SPF, DKIM, DMARC : protéger le domaine email de son entreprise

Votre domaine email est une cible

Pour beaucoup d'entreprises, l'email est l'outil le plus critique. Devis, factures, contrats, support client, échanges fournisseurs : tout passe par la boîte mail. C'est aussi l'un des canaux préférés des attaquants.

SPF, DKIM et DMARC sont trois mécanismes qui aident les serveurs email à vérifier si un message est bien autorisé à utiliser votre domaine.

SPF : qui a le droit d'envoyer pour vous ?

SPF indique quels serveurs sont autorisés à envoyer des emails pour votre domaine. Par exemple, votre outil newsletter, votre messagerie Microsoft 365 ou Google Workspace, ou votre CRM.

Si SPF est absent ou mal configuré, un attaquant peut plus facilement envoyer un email qui semble venir de votre domaine.

DKIM : signer les emails

DKIM ajoute une signature cryptographique aux messages. Le serveur destinataire peut vérifier que l'email n'a pas été modifié et qu'il vient bien d'une source autorisée.

C'est particulièrement utile pour renforcer la confiance et améliorer la délivrabilité.

DMARC : décider quoi faire en cas d'échec

DMARC utilise SPF et DKIM pour définir une politique. Il peut demander aux serveurs destinataires de surveiller, mettre en quarantaine ou rejeter les messages suspects.

Beaucoup d'entreprises restent en mode observation sans passer à une politique plus stricte. C'est mieux que rien, mais cela laisse parfois une marge d'usurpation.

Pourquoi ces réglages ont un impact business

Une mauvaise configuration email peut faciliter :

• fausses factures ;
• phishing client ;
• fraude au président ;
• usurpation de fournisseur ;
• baisse de confiance dans vos emails.

Pour une PME, ces risques peuvent coûter bien plus cher que le temps nécessaire à corriger la configuration.

Comment commencer

Commencez par vérifier votre domaine : SPF existe-t-il ? DKIM est-il actif ? DMARC est-il présent ? La politique est-elle cohérente ? Les services autorisés sont-ils à jour ?

Ensuite, corrigez progressivement. L'objectif est de bloquer l'usurpation sans casser l'envoi légitime de vos emails.

Un audit externe peut donner une première lecture rapide de votre niveau de protection email.