Guide PepperTools
Technique et serveurs

Bien configurer l'e-mail : SPF, DKIM et DMARC pour débutants (Partie 3 sur 3)

Partie 3 de la série « Son propre serveur – de 0 à sécurisé » : configurer SPF, DKIM et DMARC pour que vos e-mails soient remis en sécurité et ne finissent pas dans le spam. Avec enregistrements DNS à copier, OpenDKIM sur votre serveur et outils de test gratuits.

Bien configurer l'e-mail : SPF, DKIM et DMARC pour débutants (Partie 3 sur 3)

Bien configurer l'e-mail : SPF, DKIM et DMARC pour débutants (Partie 3 sur 3)

Série « Son propre serveur – de 0 à sécurisé » · 3 parties :

  1. Configurer & sécuriser un vServer Debian
  2. Installer & configurer Froxlor
  3. Bien configurer l'e-mail : SPF, DKIM & DMARCVous êtes ici

Ce guide est la Partie 3 et clôt la série. Il suppose un serveur avec serveur de messagerie, tel que construit par la Partie 1 et la Partie 2.

SPF, DKIM und DMARC für Einsteiger

Sommaire


En un coup d'œil : SPF, DKIM et DMARC sont trois enregistrements dans le DNS de votre domaine. Ils prouvent qu'un e-mail vient bien de vous. Sans eux, vos messages finissent aujourd'hui souvent dans le spam – ou sont carrément rejetés. Depuis 2024, Google et Yahoo exigent cette authentification, Microsoft depuis 2025. La configuration prend 20–30 minutes.

Si vous envoyez des e-mails via votre propre serveur (par ex. des factures ou des messages de formulaire de contact), il ne suffit pas de « juste » exploiter un serveur de messagerie. Vous devez aussi prouver aux serveurs destinataires que l'e-mail est authentique. Il existe pour cela trois briques. Nous les configurons toutes les trois – pour débutants et à copier.

Prérequis

  • Un serveur avec serveur de messagerie (Postfix/Dovecot), par ex. configuré via Froxlor en Partie 2.
  • Un accès à la gestion DNS de votre domaine – la zone chez le fournisseur de domaine (ou dans Froxlor si vous y gérez le DNS) où vous pouvez créer des « enregistrements TXT ».
  • L'adresse IP de votre serveur.

Important – le bon ordre : Configurez d'abord SPF et DKIM et attendez qu'ils soient tous deux actifs (au moins quelques heures) avant d'activer DMARC. Et démarrez toujours DMARC avec le réglage doux p=none.

Que sont SPF, DKIM et DMARC ?

Trois images simples :

  • SPF est la liste des invités. Elle définit quels serveurs peuvent envoyer des e-mails en votre nom. Si le serveur expéditeur n'est pas sur la liste, l'e-mail est suspect.
  • DKIM est la signature numérique. Chaque e-mail sortant est signé cryptographiquement. Le destinataire vérifie qu'il est authentique et n'a pas été modifié en chemin.
  • DMARC est le règlement. Il indique au destinataire ce qui doit se passer si SPF ou DKIM échoue : laisser passer, mettre au spam ou rejeter. Et il vous envoie des rapports.

Tous trois sont techniquement de simples enregistrements TXT dans le DNS – sauf la clé DKIM, que nous générons sur le serveur. Une très bonne explication détaillée est proposée par le guide de Mailvergleich.de.

Étape 1 : Configurer SPF

SPF est un unique enregistrement TXT à créer dans le DNS de votre domaine. Allez dans la gestion DNS et créez un nouvel enregistrement :

Type :   TXT
Nom :    @            (représente le domaine principal)
Valeur : v=spf1 a mx ip4:SERVER-IP -all

Remplacez SERVER-IP par l'IP de votre serveur. Ce que signifient les éléments :

  • v=spf1 – identifiant de version (toujours au début).
  • a mx – les serveurs vers lesquels pointent les enregistrements A et MX du domaine peuvent envoyer.
  • ip4:SERVER-IP – cette IP précise peut envoyer.
  • -alltous les autres ne peuvent pas envoyer (variante stricte). En cas de doute ou si vous utilisez des services supplémentaires (newsletter, CRM), commencez par la variante plus douce ~all et passez plus tard à -all.

