Configurer SPF, DKIM et DMARC

SPF déclare quels serveurs ont le droit d'envoyer des emails au nom de ton domaine. C'est un simple enregistrement TXT dans le DNS de ton domaine.

Exemple d'enregistrement

v=spf1 include:amazonses.com include:spf.mailgun.org ~all

Cet enregistrement autorise AWS SES et Mailgun à envoyer pour ton domaine. ~all indique un soft fail : les autres serveurs sont marqués comme suspects mais pas rejetés (utiliser -all pour un hard fail une fois sûr).

Pièges classiques

• Double SPF — un domaine ne doit avoir qu'un seul enregistrement SPF. Si tu as deux TXT commençant par v=spf1, ils sont tous les deux invalides.
• Limite des 10 lookups — chaque include: compte. Au-delà de 10, le SPF échoue.
• Trop permissif — +all autorise tout le monde et te transforme en relais ouvert pour le spam.

DKIM signe chaque email avec une clé privée stockée chez ton provider, et publie la clé publique dans ton DNS. Le serveur destinataire valide la signature pour s'assurer que l'email n'a pas été altéré.

Exemple d'enregistrement

selector1._domainkey.ton-domaine.com  TXT  "v=DKIM1; k=rsa; p=MIGfMA0GCSq..."

Le selector permet d'avoir plusieurs clés DKIM en parallèle (utile pour la rotation et le multi-provider).

Pièges classiques

• Clé tronquée — Cloudflare et OVH coupent parfois les TXT à 255 caractères. Vérifie que la clé publique est complète.
• Selector mal nommé — chaque provider impose son selector (amazonses pour SES, mailo pour Mailgun, etc.).
• Rotation oubliée — une clé DKIM doit être rotée tous les 6-12 mois.

DMARC est la policy qui dit aux serveurs destinataires quoi faire des emails qui échouent SPF ou DKIM, et où envoyer les rapports d'échec.

Exemple d'enregistrement

_dmarc.ton-domaine.com  TXT  "v=DMARC1; p=none; rua=mailto:dmarc@ton-domaine.com"

Trois policies :

• p=none — observe seulement, n'agit pas. À utiliser au démarrage pour analyser les rapports.
• p=quarantine — les emails non authentifiés finissent en spam.
• p=reject — les emails non authentifiés sont rejetés au protocole SMTP. Le but final.

Trajectoire recommandée

1. Démarrer avec p=none pendant 2-4 semaines.
2. Lire les rapports rua pour identifier les sources d'envoi non listées.
3. Corriger SPF/DKIM, puis passer à p=quarantine.
4. Après 2-4 semaines stables, passer à p=reject.

Trois manières de vérifier ta configuration :

1. Outils en ligne (mxtoolbox, dmarcian).
2. Envoyer un email à check-auth@verifier.port25.com et lire la réponse.
3. Lancer un Mail-Check dans Mail-Reacher — il vérifie SPF, DKIM, DMARC, reverse DNS, blacklists, headers, contenu, TLS, MX et IPs en un seul run, avec un score normalisé sur 10.

Mail-Reacher t'aide sur trois fronts :

• Génère les enregistrements DNS à coller dans ta zone, pour chaque provider configuré.
• Vérifie automatiquement SPF, DKIM et DMARC à chaque modification de provider.
• Suit la délivrabilité dans le temps via le Mail-Check récurrent et l'historique des scores.

L'objectif est simple : que tu n'aies plus à ouvrir un terminal pour faire dig TXT à chaque fois que tu changes quelque chose.