Tous les articles

SPF, DKIM, DMARC : le guide anti-usurpation d'email pour TPE et PME

L'équipe de Mon Rempart 13 juillet 2026

Pour une petite structure, l'usurpation d'email — l'envoi de messages frauduleux qui semblent venir de votre domaine — est l'une des attaques les plus courantes et les plus rentables pour un escroc. La bonne nouvelle : trois enregistrements DNS suffisent à la rendre très difficile. Voici comment SPF, DKIM et DMARC protègent votre nom.

Pourquoi votre domaine peut être usurpé

Par défaut, rien n'empêche un tiers d'écrire « De : compta@votre-entreprise.fr » dans un email. Le protocole d'envoi (SMTP) ne vérifie pas l'expéditeur. Un escroc peut donc se faire passer pour vous auprès de vos clients (fausse facture, changement de RIB) ou de vos salariés (arnaque au président). SPF, DKIM et DMARC comblent ce trou.

SPF : qui a le droit d'envoyer pour vous

SPF (Sender Policy Framework) est un enregistrement DNS qui liste les serveurs autorisés à envoyer des emails pour votre domaine. À la réception, la messagerie destinataire compare le serveur d'envoi à cette liste.

  • Un SPF absent = aucune barrière.
  • Un SPF trop permissif (terminé par ?all ou +all) = une barrière ouverte. Préférez -all (strict) ou ~all (souple).

DKIM : la signature qui prouve l'authenticité

DKIM (DomainKeys Identified Mail) ajoute une signature cryptographique à chaque email. La messagerie destinataire la vérifie avec une clé publique publiée dans votre DNS. Si le message a été modifié ou n'a pas été signé par vous, la vérification échoue.

  • Piège fréquent : une clé révoquée (enregistrement avec p= vide) désactive silencieusement la protection.

DMARC : la politique qui décide (et vous informe)

DMARC est la clé de voûte. Il indique aux messageries quoi faire d'un email qui échoue à SPF et DKIM :

  • p=none : ne rien faire (mode observation).
  • p=quarantine : mettre en indésirable.
  • p=reject : rejeter.

DMARC vous envoie aussi des rapports sur les tentatives d'usurpation. Beaucoup d'organisations restent en p=none : c'est utile pour observer, mais ça ne bloque pas encore les fraudes. L'objectif est d'atteindre quarantine puis reject.

Par où commencer (3 étapes)

1. Publiez un SPF listant vos vrais serveurs d'envoi (messagerie, outils d'emailing), terminé par -all ou ~all. 2. Activez DKIM chez votre fournisseur de messagerie et publiez la clé dans votre DNS. 3. Publiez un DMARC en p=none avec une adresse de rapport, analysez quelques semaines, puis durcissez vers quarantine puis reject.

Vérifiez votre configuration en 30 secondes

Le scan gratuit Mon Rempart contrôle SPF, DKIM et DMARC — et une trentaine d'autres points d'exposition — et vous dit exactement ce qui manque, sans inscription. Pour les définitions, voir le glossaire de l'exposition cyber.

Votre commune est-elle protégée ?

Évaluez gratuitement votre conformité NIS2 et la robustesse de vos sauvegardes en 5 minutes.

Faire mon diagnostic gratuit