Bien configurer l'e-mail : SPF, DKIM et DMARC pour débutants (Partie 3 sur 3)
Série « Son propre serveur – de 0 à sécurisé » · 3 parties :
- Configurer & sécuriser un vServer Debian
- Installer & configurer Froxlor
- Bien configurer l'e-mail : SPF, DKIM & DMARC ← Vous êtes ici
Ce guide est la Partie 3 et clôt la série. Il suppose un serveur avec serveur de messagerie, tel que construit par la Partie 1 et la Partie 2.

Sommaire
- Prérequis
- Que sont SPF, DKIM et DMARC ?
- Étape 1 : Configurer SPF
- Étape 2 : Configurer DKIM (signer sur son propre serveur)
- Étape 3 : Configurer DMARC
- Étape 4 : Tout vérifier et tester
- Erreurs fréquentes et solutions
- Checklist
- Questions fréquentes (FAQ)
- Conclusion
- Sources
En un coup d'œil : SPF, DKIM et DMARC sont trois enregistrements dans le DNS de votre domaine. Ils prouvent qu'un e-mail vient bien de vous. Sans eux, vos messages finissent aujourd'hui souvent dans le spam – ou sont carrément rejetés. Depuis 2024, Google et Yahoo exigent cette authentification, Microsoft depuis 2025. La configuration prend 20–30 minutes.
Si vous envoyez des e-mails via votre propre serveur (par ex. des factures ou des messages de formulaire de contact), il ne suffit pas de « juste » exploiter un serveur de messagerie. Vous devez aussi prouver aux serveurs destinataires que l'e-mail est authentique. Il existe pour cela trois briques. Nous les configurons toutes les trois – pour débutants et à copier.
Prérequis
- Un serveur avec serveur de messagerie (Postfix/Dovecot), par ex. configuré via Froxlor en Partie 2.
- Un accès à la gestion DNS de votre domaine – la zone chez le fournisseur de domaine (ou dans Froxlor si vous y gérez le DNS) où vous pouvez créer des « enregistrements TXT ».
- L'adresse IP de votre serveur.
Important – le bon ordre : Configurez d'abord SPF et DKIM et attendez qu'ils soient tous deux actifs (au moins quelques heures) avant d'activer DMARC. Et démarrez toujours DMARC avec le réglage doux
p=none.
Que sont SPF, DKIM et DMARC ?
Trois images simples :
- SPF est la liste des invités. Elle définit quels serveurs peuvent envoyer des e-mails en votre nom. Si le serveur expéditeur n'est pas sur la liste, l'e-mail est suspect.
- DKIM est la signature numérique. Chaque e-mail sortant est signé cryptographiquement. Le destinataire vérifie qu'il est authentique et n'a pas été modifié en chemin.
- DMARC est le règlement. Il indique au destinataire ce qui doit se passer si SPF ou DKIM échoue : laisser passer, mettre au spam ou rejeter. Et il vous envoie des rapports.
Tous trois sont techniquement de simples enregistrements TXT dans le DNS – sauf la clé DKIM, que nous générons sur le serveur. Une très bonne explication détaillée est proposée par le guide de Mailvergleich.de.
Étape 1 : Configurer SPF
SPF est un unique enregistrement TXT à créer dans le DNS de votre domaine. Allez dans la gestion DNS et créez un nouvel enregistrement :
Type : TXT
Nom : @ (représente le domaine principal)
Valeur : v=spf1 a mx ip4:SERVER-IP -all
Remplacez SERVER-IP par l'IP de votre serveur. Ce que signifient les éléments :
v=spf1– identifiant de version (toujours au début).a mx– les serveurs vers lesquels pointent les enregistrements A et MX du domaine peuvent envoyer.ip4:SERVER-IP– cette IP précise peut envoyer.-all– tous les autres ne peuvent pas envoyer (variante stricte). En cas de doute ou si vous utilisez des services supplémentaires (newsletter, CRM), commencez par la variante plus douce~allet passez plus tard à-all.
Un seul enregistrement SPF ! Un domaine ne peut avoir exactement qu'un enregistrement TXT SPF. Si vous utilisez d'autres services, ajoutez leurs mentions
include:dans ce seul enregistrement, par ex.v=spf1 a mx include:_spf.example.com -all.