Un seul enregistrement SPF ! Un domaine ne peut avoir exactement qu'un enregistrement TXT SPF. Si vous utilisez d'autres services, ajoutez leurs mentions include: dans ce seul enregistrement, par ex. v=spf1 a mx include:_spf.example.com -all.

Étape 2 : Configurer DKIM (signer sur son propre serveur)

Contrairement à une boîte louée, vous devez générer DKIM sur votre propre serveur. Nous utilisons pour cela OpenDKIM, qui s'intègre à Postfix et signe chaque e-mail sortant.

2.1 Installer OpenDKIM :

sudo apt install -y opendkim opendkim-tools

2.2 Générer la clé (remplacez votre-domaine.fr) :

sudo mkdir -p /etc/opendkim/keys/votre-domaine.fr
sudo opendkim-genkey -b 2048 -d votre-domaine.fr -D /etc/opendkim/keys/votre-domaine.fr -s mail -v
sudo chown -R opendkim:opendkim /etc/opendkim

2.3 Configurer OpenDKIM. Ouvrez la configuration principale :

sudo nano /etc/opendkim.conf

Ajoutez à la fin :

Canonicalization   relaxed/simple
Mode               sv
Socket             inet:8891@localhost
KeyTable           /etc/opendkim/KeyTable
SigningTable       /etc/opendkim/SigningTable
ExternalIgnoreList /etc/opendkim/TrustedHosts
InternalHosts      /etc/opendkim/TrustedHosts

Créez les trois tables :

echo "mail._domainkey.votre-domaine.fr votre-domaine.fr:mail:/etc/opendkim/keys/votre-domaine.fr/mail.private" | sudo tee /etc/opendkim/KeyTable
echo "*@votre-domaine.fr mail._domainkey.votre-domaine.fr" | sudo tee /etc/opendkim/SigningTable
printf "127.0.0.1\nlocalhost\nvotre-domaine.fr\n" | sudo tee /etc/opendkim/TrustedHosts

2.4 Relier OpenDKIM à Postfix. Ouvrez la configuration Postfix :

sudo nano /etc/postfix/main.cf

Ajoutez à la fin :

milter_default_action = accept
milter_protocol = 6
smtpd_milters = inet:localhost:8891
non_smtpd_milters = inet:localhost:8891

Redémarrez les services :

sudo systemctl restart opendkim postfix

2.5 Publier l'enregistrement DNS DKIM. OpenDKIM a écrit votre clé publique dans un fichier. Affichez-le :

sudo cat /etc/opendkim/keys/votre-domaine.fr/mail.txt

Vous voyez une longue valeur de la forme v=DKIM1; k=rsa; p=.... Créez-en un enregistrement TXT dans le DNS :

Type :   TXT
Nom :    mail._domainkey
Valeur : v=DKIM1; k=rsa; p=MIIBI...   (la valeur p= complète du fichier)

Une aide illustrée pas à pas pour DKIM se trouve aussi chez saschafix.de.

Étape 3 : Configurer DMARC

DMARC relie SPF et DKIM et définit la règle. Créez un autre enregistrement TXT dans le DNS :

Type :   TXT
Nom :    _dmarc
Valeur : v=DMARC1; p=none; rua=mailto:dmarc@votre-domaine.fr; fo=1

Signification :

  • p=noneobserver, mais ne rien bloquer. Vous commencez toujours ainsi, pour voir si tout fonctionne proprement sans mettre en péril les e-mails légitimes.
  • rua=mailto:dmarc@votre-domaine.fr – à cette adresse, les destinataires envoient des rapports quotidiens. Créez cette boîte.
  • fo=1 – rapports d'erreur plus détaillés.

Durcir progressivement : Quand, après une à deux semaines, les rapports montrent que vos vrais e-mails passent SPF/DKIM, augmentez la sévérité – d'abord vers p=quarantine (e-mails suspects au spam), puis vers p=reject (e-mails suspects rejetés) :

v=DMARC1; p=quarantine; rua=mailto:dmarc@votre-domaine.fr; fo=1

Ne démarrez jamais avec p=reject ! Sinon, vous risquez que des e-mails légitimes (par ex. de services de newsletter ou CRM) soient aussi rejetés.

