Protéger son domaine avec SPF, DKIM et DMARC

Anthony

il y a 4 jours

Temps de lecture estimé: 3 minutes

Il y a quelques années, j’ai configuré mon domaine personnel anthony-jacob.com avec Microsoft 365 pour gérer mes adresses email. Classique : enregistrement MX pointant vers les serveurs Microsoft, quelques SPF basiques, et ça fonctionnait. Les mails arrivaient, étaient bien délivrés (en tout cas, pas de problèmes de délivrabilité constaté), pas de retour d’erreur. Bref, une configuration « qui marche » — du moins en apparence.

Sommaire

Toggle

💡 Découverte de LearnDMARC

Sauf que dernièrement, j’ai découvert un outil en ligne appelé LearnDMARC, qui permet de visualiser en détail la façon dont un email est analysé côté destinataire : vérification SPF, validation DKIM, et application de la politique DMARC. Cet outil présente chaque étape de validation, ce qui m’a permis de mieux comprendre ce qui se passe réellement lorsqu’un email est reçu.

Et c’est là que j’ai eu une surprise : mes emails étaient envoyés depuis Microsoft 365, mais la configuration de sécurité n’était pas optimale. L’outil me montrait que la validation DKIM ne passait pas toujours, et que DMARC n’était pas pleinement aligné. Pourtant, je n’avais jamais eu de message rejeté… tout n’était pas si propre côté configuration.

Résultats LearnDMARC: DMARC PASS mais DKIM FAIL

🔐 Petit rappel : à quoi servent SPF, DKIM et DMARC ?

Avant de rentrer dans le détail de ma découverte, il est utile de rappeler ce que sont SPF, DKIM et DMARC, trois mécanismes de sécurité essentiels pour lutter contre le spam, le phishing et l’usurpation d’identité email :

SPF (Sender Policy Framework) permet de spécifier les serveurs autorisés à envoyer des emails pour un domaine donné. Le serveur de réception vérifie que l’adresse IP de l’expéditeur figure bien dans la liste définie dans l’enregistrement DNS du domaine.
DKIM (DomainKeys Identified Mail) ajoute une signature cryptographique à chaque email sortant, basée sur une clé privée. Le destinataire peut vérifier cette signature grâce à la clé publique publiée dans les DNS du domaine émetteur, assurant que le contenu du message n’a pas été altéré.
DMARC (Domain-based Message Authentication, Reporting and Conformance) s’appuie sur SPF et DKIM pour définir une politique de validation. Il indique ce que doit faire un serveur destinataire si un message échoue aux vérifications SPF et/ou DKIM (l’accepter, le mettre en quarantaine, ou le rejeter). DMARC permet aussi de recevoir des rapports sur les tentatives d’usurpation liées à votre domaine.

pour office365, tu peux retrouver de la documentation à propos de l’Authentification de messagerie électronique dans M icrosoft 365

🧩 Une configuration incomplète

Dans mon cas, en analysant plus en détail, je me suis rendu compte que la configuration DKIM était bien en place pour le domaine interne à Microsoft (onmicrosoft.com), mais qu’elle était incomplète pour mon propre domaine, anthony-jacob.com, que je gère via OVH.

Je me suis donc rendu sur le Centre de sécurité Microsoft (https://security.microsoft.com ou directement dans la section dkimv2) pour vérifier la configuration DKIM.

Stratégies et règles -> Stratégies de menace

Paramètres d’authentification des e-mails

Et effectivement, en tentant d’activer DKIM pour mon domaine personnalisé, j’ai reçu une erreur m’indiquant que des enregistrements DNS CNAME étaient manquants.

🔧 Correction : ajout des enregistrements DNS

La solution est simple : il fallait ajouter deux enregistrements CNAME dans la zone DNS de mon domaine OVH. Ces enregistrements pointent vers les sélecteurs DKIM générés automatiquement par Microsoft :

selector1._domainkey.anthony-jacob.com → vers selector1-anthony-jacob-com01i._domainkey.<tenant>.onmicrosoft.com

selector2._domainkey.anthony-jacob.com → vers selector2-anthony-jacob-com01i._domainkey.<tenant>.onmicrosoft.com

Une fois ces enregistrements ajoutés et propagés (après 30 / 60 min d’attente), j’ai pu activer la signature DKIM pour mon domaine personnalisé depuis le portail Microsoft.

✅ Vérification finale

J’ai ensuite refait un test sur LearnDMARC, et cette fois-ci, tout était correctement aligné : SPF valide, DKIM actif, DMARC aligné et appliqué.

🧠 Conclusion

Même si tout semble fonctionner, il est essentiel de valider sa configuration d’envoi d’emails. Des outils comme LearnDMARC permettent de visualiser clairement les éventuelles failles de configuration, qui peuvent nuire à la délivrabilité de vos emails — ou pire, permettre l’usurpation de votre domaine.

👉 Pensez à vérifier vos enregistrements SPF, DKIM et DMARC, même si “tout marche”. Ce qui est invisible à l’œil peut poser problème sur le long terme.

Partagez l'article: