SPF, DKIM & DMARC : le guide complet pour garantir la délivrabilité de vos emails

Pourquoi l’authentification email est cruciale en 2025

L’email est un canal rentable… mais aussi vulnérable. L’usurpation de domaine est devenue une technique classique pour les cybercriminels. Sans protection, votre marque peut être utilisée pour envoyer de faux emails (phishing).

• 95 % des attaques de phishing passent par email.
• Un domaine sans authentification est considéré comme peu fiable par Gmail et Outlook.
• Les emails non authentifiés ont 2 fois plus de risques d’atterrir en spam.

Autrement dit, sans SPF, DKIM et DMARC, vous perdez en confiance, en réputation et en revenus.

Chez ThirtyFive, nous voyons souvent des entreprises avec un contenu emailing qualitatif… mais qui n’arrive jamais à destination, faute de configuration DNS correcte.

‍

Comprendre les bases : SPF, DKIM et DMARC

SPF (Sender Policy Framework)

Le protocole SPF est comme une liste blanche. Vous définissez dans le DNS de votre domaine quels serveurs ont le droit d’envoyer des emails pour vous. Si un serveur non autorisé essaie d’envoyer un message en votre nom, il est bloqué.

Exemple concret : vous utilisez Klaviyo pour vos campagnes. Dans votre enregistrement SPF, vous autorisez le serveur de Klaviyo. Résultat : Gmail sait que l’email est légitime.

‍

DKIM (DomainKeys Identified Mail)

DKIM fonctionne comme une signature électronique. Chaque email envoyé contient une signature unique générée avec une clé privée. Le serveur du destinataire vérifie cette signature avec une clé publique stockée dans votre DNS.

Si l’email est modifié en chemin (contenu altéré), la signature échoue. Cela protège l’intégrité du message et évite qu’il soit falsifié.

‍

DMARC (Domain-based Message Authentication, Reporting & Conformance)

DMARC est la couche supérieure. Il ne fait pas qu’authentifier, il définit aussi la politique de traitement :

• Que faire si un email échoue SPF ou DKIM ? (ne rien faire, mettre en spam, rejeter).
• Où envoyer les rapports pour surveiller ce qui se passe ?

Exemple concret : vous mettez p=quarantine dans DMARC. Un email non authentifié sera placé en spam, pas en boîte principale.

‍

Comment mettre en place SPF, DKIM et DMARC

Étape 1 : configurer SPF

• Créez un enregistrement DNS TXT.
• Indiquez la liste des serveurs autorisés.
• Vérifiez que vous ne dépassez pas 10 lookups DNS (limite technique)

‍

Étape 2 : configurer DKIM

• Générez une paire de clés (publique/privée).
• Publiez la clé publique dans votre DNS.
• Votre outil emailing (Klaviyo, Brevo, Mailchimp…) signe les emails avec la clé privée.

👉 Bonnes pratiques :

• Utiliser une clé 2048 bits minimum.
• Régénérer vos clés tous les 12 à 24 mois.

‍

Étape 3 : configurer DMARC

• Ajoutez un enregistrement TXT dmarc.v=DMARC1.
• Définissez la politique (p=none, p=quarantine, p=reject).
• Indiquez une adresse email de reporting.

‍

Étape 4 : passer progressivement

• Commencez avec p=none (mode surveillance).
• Analysez les rapports DMARC pour identifier les envois suspects.
• Passez ensuite à quarantine, puis à reject.

‍

Cas particulier : Brevo, Klaviyo et autres outils

• Brevo : SPF est géré par défaut depuis leurs serveurs. Vous devez surtout configurer DKIM et DMARC via leur assistant DNS.
• Klaviyo : vous devez ajouter manuellement SPF, DKIM et DMARC dans vos DNS. ThirtyFive configure ces enregistrements pour ses clients afin d’optimiser la délivrabilité.
• Mailchimp / ActiveCampaign : même principe, avec des assistants intégrés.

👉 Le piège courant : penser que l’outil “fait tout seul”. En réalité, l’outil fournit les clés, mais vous devez modifier votre DNS.

‍

Bonnes pratiques pour maximiser la délivrabilité

À faire :

• Utiliser SPF, DKIM et DMARC (les 3 ensemble).
• Vérifier régulièrement vos DNS.
• Lire les rapports DMARC et surveiller vos envois.
• Mettre en place ARC (Authenticated Received Chain) pour les emails transférés.

À éviter :

• Oublier de limiter le nombre de lookups dans SPF.
• Utiliser des clés DKIM trop courtes.
• Passer directement en DMARC reject sans phase de test.

‍

Impact sur votre stratégie email marketing

Une configuration correcte ne se limite pas à la technique. Elle influence directement vos KPIs :

• Taux d’ouverture : augmente si vos emails arrivent en inbox.
• Taux de clics : plus d’interactions si le message est vu.
• Revenus générés : une meilleure délivrabilité = plus de ventes.

Chez ThirtyFive, nous intégrons systématiquement l’audit SPF/DKIM/DMARC dans nos missions, car sans délivrabilité, même la meilleure campagne email ne sert à rien.

‍

Conclusion

En 2025, SPF, DKIM et DMARC sont les piliers de la délivrabilité. Sans eux, vos emails sont suspects. Avec eux, vous protégez votre domaine, améliorez votre réputation et maximisez vos résultats marketing.

👉 ThirtyFive vous accompagne dans la configuration, le suivi et l’optimisation de vos envois email pour que vos messages arrivent bien là où ils doivent être : dans la boîte de réception de vos clients.

‍

‍

FAQ – SPF, DKIM & DMARC

Faut-il configurer SPF, DKIM et DMARC ensemble ?
Oui. Les trois sont complémentaires et exigés par Gmail et Outlook pour les envois de masse.

Combien de temps pour mettre en place ?
Entre 30 minutes et 2 heures, selon la complexité du DNS et le nombre d’outils emailing utilisés.

Est-ce que ça garantit 100 % de délivrabilité ?
Non. Ces protocoles sont indispensables mais le contenu, la fréquence et la réputation du domaine comptent aussi.

Comment lire un rapport DMARC ?
Ce sont des fichiers XML. Ils indiquent combien d’emails sont passés ou échoués. ThirtyFive peut les analyser pour vous et proposer des ajustements.

‍