Authentifiez vos emails pour améliorer votre délivrabilité. Guide complet de configuration SPF, DKIM et DMARC.
SPF, DKIM et DMARC sont trois protocoles techniques qui authentifient vos emails auprès des fournisseurs d'accès internet. Sans eux, vos emails sont suspects. Les serveurs mail de Gmail, Outlook et Yahoo vous accordent immédiatement des points négatifs. Sans authentification, même un excellent contenu n'atteint pas la boîte de réception.
Les FAI utilisent ces protocoles pour vérifier que : vous êtes bien le propriétaire du domaine qui envoie (SPF), que le contenu du mail n'a pas été altéré en transit (DKIM), et comment traiter un email qui échoue SPF ou DKIM (DMARC). Configurer ces trois éléments améliore significativement votre délivrabilité.
SPF est un protocole qui dit : "Les emails de mon domaine (@monentreprise.fr) viennent de ces IP seulement". Vous créez un enregistrement DNS SPF qui liste les serveurs autorisés à envoyer en votre nom. Quand Gmail reçoit un email prétendant venir de votre domaine, il consulte cet enregistrement SPF et vérifie que l'IP qui l'a envoyé figure dans la liste.
Comment configurer SPF ? D'abord, allez dans votre hébergeur DNS (Gandi, OVH, etc). Créez un enregistrement TXT pour votre domaine avec le contenu : v=spf1 include:routage.ediware.net ~all Ce record dit : "Accepter les emails de routage.ediware.net et rejeter les autres avec un soft fail." Si vous avez plusieurs prestataires (Ediware et Google Workspace par exemple), listez tous les includes : v=spf1 include:routage.ediware.net include:google.com ~all
Attention : un enregistrement SPF invalide (mal formé ou avec trop d'includes) est pire que pas d'SPF du tout. Limitez-vous à 10 includes maximum. Testez votre configuration avec un outil comme MXToolbox.
DKIM ajoute une signature numérique à chaque email. Vous générez une paire de clés : une clé privée (gardée secrète sur votre serveur de routage) et une clé publique (stockée dans votre DNS). Chaque email envoyé est signé avec la clé privée. Les FAI consulte la clé publique pour vérifier que la signature est valide et que le contenu n'a pas été altéré.
Si Gmail reçoit un email avec une bonne signature DKIM, il sait que c'est vraiment vous qui l'avez envoyé. DKIM est plus robuste que SPF car une signature valide prouve que vous êtes l'auteur, pas juste que l'IP autorisée a envoyé le mail.
Avec Ediware, DKIM est généralement configuré automatiquement : vous n'avez qu'à ajouter le record DKIM fourni par Ediware dans votre DNS. Le format est similaire à SPF : un enregistrement TXT avec la clé publique.
DMARC est la couche de politique au-dessus de SPF et DKIM. Il dit aux FAI : "Si un email SPF ou DKIM échoue, voici ce que je veux que tu fasses." Les options sont : pass (accepter), quarantine (mettre en spam), ou reject (rejeter complètement).
Vous commencez avec une politique souple (none : juste monitoring, pas d'action) pour identifier les problèmes. Progressivement, vous transitionnez vers quarantine puis reject. Un enregistrement DMARC basique ressemble à : v=DMARC1; p=none; rua=mailto:dmarc@monentreprise.fr; ruf=mailto:dmarc@monentreprise.fr Cela envoie des rapports à votre email pour que vous voyiez les résultats SPF/DKIM.
Étape 1 : Demandez à Ediware les enregistrements SPF et DKIM à ajouter. Ils vous fourniront les records exactes à insérer dans votre DNS. Étape 2 : Connectez-vous à votre gestionnaire DNS (OVH, Gandi, Namecheap, etc). Créez trois nouveaux enregistrements TXT pour votre domaine : un SPF, un DKIM, un DMARC. Étape 3 : Ajoutez les enregistrements et attendez 24-48 heures pour la propagation DNS. Étape 4 : Vérifiez avec MXToolbox.com que vos enregistrements sont correctement reconnus. Étape 5 : Testez en envoyant un email avec Ediware. Vérifiez le header du mail (Afficher le message source dans Gmail) pour confirmer les signatures.
SPF trop strict. Utiliser p=fail au lieu de ~all rejette trop d'emails légitimes. Restez souple avec ~all (soft fail). Trop d'includes SPF. Au-delà de 10 includes, votre SPF devient invalide. Consolidez avec des includes de domaines qui delegent eux-mêmes à plusieurs prestataires. Oublier le DKIM. SPF seul n'est pas suffisant. Toujours ajouter DKIM. DMARC trop agressif trop tôt. Commencez avec p=none pour juste monitorer. Après quelques jours de données saines, passez à p=quarantine. Seulement après, p=reject. Donner la mauvaise clé DKIM. Ediware vous fournit une clé spécifique pour chaque domaine. Assurez-vous de l'utiliser pour le bon domaine.
Un email avec SPF valide, DKIM valide et DMARC configuré a significativement plus de chances d'arriver en inbox qu'un email non authentifié. Cumulé avec une liste propre et une bonne réputation IP, l'authentification contribue à une excellente délivrabilité.
Google et Microsoft publient clairement qu'en 2026, l'authentification SPF/DKIM/DMARC devient obligatoire pour envoyer du volume. Ignorer cela, c'est s'exposer au blacklistage inévitable.
Une fois configuré, DMARC vous envoie des rapports quotidiens. Lisez-les : combien d'emails passent SPF/DKIM ? Y a-t-il des domaines spoofant le vôtre ? Ces rapports vous aident à identifier les problèmes et les menaces.
Si vous changez de prestataire de routage (ex : de Mailchimp à Ediware), mettez à jour votre SPF pour ajouter le nouvel include et supprimer l'ancien. Oublier de le faire = vos emails du nouveau prestataire échouent SPF.
SPF, DKIM et DMARC ne sont pas optionnels en 2026. Tous les prestataires sérieux les demandent. La configuration est accessible et l'impact sur la délivrabilité est considérable. Ediware vous guide dans tout le processus. Ne pas le faire, c'est compromettre une part importante de vos résultats en emailing.
Nous guidons la configuration SPF/DKIM/DMARC. Support français pour résoudre tout problème technique.
Demander une démo gratuiteCe guide est réalisé par Ediware. Les informations sur les solutions tierces sont basées sur les données publiques disponibles en janvier 2026. Consultez les sites officiels pour les informations les plus récentes.