Le guide définitif de la sécurité des e-mails de Red Sift

Le Sender Policy Framework (SPF) est un protocole d’authentification des emails conçu pour empêcher les attaquants d’envoyer des messages qui semblent provenir de votre domaine. Une politique SPF indique aux serveurs de messagerie destinataires quelles sources d’envoi sont légitimes pour votre domaine, ce qui aide à prévenir l’usurpation d’adresse, le phishing et l’imitation de domaine. À partir de 2026, le SPF devient une exigence de base pour les organisations qui envoient des emails en masse.

Votre politique SPF est publiée dans votre système de noms de domaine (DNS) sous forme d’enregistrement TXT, listant les serveurs de messagerie (adresses IP) autorisés à envoyer des messages en votre nom. Lorsqu’un email est envoyé, le serveur de réception vérifie cette politique pour confirmer si l’adresse IP de l’expéditeur est approuvée. Si c’est le cas, le message est délivré ; sinon, il peut être signalé comme spam ou rejeté.

Une recherche SPF se produit lorsque le DNS qui reçoit votre email doit « rechercher » les adresses IP présentes dans les déclarations include de votre enregistrement, pour vérifier si elles correspondent à l’adresse IP qui envoie votre email.

Un include SPF est une fonctionnalité des enregistrements SPF permettant aux propriétaires de domaines d’inclure les enregistrements SPF d’autres domaines dans leur propre politique SPF. Cela facilite la gestion et garantit que les politiques d’envoi de mail des domaines inclus sont prises en compte lors de la vérification de la légitimité des emails envoyés depuis le domaine qui inclut.

La limite de recherches SPF correspond au nombre de fois qu’un DNS destinataire peut effectuer une recherche pour un domaine, avec un plafond maximum fixé à 10.

Vous pouvez ajouter un nombre illimité d’adresses IP individuelles à votre enregistrement sans entraîner de recherches DNS supplémentaires, car elles sont directement visibles dans l’enregistrement.

Mais ce n’est pas le cas des déclarations include, et le nombre d’adresses IP contenues dans un include équivaut au nombre de recherches que le DNS receveur devra effectuer. Cela entre donc dans votre total maximum de 10.

Par exemple, vous pourriez avoir 3 adresses IP listées clairement dans votre enregistrement SPF, une déclaration include pour Google (qui contient 4 adresses IP) et une autre pour Mimecast (qui en contient 6). Le DNS n’a pas besoin de faire de recherches pour les IP visibles, mais il doit en faire pour les include de Google et Mimecast. Dans ce cas, vous atteignez le total maximum de 10.

En réalité, 10 recherches ne sont pas suffisantes, car la plupart des entreprises utilisent plusieurs outils qui envoient des emails en leur nom. Chacun aura sa propre déclaration include, qui inclura des adresses IP et entraînera des recherches. Si vous dépassez la limite, l’authentification échouera probablement et votre délivrabilité en pâtira. Depuis 2026, les solutions SPF dynamiques sont devenues l’approche recommandée pour gérer cette limitation, remplaçant les méthodes de « flattening » manuel de SPF qui demandent une maintenance constante.

L’une des raisons principales pour lesquelles l’enregistrement SPF peut échouer pour votre trafic email est l’erreur « trop de recherches DNS ». La spécification SPF limite le nombre de recherches DNS à 10. Si votre enregistrement SPF entraîne plus de 10 recherches DNS, l’authentification SPF échouera. Les mécanismes SPF comptabilisés dans cette limite sont : a, ptr, mx, include, redirect et exists. « ip4 », « ip6 » et « all » ne comptent pas dans la limite de recherche.

Si tout cela vous semble trop technique, voyez-le ainsi : G Suite utilise à elle seule 4 recherches DNS, ajoutez Hubspot pour le marketing qui en utilise 7, et vous dépassez déjà la limite de 10 ! Dès que vous franchissez la limite des 10 recherches SPF, votre trafic email commencera à échouer aléatoirement aux validations. Voilà pourquoi, en 2026, les organisations adoptent une gestion dynamique du SPF plutôt que d’essayer de maintenir manuellement des enregistrements aplatis.

DKIM signifie DomainKeys Identified Mail. C'est un protocole d’authentification des emails conçu pour empêcher la modification des messages lors du transit, une méthode couramment utilisée dans le phishing et les arnaques par email.

DKIM est une norme plus récente et plus complexe que SPF. Son fonctionnement repose sur la cryptographie asymétrique dans les signatures d’emails. Une clé privée est stockée sur le serveur qui envoie le mail, à un endroit inaccessible pour l’utilisateur final, et une clé publique est publiée dans le DNS du domaine de l’expéditeur afin de déchiffrer les signatures d’email.

En d’autres termes, lorsqu’un email est rédigé, ses en-têtes et son contenu sont signés grâce à la clé privée de l’expéditeur, créant ainsi une signature numérique envoyée dans un champ d’en-tête avec l’email. Côté réception (si DKIM est activé), le serveur récupère la clé publique et vérifie si l’email a bien été signé par le domaine expéditeur. Si la signature est valablement vérifiée, cela prouve que le domaine expéditeur a envoyé le message et que les en-têtes et le contenu n’ont pas été altérés pendant la transmission.

Une signature DKIM est une valeur cryptographique unique intégrée dans l’en-tête d’un email sortant. Générée à partir de la clé privée DKIM de l’expéditeur, elle permet au serveur de messagerie destinataire de récupérer la clé publique correspondante dans le DNS et de confirmer que le message a été envoyé par un expéditeur autorisé et que son contenu n’a pas été modifié lors du transit.

Une clé DKIM est la paire de clés cryptographiques utilisée dans l’authentification DKIM. La clé privée est stockée en toute sécurité sur le serveur d’envoi et sert à générer la signature DKIM de chaque mail sortant. La clé publique est publiée dans le DNS du domaine expéditeur en tant qu’enregistrement TXT, permettant aux serveurs de réception de vérifier la signature et d’attester l’intégrité et l’authenticité du message.

Retrouvez toutes les informations techniques sur DKIM dans notre guide de configuration technique.

Oui. DKIM (DomainKeys Identified Mail) est un protocole d’authentification essentiel qui protège contre l’usurpation, le phishing et la modification des messages. Il ajoute une signature cryptographique à chaque message sortant, permettant aux serveurs de réception de vérifier que le contenu du mail n’a pas été modifié et qu’il vient d’un domaine autorisé. DKIM est également un élément central du processus de vérification DMARC, agissant avec SPF pour faire respecter l’alignement du domaine et renforcer la sécurité des emails. Les principaux fournisseurs de messagerie exigent désormais DKIM pour l’envoi d’emails en masse, ce qui en fait un critère essentiel de délivrabilité en 2026.

SPF (Sender Policy Framework) vérifie qu’un email est envoyé depuis une adresse IP autorisée par l’enregistrement SPF du domaine de l’expéditeur. DKIM (DomainKeys Identified Mail) utilise une signature cryptographique, validée via une clé publique dans le DNS, pour confirmer que le contenu du message n’a pas été altéré et qu’il provient d’un domaine autorisé. SPF se concentre sur l’autorisation de l’expéditeur tandis que DKIM garantit l’intégrité et l’authenticité du message.