Chaque semaine, des entreprises perdent des occasions d’affaires parce que leurs courriels n’arrivent pas à bon port. Une facture, un devis, un message de suivi : autant de messages bloqués ou filtrés. Le destinataire ne voit parfois rien. Pourquoi ? Les serveurs de messagerie les jugent suspects. Ils les mettent en quarantaine ou les bloquent.
Souvent, ce blocage vient de l’absence de trois protections essentielles : SPF, DKIM et DMARC. Ces noms semblent techniques. Mais ils ont un rôle simple : protéger votre identité numérique et assurer la livraison de vos courriels.
Dans ce guide, nous expliquons comment ces trois protocoles fonctionnent ensemble. Et pourquoi chaque entreprise devrait les activer. Sans jargon, avec des explications claires.
Pourquoi vos courriels ne passent pas toujours ?
Quand vous envoyez un courriel, les serveurs du destinataire le vérifient. Gmail, Outlook ou Apple Mail veulent savoir s’ils peuvent vous faire confiance. Est-ce bien vous ? Le message a-t-il été modifié ? Le serveur est-il autorisé à l’envoyer ?
Sans preuves claires, ces systèmes bloquent le message ou l’envoient dans les pourriels.
SPF, DKIM et DMARC fournissent ces preuves. Ils disent aux serveurs : « Ce courriel est authentique et autorisé ».
SPF : qui peut envoyer des courriels en votre nom ?
SPF (Sender Policy Framework) permet de dire quels serveurs sont autorisés à envoyer des courriels pour votre domaine. Par exemple : Microsoft 365, votre plateforme marketing ou votre système de facturation.
Vous ajoutez cette information dans le DNS de votre domaine. C’est comme une déclaration officielle visible par tous les services de messagerie.
Si un cybercriminel tente d’envoyer un message en utilisant votre nom de domaine, mais sans passer par un serveur autorisé, SPF le détecte. Il signale ce courriel comme suspect.
Mais SPF seul ne protège pas contre les messages modifiés. Et il ne fonctionne que si l’adresse d’expéditeur apparente est bien configurée. D’où l’utilité de combiner SPF avec les deux autres protocoles.
DKIM : la signature numérique qui garantit l’authenticité
DKIM (DomainKeys Identified Mail) ajoute une signature numérique invisible dans chaque courriel. Cette signature est générée à l’envoi grâce à une clé privée. Ensuite, les serveurs de réception peuvent la valider grâce à une clé publique, disponible dans votre DNS.
Cette vérification prouve que le message n’a pas été modifié. Elle confirme aussi qu’il vient bien d’un expéditeur autorisé. C’est comme si vous cachetiez chaque message avec un sceau inviolable.
Attention : pour les domaines d’entreprise (par exemple votresociete.ca), DKIM n’est jamais activé par défaut. Vous devez l’activer manuellement dans votre interface Microsoft 365, Google Workspace ou autre, puis publier la clé publique dans le DNS.
DMARC : le chef d’orchestre de votre sécurité courriel
DMARC (Domain-based Message Authentication, Reporting and Conformance) ne remplace pas SPF et DKIM. Il les complète. Il vous permet d’indiquer que faire si un message échoue l’un ou l’autre des tests : le livrer quand même, le mettre en quarantaine ou le rejeter.
Vous pouvez définir une politique progressive : commencer par surveiller les résultats sans bloquer (mode « none »), puis renforcer la protection avec « quarantine » ou « reject ».
L’autre avantage de DMARC, ce sont les rapports. Ces fichiers, envoyés régulièrement, indiquent quels services utilisent votre domaine pour envoyer des messages. Vous pouvez ainsi repérer des anomalies, corriger des erreurs de configuration, ou identifier des abus.
Pourquoi utiliser les trois ?
SPF seul peut être contourné. DKIM seul ne suffit pas non plus. Et DMARC sans les deux autres ne fonctionne pas.
Utilisés ensemble, ces trois protocoles :
- Améliorent la délivrabilité de vos courriels.
- Empêchent les cybercriminels d’usurper votre identité.
- Renforcent la crédibilité de vos messages.
- Réduisent les risques d’attaques par usurpation, comme la fraude du président ou les campagnes de phishing ciblé.
Ils sont devenus essentiels pour se protéger contre l’utilisation frauduleuse de votre nom de domaine. Pour une exploration plus approfondie sur la fraude du président, consultez notre article dédié ici.
Mise en place simple
- Identifiez tous les services qui envoient des courriels en votre nom (CRM, marketing, facturation, etc.).
- Créez un enregistrement SPF dans votre DNS. Il doit contenir toutes les adresses ou plateformes autorisées.
- Activez DKIM auprès de votre fournisseur de courriel. Publiez la clé publique dans le DNS.
- Déployez DMARC en mode « none » pour débuter. Analysez les rapports. Puis passez à une politique plus stricte selon vos résultats.
Des outils en ligne permettent de vérifier vos configurations SPF, DKIM et DMARC. Certains fournisseurs comme Microsoft ou Google offrent une aide intégrée.
Une configuration simple, mais puissante
SPF, DKIM et DMARC ne sont pas réservés aux grandes entreprises. Ils sont essentiels pour toute PME qui utilise le courriel au quotidien.
Ces protections sont simples à mettre en place, souvent gratuites, et elles font une énorme différence. Vos messages arrivent mieux à destination. Votre image est protégée. Vos clients sont rassurés.
En 2026, c’est un standard, pas une option.
Vous voulez vérifier si votre domaine est bien configuré ? Les spécialistes de Mon Technicien peuvent vous accompagner. Nous aidons déjà plusieurs PME du Québec à sécuriser leurs communications et à améliorer la performance de leurs courriels.