Étape 2 : Configurer DKIM (signer sur son propre serveur)
Contrairement à une boîte louée, vous devez générer DKIM sur votre propre serveur. Nous utilisons pour cela OpenDKIM, qui s'intègre à Postfix et signe chaque e-mail sortant.
2.1 Installer OpenDKIM :
sudo apt install -y opendkim opendkim-tools
2.2 Générer la clé (remplacez votre-domaine.fr) :
sudo mkdir -p /etc/opendkim/keys/votre-domaine.fr
sudo opendkim-genkey -b 2048 -d votre-domaine.fr -D /etc/opendkim/keys/votre-domaine.fr -s mail -v
sudo chown -R opendkim:opendkim /etc/opendkim
2.3 Configurer OpenDKIM. Ouvrez la configuration principale :
sudo nano /etc/opendkim.conf
Ajoutez à la fin :
Canonicalization relaxed/simple
Mode sv
Socket inet:8891@localhost
KeyTable /etc/opendkim/KeyTable
SigningTable /etc/opendkim/SigningTable
ExternalIgnoreList /etc/opendkim/TrustedHosts
InternalHosts /etc/opendkim/TrustedHosts
Créez les trois tables :
echo "mail._domainkey.votre-domaine.fr votre-domaine.fr:mail:/etc/opendkim/keys/votre-domaine.fr/mail.private" | sudo tee /etc/opendkim/KeyTable
echo "*@votre-domaine.fr mail._domainkey.votre-domaine.fr" | sudo tee /etc/opendkim/SigningTable
printf "127.0.0.1\nlocalhost\nvotre-domaine.fr\n" | sudo tee /etc/opendkim/TrustedHosts
2.4 Relier OpenDKIM à Postfix. Ouvrez la configuration Postfix :
sudo nano /etc/postfix/main.cf
Ajoutez à la fin :
milter_default_action = accept
milter_protocol = 6
smtpd_milters = inet:localhost:8891
non_smtpd_milters = inet:localhost:8891
Redémarrez les services :
sudo systemctl restart opendkim postfix
2.5 Publier l'enregistrement DNS DKIM. OpenDKIM a écrit votre clé publique dans un fichier. Affichez-le :
sudo cat /etc/opendkim/keys/votre-domaine.fr/mail.txt
Vous voyez une longue valeur de la forme v=DKIM1; k=rsa; p=.... Créez-en un enregistrement TXT dans le DNS :
Type : TXT
Nom : mail._domainkey
Valeur : v=DKIM1; k=rsa; p=MIIBI... (la valeur p= complète du fichier)
Une aide illustrée pas à pas pour DKIM se trouve aussi chez saschafix.de.
Étape 3 : Configurer DMARC
DMARC relie SPF et DKIM et définit la règle. Créez un autre enregistrement TXT dans le DNS :
Type : TXT
Nom : _dmarc
Valeur : v=DMARC1; p=none; rua=mailto:dmarc@votre-domaine.fr; fo=1
Signification :
p=none– observer, mais ne rien bloquer. Vous commencez toujours ainsi, pour voir si tout fonctionne proprement sans mettre en péril les e-mails légitimes.rua=mailto:dmarc@votre-domaine.fr– à cette adresse, les destinataires envoient des rapports quotidiens. Créez cette boîte.fo=1– rapports d'erreur plus détaillés.
Durcir progressivement : Quand, après une à deux semaines, les rapports montrent que vos vrais e-mails passent SPF/DKIM, augmentez la sévérité – d'abord vers p=quarantine (e-mails suspects au spam), puis vers p=reject (e-mails suspects rejetés) :
v=DMARC1; p=quarantine; rua=mailto:dmarc@votre-domaine.fr; fo=1
Ne démarrez jamais avec
p=reject! Sinon, vous risquez que des e-mails légitimes (par ex. de services de newsletter ou CRM) soient aussi rejetés.
Étape 4 : Tout vérifier et tester
Les modifications DNS prennent un peu de temps (souvent des minutes, parfois jusqu'à 24 heures). Vérifiez ensuite votre configuration avec des outils gratuits :
- MXToolbox – vérifie les enregistrements SPF, DKIM et DMARC individuellement (choisissez en haut « SPF Record Lookup », « DKIM Lookup », « DMARC Lookup »).
