Aujourd’hui, on va parler d’un sujet que beaucoup pensent maîtriser, et que très peu configurent correctement : DMARC & SPF (et un peu de DKIM, parce qu’il bosse aussi dans l’ombre).
Sur le papier, ça protège ta boîte mail du phishing et des vilains usurpateurs. Dans la réalité ? Mal fait, c’est une petite bombe DNS prête à saboter ta messagerie.
Tu crois que ton p=reject fait de toi un champion de la sécurité ?
Tu as oublié Mailchimp, Zapier ou le CRM du stagiaire ?
➡️ Bienvenue dans le monde merveilleux du DNS qui s’auto-tire une balle dans le pied.
Aujourd’hui, on te montre comment ça marche, comment ça casse, et surtout comment éviter de te faire passer pour un spammeur par Google, Outlook, ou ta propre équipe RH.
Spoiler : tu vas vouloir checker ta zone DNS après ça.
💣 1. Pourquoi DMARC, bordel ?
Tu crois que DMARC, c’est juste un truc en plus dans ta zone DNS ? Détrompe-toi. Mal configuré, tu passes de « protection email » à « cave à spams »… voire « toit à vulnérabilité ».
👉 DMARC mal foutu = sabotage auto-infligé.
📬 2. Comment ça marche, un email, à la truelle ?
- 📨 Tu écris un mail → ton SMTP envoie un
MAIL FROM: - 🔍 SPF vérifie que l’IP est autorisée à envoyer
- 🧾 DKIM colle une signature cryptographique
- 👮 DMARC vérifie que tout ça est aligné et impose une politique
👉 Si une de ces briques est mal foutue… 🎯 BIM : c’est porte ouverte au spoofing.
🧱 3. SPF : le garde du corps amnésique
SPF, c’est ton premier mur de défense. Exemple :v=spf1 mx include:mondomaine.com -all
Mais attention :
🚫 +10 includes = SPF en erreur
😵 +all ou pas de -all = n’importe qui peut se faire passer pour toi
📤 Transferts d’e-mails et mailing-lists = SPF souvent inopérant
👉 SPF c’est bien, à jour, c’est mieux.
✒️ 4. DKIM : le tampon invisible
DKIM ajoute une signature RSA à ton email. S’il est modifié… signature KO.
Tu veux une validation stricte (adkim=s) ou souple (adkim=r) ?
Spoiler : les deux ont leurs failles.
⚠️ Forwarding, reformatage, antispams → souvent casse DKIM.
🎩 5. DMARC : le chef d’orchestre capricieux
Un bon DMARC :
v=DMARC1; p=reject; sp=none; rua=mailto:[email protected]; adkim=s; aspf=r
Tu peux :
🔨 Rejeter les e-mails douteux
📊 Recevoir des rapports détaillés
📉 Protéger ta réputation d’expéditeur
Mais mal géré, c’est le blackhole garanti pour tes mails.
🧠 6. Zone DNS DMARC : le TXT qui peut te flinguer
Voici les ingrédients clés :
- 🧬
v=: version obligatoire - 🛑
p=: politique (none/quarantine/reject) - 🧲
sp=: politique pour les sous-domaines - 📩
rua/ruf: rapports - 🎯
pct=: taux d’application - 🔍
aspf/adkim: alignements stricts ou relâchés
⚠️ Tu fais une faute ici → ton domaine devient un zombie en slip.
💥 7. Top 5 des grosses bourdes
❌ p=none pendant 8 ans → ça n’aide pas.
❌ SPF sans inclure Mailchimp / Hubspot → mails en spam.
❌ pct=5 oublié depuis 2021 → bravo.
❌ RUA invalide → tu n’as même pas les rapports d’incidents.
❌ SPF/DKIM cassé et p=reject → tu bloques tes mails.
👉 Tu veux éviter ça ? Lis la suite.
🧨 8. DMARC mal configuré = suicide numérique
Un p=reject appliqué trop vite = adieu newsletters, e-mails RH, CRM, SaaS.
➡️ DMARC ne pardonne pas les imprécisions.
Tu veux faire bien ?
🔍 Teste ton SPF
🧪 Analyse les rapports
🔧 Corrige les fails
📈 Ensuite : tu montes le curseur jusqu’à quarantine, puis reject.
📋 9. Checklist “audit express”
| ✅ Étape | Contrôle à faire |
|---|---|
| 🔧 SPF | ≤10 lookups, -all, prestataires inclus |
| 🧾 DKIM | Clés à jour, pas expirées, signature OK |
| 🕵️♂️ DMARC | Tous les tags présents, syntaxe correcte |
| 🧪 Alignement | SPF ou DKIM alignés sur le From: |
| 📤 Rapports | rua/ruf configurés, réception fonctionnelle |
| 🚦 Politique | p=none en test, progression planifiée |
| 🔄 Suivi | Monitoring & mise à jour continue |
😏 10. La blague
“On a mis
p=rejectdirect, c’est sécurisé !”
💬 Non, c’est suicidaire. Sans SPF/DKIM alignés, tu viens de blacklister tes propres mails.
“SPF ? On l’a mis en 2017, ça bouge pas.”
💬 Et ton SaaS de facturation ? Ah oui, il envoie depuis une autre IP. Résultat : ça part en SPAM depuis 2 ans.
🧠 Conclusion
DMARC, SPF et DKIM, c’est le trio infernal à ne jamais sous-estimer.
✅ Bien configurés → t’es un boss, tu protèges ton domaine.
❌ Mal configurés → t’es complice du phishing (ou victime).
Fais pas semblant :
➡️ Lis les rapports.
➡️ Corrige.
➡️ Monte progressivement.
Sinon… tu finiras en [email protected].
