Méthode progressive pour configurer SPF, DKIM et DMARC sans bloquer les emails légitimes d’une PME. L’objectif est simple : inventorier les expéditeurs, nettoyer SPF, activer DKIM, observer DMARC, puis durcir progressivement, sans casser les emails utiles de l’entreprise. Ce guide privilégie une méthode prudente, documentée et mesurable pour les PME, équipes IT, responsables marketing et dirigeants.
Réponse directe : commencez par identifier les flux réels, vérifiez les DNS, appliquez les corrections une par une, testez vers Gmail et Outlook, puis observez les résultats avant de durcir. Pour ce sujet, le fil conducteur consiste à inventorier les expéditeurs, nettoyer SPF, activer DKIM, observer DMARC, puis durcir progressivement.
À retenir : Ne modifiez pas un enregistrement DNS critique sans comprendre quel outil l’utilise. Une correction techniquement juste peut interrompre des factures, notifications, formulaires web ou campagnes si le flux n’a pas été inventorié.
En bref
- Le bon diagnostic commence par les flux réels, pas par une supposition.
- Les changements DNS doivent être datés, testés et réversibles.
- Gmail et Outlook réagissent à la technique, mais aussi à la réputation et à l’engagement.
- Une méthode progressive protège la délivrabilité et les usages métier.
Schéma : comment le contrôle SPF, DKIM et DMARC se déroule
Avant de modifier vos DNS, il faut comprendre à quel moment SPF, DKIM et DMARC interviennent dans le parcours d’un email.
Parcours simplifié d’un email : le serveur destinataire vérifie SPF, DKIM et DMARC avant d’accepter ou non le message.
Ce schéma montre un point important : DMARC ne demande pas forcément que SPF et DKIM réussissent tous les deux. Le message peut passer DMARC si SPF est valide et aligné, ou si DKIM est valide et aligné.
Schéma : inventorier les expéditeurs légitimes
La configuration ne doit jamais commencer par une règle DNS copiée trop vite. Elle commence par une carte des plateformes qui envoient réellement.
Avant de durcir DMARC, il faut identifier tous les outils autorisés à envoyer des emails pour le domaine ou ses sous-domaines.
Cette cartographie évite de casser un formulaire web, une newsletter, un CRM ou un outil de facturation oublié. Chaque flux doit avoir un propriétaire, un domaine d’envoi et un mode d’authentification.
Schéma : durcir DMARC sans rupture
DMARC se déploie par étapes. Le rythme doit suivre la qualité des rapports et la correction des flux métier.
Une politique DMARC se durcit progressivement : observation, analyse des rapports, corrections, puis protection renforcée.
Le passage à p=quarantine ou p=reject doit être une conséquence du diagnostic, pas un objectif isolé. Les rapports DMARC servent à prouver que les flux utiles sont prêts.
Schéma : comprendre l’alignement DMARC
L’alignement est la notion qui transforme SPF et DKIM en vraie protection du domaine visible par le destinataire.
DMARC réussit si SPF ou DKIM est valide et aligné avec le domaine visible dans le champ From.
Un SPF techniquement valide peut échouer DMARC si le domaine authentifié n’est pas aligné avec le From visible. C’est souvent là que les plateformes marketing ou CRM doivent être corrigées.
Quand utiliser cette méthode ?
Utilisez cette méthode lorsque le domaine envoie depuis plusieurs plateformes, lorsqu’une baisse de délivrabilité apparaît, ou avant une politique DMARC plus stricte. Elle est aussi utile après une migration Microsoft 365, Google Workspace, CRM ou plateforme marketing.
Elle s’applique aussi aux organisations qui veulent fiabiliser leur authentification email avant un audit client, une migration DNS, un changement de plateforme ou une campagne importante.
Procédure étape par étape
| Étape | Action | Validation |
|---|---|---|
| 1 | Cartographier les flux d’envoi réels, y compris site web, CRM, facturation, support, marketing et messagerie collaborative. | Contrôle documenté |
| 2 | Vérifier les enregistrements DNS avant modification et conserver une copie datée de l’état initial. | Contrôle documenté |
| 3 | Appliquer la correction sur un périmètre limité, avec une fenêtre d’observation claire. | Contrôle documenté |
| 4 | Tester les messages critiques vers Gmail, Outlook et une boîte externe neutre. | Contrôle documenté |
| 5 | Comparer les résultats techniques avec les retours métier : réception, spam, promotions, rejets et bounces. | Contrôle documenté |
| 6 | Documenter la décision, les propriétaires d’outil et la prochaine date de contrôle. | Contrôle documenté |
Exemple DNS concret
Adaptez toujours les valeurs au fournisseur réel. Ne copiez jamais un exemple DNS sans vérifier le domaine, le sélecteur DKIM, l’adresse de rapport et la politique attendue.
example.com. TXT "v=spf1 include:spf.protection.outlook.com include:example-esp.net -all"
selector1._domainkey.example.com. CNAME selector1-example-com._domainkey.provider.example.
