Tous les articles
Bonnes pratiquesDMARCEmailAnti-phishing

SPF, DKIM, DMARC : comment empêcher l'usurpation de votre domaine email en 2026 (guide PME)

HJ
Hugo Joucla
· 29 juin 2026· 6 min

Un client vous appelle, furieux : il a reçu une facture frauduleuse « de votre part », avec votre logo et votre adresse. Sauf que vous n'avez rien envoyé. Ce scénario, on le voit chaque semaine chez des PME qui pensaient leur messagerie « sécurisée ». La vérité, c'est que **par défaut, n'importe qui sur Internet peut envoyer un email en affichant votre nom de domaine comme expéditeur**. La parade existe, elle est gratuite et tient en trois enregistrements DNS : SPF, DKIM et DMARC. Voici comment les déployer correctement.

Pourquoi votre domaine peut être usurpé sans que vous le sachiez

Le protocole d'envoi d'email (SMTP) a été conçu dans les années 80, à une époque où personne ne trichait. Résultat : le champ « De : » d'un email n'est pas vérifié. Un attaquant peut écrire `compta@votreentreprise.fr` dans l'expéditeur depuis son propre serveur, et votre client recevra un message qui semble parfaitement légitime. C'est ce qu'on appelle le spoofing (usurpation de domaine), et c'est le carburant du phishing ciblé et de la fraude au virement.

Le piège, c'est que vous ne voyez rien. Les emails frauduleux ne passent pas par votre boîte mail : ils sont envoyés directement à vos clients, fournisseurs ou salariés. Vous n'apprenez l'attaque qu'au moment où le mal est fait. SPF, DKIM et DMARC servent justement à dire aux serveurs du monde entier : « seuls ces serveurs ont le droit d'envoyer des emails en mon nom ».

SPF, DKIM, DMARC : à quoi sert chaque brique

SPF — la liste des serveurs autorisés

SPF (Sender Policy Framework) est un enregistrement DNS qui liste les serveurs autorisés à envoyer des emails pour votre domaine (votre Microsoft 365, votre Google Workspace, votre outil d'emailing, votre CRM...). Quand un serveur reçoit un email prétendant venir de chez vous, il vérifie que l'expéditeur figure bien dans cette liste. Point critique : SPF est limité à 10 « lookups DNS » — au-delà, il casse silencieusement. C'est l'erreur n°1 que l'on corrige en audit.

DKIM — la signature numérique

DKIM (DomainKeys Identified Mail) ajoute une signature cryptographique à chaque email sortant. Le serveur destinataire vérifie cette signature grâce à une clé publique publiée dans votre DNS. Si le message a été modifié ou ne vient pas d'un serveur légitime, la signature est invalide. DKIM garantit l'intégrité et l'authenticité du message, là où SPF ne valide que l'adresse du serveur d'envoi.

DMARC — la règle qui dit quoi faire

DMARC (Domain-based Message Authentication) est le chef d'orchestre. Il indique aux serveurs destinataires quoi faire quand un email échoue à SPF et DKIM : ne rien faire (`p=none`), mettre en spam (`p=quarantine`) ou rejeter purement et simplement (`p=reject`). Sans DMARC en `reject` ou `quarantine`, SPF et DKIM ne protègent quasiment pas contre l'usurpation : ils détectent la fraude mais ne la bloquent pas. DMARC vous envoie aussi des rapports qui révèlent qui envoie des emails en votre nom.

Comment déployer DMARC sans bloquer vos vrais emails

La crainte légitime de tout dirigeant : « et si j'active ça et que mes vraies factures n'arrivent plus ? ». La bonne méthode est progressive, pas brutale.

Étape 1 — Inventaire. Recensez tous les outils qui envoient des emails en votre nom : messagerie (M365/Google), facturation, emailing (Brevo, Mailchimp...), formulaires du site, CRM. On en oublie toujours.

Étape 2 — SPF et DKIM propres. Configurez SPF avec tous les services légitimes (en restant sous 10 lookups) et activez DKIM sur chaque source d'envoi. C'est le socle.

Étape 3 — DMARC en mode observation. Publiez DMARC en `p=none` avec une adresse de réception des rapports. Vous ne bloquez encore rien, mais vous collectez pendant 2 à 4 semaines la liste réelle de tout ce qui envoie en votre nom — légitime ou non.

Étape 4 — Durcissement. Une fois certain que vos envois légitimes passent, montez en `p=quarantine`, puis en `p=reject`. À ce stade, toute usurpation de votre domaine est rejetée par Gmail, Outlook et les autres.

Les erreurs fréquentes qui rendent la protection inutile

On voit régulièrement des domaines « protégés » qui ne le sont pas. Les classiques : rester bloqué en `p=none` pendant des années (vous avez la surveillance, pas la protection) ; dépasser les 10 lookups SPF ; oublier un outil d'emailing qui finit en spam ; ou ne protéger que le domaine principal en laissant les sous-domaines et les domaines parking sans DMARC — un attaquant les utilisera. Enfin, beaucoup ignorent BIMI, qui permet d'afficher votre logo dans les boîtes mail une fois DMARC en `reject` : un vrai gain de confiance et de visibilité.

Combien de temps et combien ça coûte

Les enregistrements DNS sont gratuits : SPF, DKIM et DMARC ne coûtent rien en licence. Le coût réel, c'est le temps et l'expertise pour cartographier vos envois et passer en `reject` sans casser votre activité. Pour une PME aux outils standards, comptez quelques heures de configuration plus la phase d'observation. Le vrai risque n'est pas le prix : c'est de tout activer trop vite et de bloquer une vraie facture, ou de croire être protégé en restant en `p=none`. Un accompagnement évite les deux pièges.

Vous voulez savoir si votre domaine est aujourd'hui usurpable ? Demandez un diagnostic gratuit : on analyse vos enregistrements SPF, DKIM et DMARC et on vous remet un plan clair pour verrouiller votre messagerie.

Diagnostic gratuit
DMARCEmailAnti-phishingPMEUsurpation

Vous voulez aller plus loin ?

Découvrez Sérénité Cyber PME, notre offre packagée qui couvre l'ensemble des risques décrits dans cet article — pour un prix mensuel unique.

Newsletter cyber

Recevez nos analyses cyber chaque mois

Alertes CVE critiques, retours d'expérience terrain, conseils concrets pour PME. Pas de spam, désabonnement en un clic.

En vous abonnant, vous acceptez de recevoir nos emails. Vos données ne sont jamais partagées.

Appeler