- mail-tester.com – envoyez un vrai e-mail de test à l'adresse affichée ; l'objectif est une note d'au moins 8/10.
- Vérifier l'en-tête Gmail : envoyez-vous un e-mail vers un compte Gmail, ouvrez-le, cliquez sur les trois points → « Afficher l'original ». Il devrait y avoir « PASS » pour SPF, DKIM et DMARC.
Le test DKIM directement sur le serveur peut en plus se faire ainsi :
sudo opendkim-testkey -d votre-domaine.fr -s mail -vvv
Si « key OK » apparaît, la clé est correctement publiée.
Erreurs fréquentes et solutions
| Problème | Cause | Solution |
|---|---|---|
| Les e-mails finissent encore au spam | DNS pas encore propagé | attendre quelques heures, vérifier avec MXToolbox |
| SPF « PermError » | plus d'un enregistrement SPF | fusionner toutes les mentions en un enregistrement SPF |
| DKIM « fail » | valeur p= erronée/incomplète | reprendre exactement la valeur complète de mail.txt (sans sauts de ligne) |
| DMARC sans effet | faute de frappe dans le nom | l'enregistrement doit s'appeler exactement _dmarc |
| Aucun rapport DMARC | la boîte rua n'existe pas | créer l'adresse dmarc@votre-domaine.fr |
Checklist
- [ ] Enregistrement TXT SPF présent (exactement un), se terminant par
-allou~all - [ ] OpenDKIM installé, relié à Postfix, services redémarrés
- [ ] Enregistrement TXT DKIM (
mail._domainkey) publié,opendkim-testkeyindique « key OK » - [ ] Enregistrement TXT DMARC (
_dmarc) avecp=noneactif - [ ] mail-tester.com affiche ≥ 8/10
- [ ] Gmail « Afficher l'original » : SPF, DKIM, DMARC = PASS
- [ ] Après une à deux semaines, DMARC augmenté à
quarantine/reject
Questions fréquentes (FAQ)
SPF seul ne suffit-il pas ? Non. Google, Yahoo et Microsoft exigent au moins SPF ou DKIM, mais pour la meilleure protection et délivrabilité, configurez les trois.
Quelle différence entre ~all et -all ? ~all (« soft fail ») marque seulement les expéditeurs non listés comme suspects, -all (« hard fail ») les rejette strictement. En cas de doute, commencez par ~all et passez plus tard à -all.
Les rapports DMARC sont-ils sensibles pour la protection des données ? Les rapports agrégés (rua) ne contiennent pas le contenu des e-mails, mais des statistiques sur les adresses IP et les résultats d'authentification. Les rapports forensiques (ruf) peuvent contenir davantage – beaucoup renoncent donc à ruf pour des raisons RGPD.
Faut-il l'entretenir régulièrement ? Une fois configuré, cela tourne. Consultez au début les rapports DMARC et augmentez la sévérité progressivement.
Conclusion
En trois étapes, vous avez sécurisé vos e-mails : SPF définit qui peut envoyer, DKIM signe chaque message, DMARC détermine la règle et fournit des rapports. L'ordre est important – d'abord SPF et DKIM, puis DMARC, et toujours démarrer DMARC avec p=none. Après le test sur mail-tester.com, vous savez que vos e-mails arrivent.
La série est ainsi complète : vous avez configuré un serveur sécurisé en Partie 1, installé Froxlor en Partie 2 et sécurisé ici l'envoi d'e-mails.
Vous ne voulez pas gérer tout cela vous-même, mais préférez une solution clé en main ou un développement sur mesure ? PepperTools vous accompagne – contactez-nous via le formulaire.
Sources
- Mailvergleich.de : configurer SPF, DKIM & DMARC
- saschafix.de : configurer SPF, DKIM & DMARC
- Google Workspace : authentification des e-mails
- MXToolbox (outils de test) · mail-tester.com
- OpenDKIM (page du projet)
État : juin 2026. Les commandes et exigences des grands fournisseurs de messagerie peuvent changer – leurs consignes officielles et la documentation des logiciels utilisés font foi.
Gerer les factures plus simplement
Easy Invoice regroupe devis, factures et gestion client dans le cloud.
Essayer Easy Invoice