_dmarc.example.com. TXT "v=DMARC1; p=none; rua=mailto:dmarc@example.com; adkim=s; aspf=s"Précautions métier pour la délivrabilité
Ne modifiez pas un enregistrement DNS critique sans comprendre quel outil l’utilise. Une correction techniquement juste peut interrompre des factures, notifications, formulaires web ou campagnes si le flux n’a pas été inventorié.
La délivrabilité ne dépend pas uniquement de SPF, DKIM ou DMARC. Les plaintes, les bounces, la qualité de la base, les volumes, la régularité des campagnes et la clarté du contenu comptent aussi. Reliez ce tutoriel aux services d’audit et de délivrabilité.
Définitions courtes
- SPF : enregistrement DNS qui autorise des serveurs à envoyer pour un domaine.
- DKIM : signature cryptographique qui prouve l’intégrité du message.
- DMARC : politique qui vérifie l’alignement et demande une action en cas d’échec.
- Domaine d’envoi : domaine visible ou technique utilisé par une plateforme pour expédier.
- Réputation domaine : niveau de confiance construit par les fournisseurs à partir de l’historique.
Liens internes utiles
- Dharmail
- services d’audit et de délivrabilité
- blog Dharmail
- Lire un rapport DMARC XML et identifier qui envoie des emails avec votre domaine
- Créer un sous-domaine d’envoi pour Brevo, ActiveCampaign ou Mailjet
- Pourquoi mes emails arrivent en spam ou dans Promotions Gmail ?
- Installer et utiliser Google Postmaster Tools pour surveiller sa réputation email
Checklist finale
- Cartographier les flux d’envoi réels, y compris site web, CRM, facturation, support, marketing et messagerie collaborative.
- Vérifier les enregistrements DNS avant modification et conserver une copie datée de l’état initial.
- Appliquer la correction sur un périmètre limité, avec une fenêtre d’observation claire.
- Tester les messages critiques vers Gmail, Outlook et une boîte externe neutre.
- Comparer les résultats techniques avec les retours métier : réception, spam, promotions, rejets et bounces.
- Documenter la décision, les propriétaires d’outil et la prochaine date de contrôle.
- Surveiller les résultats pendant plusieurs jours.
- Documenter la date, le propriétaire et la raison de chaque changement.
Méthode de validation opérationnelle
Après chaque changement, créez une petite fiche de contrôle. Notez le domaine concerné, l’outil modifié, l’enregistrement DNS touché, l’heure de modification, le résultat attendu et la personne responsable. Cette fiche évite les diagnostics confus lorsque plusieurs équipes interviennent sur la même zone DNS ou sur la même plateforme d’envoi.
Envoyez ensuite trois types de messages : un message humain depuis la messagerie principale, un message applicatif depuis le site ou le CRM, et un message marketing si une plateforme de campagne est concernée. Vérifiez l’en-tête complet du message reçu, pas seulement l’affichage dans la boîte de réception. Les lignes SPF, DKIM et DMARC indiquent si le message passe techniquement et si le domaine visible reste cohérent.
Surveillez enfin les signaux métier. Une baisse de réponse, une hausse des bounces, des plaintes inhabituelles ou des retours clients doivent être rapprochés de la date du changement. Cette discipline simple permet de corriger rapidement sans multiplier les modifications simultanées. Pour une PME, c’est souvent la différence entre une amélioration maîtrisée et une série d’essais difficiles à interpréter.
FAQ
Combien de temps faut-il observer avant de durcir ?
Pour une PME, deux à quatre semaines donnent souvent une base correcte. Il faut couvrir les campagnes, factures, relances, notifications et outils utilisés rarement.
Peut-on tout corriger depuis le DNS ?
Non. Le DNS expose l’autorisation et l’authentification, mais il ne remplace pas la configuration dans Microsoft 365, Google Workspace, le CRM ou la plateforme marketing.
Quel est le risque principal ?
Le risque est de bloquer un flux légitime que personne n’avait inventorié : facture, formulaire web, outil métier ou ancien routeur SMTP.
Faut-il séparer les flux marketing ?
Oui dès que les volumes, audiences ou objectifs diffèrent du courrier humain. Un sous-domaine rend le diagnostic plus lisible.
Un test isolé suffit-il ?
Non. Les fournisseurs utilisent des signaux agrégés. Il faut observer plusieurs jours et plusieurs types de messages.
Quand demander un audit ?
Dès que le domaine est critique, que plusieurs outils envoient, ou qu’une baisse de délivrabilité touche le chiffre d’affaires ou la relation client.
Conclusion
Dharmail peut vous aider à auditer vos flux, corriger les DNS et suivre les effets sur Gmail, Outlook et vos outils métier. Contactez Dharmail pour transformer ce tutoriel en plan d’action adapté à votre domaine.