SPF, DKIM, DMARC : l'authentification email expliquée aux PME

Vous envoyez des emails de prospection soignés, et pourtant les réponses se font rares. Avant d'accuser le message, vérifiez qu'il arrive bien. Une part importante des emails légitimes finit en spam, ou n'arrive jamais, à cause d'une authentification mal configurée. Les trois piliers à connaître se nomment SPF, DKIM et DMARC.

Ces sigles techniques rebutent, mais le principe est simple : ils prouvent aux serveurs destinataires que vous êtes bien l'expéditeur que vous prétendez être. Sans cette preuve, votre domaine est suspect, et vos emails passent à la trappe. Voici une explication accessible, sans jargon inutile.

Le problème que résout l'authentification

À l'origine, l'email n'a pas été conçu pour être sûr. N'importe qui peut écrire votre adresse dans le champ « expéditeur ». C'est exactement ce que font les usurpateurs pour envoyer du phishing en votre nom.

Pour se protéger, les fournisseurs de messagerie ont besoin de vérifier trois choses :

• Le serveur qui envoie est-il autorisé à le faire pour ce domaine ?
• Le message a-t-il été modifié en route ?
• Que faire si l'une de ces vérifications échoue ?

SPF, DKIM et DMARC répondent respectivement à ces trois questions. Les grands acteurs comme Gmail et les messageries professionnelles imposent désormais ces standards. Un domaine sans authentification correcte voit sa délivrabilité s'effondrer, parfois sous les 50 % d'emails réellement remis.

SPF : qui a le droit d'envoyer pour vous

SPF, pour Sender Policy Framework, est une liste. Elle déclare quels serveurs sont autorisés à envoyer des emails au nom de votre domaine.

Concrètement, vous publiez un enregistrement dans la configuration DNS de votre domaine qui énumère les services d'envoi légitimes : votre messagerie, votre outil de facturation, votre CRM. Quand un serveur destinataire reçoit un message, il consulte cette liste. Si le serveur émetteur n'y figure pas, l'email est jugé suspect.

L'erreur la plus fréquente est l'oubli : vous ajoutez un nouvel outil d'envoi mais ne l'inscrivez pas dans le SPF. Ses emails partent alors sans autorisation et tombent en spam. Autre piège, la limite technique de dix consultations DNS : empiler trop de services dans un SPF mal optimisé le casse entièrement.

DKIM : la signature qui prouve l'intégrité

DKIM, pour DomainKeys Identified Mail, ajoute une signature cryptographique à chaque email. Cette signature garantit que le message vient bien de votre domaine et n'a pas été altéré en chemin.

Le mécanisme repose sur une paire de clés : une clé privée qui signe les emails au départ, et une clé publique publiée dans votre DNS que le destinataire utilise pour vérifier la signature. Si tout concorde, l'email est authentifié. Si le contenu a été modifié ou si la signature est absente, le doute s'installe.

Pour une PME, la bonne nouvelle est que la mise en place de DKIM est généralement gérée par le fournisseur de messagerie. Avec une messagerie professionnelle hébergée chez Infomaniak, la signature DKIM est intégrée à l'environnement, ce qui évite la manipulation manuelle de clés cryptographiques. Reste à vérifier qu'elle est bien active, surtout si vous envoyez aussi depuis d'autres outils.

DMARC : la politique qui tranche

DMARC, pour Domain-based Message Authentication, est le chef d'orchestre. Il indique aux destinataires quoi faire quand SPF ou DKIM échoue, et vous renvoie des rapports sur ce qui circule en votre nom.

Une politique DMARC peut prendre trois niveaux :

• none : on observe sans rien bloquer, pour collecter des données.
• quarantine : les emails douteux vont en spam.
• reject : les emails douteux sont purement rejetés.

La bonne démarche est progressive. On commence en none pendant quelques semaines pour lire les rapports et repérer tous les services légitimes qui envoient en votre nom. Une fois SPF et DKIM correctement réglés pour chacun, on durcit vers quarantine puis reject. Sauter directement à reject sans observation préalable revient à risquer de bloquer ses propres emails de facturation ou de support.

Vérifier et corriger sans être technicien

Pas besoin d'être administrateur système pour faire un premier diagnostic. Plusieurs vérifications sont à la portée d'un responsable PME.

Procédez par étapes simples :

• Envoyez-vous un email de test depuis votre outil de prospection vers une adresse Gmail, puis examinez les détails du message (l'option « afficher l'original ») : SPF, DKIM et DMARC doivent indiquer « pass ».
• Utilisez un outil en ligne gratuit d'analyse d'enregistrements DNS pour confirmer la présence de chaque enregistrement.
• Listez tous les services qui envoient des emails en votre nom : messagerie, CRM, facturation, newsletter. Chacun doit être couvert.

Si un « fail » apparaît, le correctif se situe presque toujours dans la configuration DNS du domaine ou dans l'activation de la signature chez le fournisseur concerné. En cas de doute, votre hébergeur reste l'interlocuteur le mieux placé.

L'impact concret sur votre prospection

L'authentification n'est pas qu'une affaire de sécurité, c'est un levier commercial direct. Un domaine bien authentifié inspire confiance aux filtres anti-spam et atteint la boîte de réception.

L'effet sur les chiffres est tangible. Imaginons une PME qui envoie 1 000 emails de prospection par mois avec une délivrabilité réelle de 60 %, soit 600 emails effectivement lus. En corrigeant SPF, DKIM et DMARC, elle remonte à 92 %, soit 920 emails délivrés. À taux de réponse égal, ce sont plus de 50 % d'opportunités supplémentaires, sans rien changer au message ni au volume d'envoi.

Quelques bonnes pratiques complémentaires renforcent l'effet : éviter les pièces jointes lourdes en prospection, soigner le ratio texte/lien, et chauffer progressivement un nouveau domaine plutôt que d'envoyer mille messages dès le premier jour.

L'authentification email n'est ni glamour ni urgente en apparence, mais elle conditionne tout le reste. Avant d'investir dans de nouveaux outils ou de nouveaux messages, assurez-vous que vos emails arrivent simplement à destination. C'est souvent le retour sur investissement le plus immédiat de toute la prospection.

Lancez une prospection qui arrive à bon port →