SPF, DKIM, DMARC : protéger vos e-mails contre l'usurpation
Sans configuration adéquate, n'importe qui peut envoyer un e-mail qui semble provenir de votre domaine — un vecteur classique de hameçonnage et d'arnaque au président. Trois standards, posés dans votre zone DNS, ferment cette porte.
SPF — qui a le droit d'envoyer en mon nom
Le SPF (Sender Policy Framework) est une liste, publiée dans votre DNS, des serveurs autorisés à envoyer des e-mails pour votre domaine (votre messagerie, votre outil d'e-mailing, votre CRM…). Le serveur qui reçoit un message vérifie que l'expéditeur figure bien dans cette liste.
DKIM — la signature qui prouve l'origine
Le DKIM (DomainKeys Identified Mail) ajoute à chaque e-mail une signature cryptographique. Le serveur destinataire la vérifie avec une clé publique publiée dans votre DNS : il s'assure ainsi que le message vient bien de votre domaine et n'a pas été altéré en route.
DMARC — la politique qui décide quoi faire
Le DMARC (Domain-based Message Authentication) s'appuie sur SPF et DKIM et ajoute deux choses : une politique (que faire d'un message qui échoue aux contrôles — le laisser, le mettre en quarantaine, ou le rejeter) et des rapports qui vous remontent les tentatives d'usurpation.
Commencer en politique « none » (surveillance) permet d'observer les rapports sans bloquer, avant de durcir progressivement vers « quarantine » puis « reject ».
Pourquoi c'est aussi un sujet de conformité
Le RGPD impose une obligation de sécurité des traitements (article 32). Or un domaine usurpable facilite le hameçonnage de vos clients — donc la compromission de leurs données. Sécuriser ses e-mails, c'est réduire ce risque, en plus d'améliorer la délivrabilité de vos messages légitimes.
- SPF liste les serveurs autorisés à envoyer pour votre domaine.
- DKIM signe chaque message pour prouver son origine et son intégrité.
- DMARC décide du sort des messages non authentifiés et vous envoie des rapports.
- Ces réglages relèvent aussi de l'obligation de sécurité du RGPD (art. 32).
Votre site est-il concerné ?
Analysez-le gratuitement en 30 secondes : cookies, sécurité e-mail, transferts hors UE et plus encore.
Ce guide est une aide à la compréhension et à la conformité. Il ne constitue pas un avis juridique. Mis à jour le 17 juillet 2026.