Étape 4 : Tout vérifier et tester

Les modifications DNS prennent un peu de temps (souvent des minutes, parfois jusqu'à 24 heures). Vérifiez ensuite votre configuration avec des outils gratuits :

  • MXToolbox – vérifie les enregistrements SPF, DKIM et DMARC individuellement (choisissez en haut « SPF Record Lookup », « DKIM Lookup », « DMARC Lookup »).
  • mail-tester.com – envoyez un vrai e-mail de test à l'adresse affichée ; l'objectif est une note d'au moins 8/10.
  • Vérifier l'en-tête Gmail : envoyez-vous un e-mail vers un compte Gmail, ouvrez-le, cliquez sur les trois points → « Afficher l'original ». Il devrait y avoir « PASS » pour SPF, DKIM et DMARC.

Le test DKIM directement sur le serveur peut en plus se faire ainsi :

sudo opendkim-testkey -d votre-domaine.fr -s mail -vvv

Si « key OK » apparaît, la clé est correctement publiée.

Erreurs fréquentes et solutions

ProblèmeCauseSolution
Les e-mails finissent encore au spamDNS pas encore propagéattendre quelques heures, vérifier avec MXToolbox
SPF « PermError »plus d'un enregistrement SPFfusionner toutes les mentions en un enregistrement SPF
DKIM « fail »valeur p= erronée/incomplètereprendre exactement la valeur complète de mail.txt (sans sauts de ligne)
DMARC sans effetfaute de frappe dans le noml'enregistrement doit s'appeler exactement _dmarc
Aucun rapport DMARCla boîte rua n'existe pascréer l'adresse dmarc@votre-domaine.fr

Checklist

  • [ ] Enregistrement TXT SPF présent (exactement un), se terminant par -all ou ~all
  • [ ] OpenDKIM installé, relié à Postfix, services redémarrés
  • [ ] Enregistrement TXT DKIM (mail._domainkey) publié, opendkim-testkey indique « key OK »
  • [ ] Enregistrement TXT DMARC (_dmarc) avec p=none actif
  • [ ] mail-tester.com affiche ≥ 8/10
  • [ ] Gmail « Afficher l'original » : SPF, DKIM, DMARC = PASS
  • [ ] Après une à deux semaines, DMARC augmenté à quarantine/reject

Questions fréquentes (FAQ)

SPF seul ne suffit-il pas ? Non. Google, Yahoo et Microsoft exigent au moins SPF ou DKIM, mais pour la meilleure protection et délivrabilité, configurez les trois.

Quelle différence entre ~all et -all ? ~all (« soft fail ») marque seulement les expéditeurs non listés comme suspects, -all (« hard fail ») les rejette strictement. En cas de doute, commencez par ~all et passez plus tard à -all.

Les rapports DMARC sont-ils sensibles pour la protection des données ? Les rapports agrégés (rua) ne contiennent pas le contenu des e-mails, mais des statistiques sur les adresses IP et les résultats d'authentification. Les rapports forensiques (ruf) peuvent contenir davantage – beaucoup renoncent donc à ruf pour des raisons RGPD.

Faut-il l'entretenir régulièrement ? Une fois configuré, cela tourne. Consultez au début les rapports DMARC et augmentez la sévérité progressivement.

Conclusion

En trois étapes, vous avez sécurisé vos e-mails : SPF définit qui peut envoyer, DKIM signe chaque message, DMARC détermine la règle et fournit des rapports. L'ordre est important – d'abord SPF et DKIM, puis DMARC, et toujours démarrer DMARC avec p=none. Après le test sur mail-tester.com, vous savez que vos e-mails arrivent.

La série est ainsi complète : vous avez configuré un serveur sécurisé en Partie 1, installé Froxlor en Partie 2 et sécurisé ici l'envoi d'e-mails.

Vous ne voulez pas gérer tout cela vous-même, mais préférez une solution clé en main ou un développement sur mesure ? PepperTools vous accompagne – contactez-nous via le formulaire.

Sources

État : juin 2026. Les commandes et exigences des grands fournisseurs de messagerie peuvent changer – leurs consignes officielles et la documentation des logiciels utilisés font foi.

Gerer les factures plus simplement

Easy Invoice regroupe devis, factures et gestion client dans le cloud.

Essayer Easy Invoice

Versions linguistiques