à empêcher la modification des messages lors de leur transmission, méthode souvent utilisée dans le phishing et les arnaques par e-mail.

DKIM est une norme plus récente et plus complexe que SPF. Son fonctionnement repose sur l’utilisation de la cryptographie asymétrique pour signer certaines parties de l’e-mail. La clé privée est stockée sur le serveur d’envoi, où elle n'est jamais accessible à l'utilisateur final, et la clé publique est publiée dans le DNS du domaine expéditeur afin de vérifier les signatures des e-mails.

Autrement dit, lorsqu’un e-mail est rédigé, ses en-têtes et son corps sont signés à l’aide de la clé privée de l’expéditeur pour créer une signature numérique, envoyée dans l’en-tête du message. Côté réception (si DKIM est activé), le serveur récupère la clé publique et vérifie si l’e-mail a bien été signé par le domaine expéditeur. Si la vérification est réussie, cela prouve que le domaine expéditeur est à l'origine du message et que les en-têtes et le contenu n’ont pas été modifiés ou altérés pendant la transmission.

Une signature DKIM est une valeur cryptographique unique intégrée dans l’en-tête d’un e-mail sortant. Générée à l’aide de la clé privée DKIM de l’expéditeur, cette signature permet au serveur du destinataire de récupérer la clé publique correspondante dans le DNS et de confirmer que le message provient bien d’une source autorisée et que son contenu n’a pas été altéré lors de l’envoi.

Une clé DKIM est la paire de clés cryptographiques utilisée pour l’authentification DKIM. La clé privée est stockée de manière sécurisée sur le serveur de messagerie expéditeur et sert à générer la signature DKIM pour chaque e-mail sortant. La clé publique est publiée dans le DNS du domaine expéditeur en tant qu’enregistrement TXT, permettant aux serveurs récepteurs de vérifier la signature et de garantir l’intégrité ainsi que l’authenticité de l’e-mail.

Retrouvez tous les détails techniques sur DKIM dans notre guide de configuration technique.

Oui. DKIM (DomainKeys Identified Mail) est un protocole critique d’authentification des e-mails qui protège contre l’usurpation, le phishing et la falsification de messages. Il ajoute une signature cryptographique à chaque message sortant, permettant aux serveurs de réception de vérifier que le contenu n’a pas été modifié et qu'il provient d’un domaine autorisé. DKIM est également un élément clé du processus de vérification DMARC, agissant de concert avec SPF pour garantir l’alignement de domaine et renforcer la sécurité du courrier électronique. Les principaux fournisseurs de messagerie exigent désormais DKIM pour les e-mails en masse, ce qui en fait un élément essentiel pour la délivrabilité en 2026.

SPF (Sender Policy Framework) permet de vérifier qu’un e-mail provient d’une adresse IP autorisée par l’enregistrement SPF du domaine expéditeur. DKIM (DomainKeys Identified Mail) utilise une signature cryptographique, validée via une clé publique dans le DNS, pour confirmer que le contenu du message n’a pas été modifié et qu'il émane d’un domaine autorisé. SPF se concentre sur l’autorisation de l’expéditeur, tandis que DKIM garantit l’intégrité et l’authenticité du message.