SPF, DKIM et DMARC : l’authentification e-mail contre le phishing
L'e-mail n'a jamais été conçu pour être authentifié : le MAIL FROM comme l'en-tête From: peuvent contenir n'importe quoi. SPF, DKIM et DMARC sont les trois standards complémentaires qui permettent au serveur destinataire de vérifier qu'un message provient bien de votre domaine — et ils constituent le contrôle technique le plus efficace contre l'usurpation de domaine dans le phishing.
Trois couches complémentaires
Ces standards résolvent des problèmes différents et sont faits pour être déployés ensemble.
- SPF (Sender Policy Framework) autorise les adresses IP habilitées à émettre pour un domaine.
- DKIM (DomainKeys Identified Mail) signe cryptographiquement les messages pour détecter falsification et usurpation.
- DMARC relie les deux, impose l'alignement avec le domaine visible du
From:, indique quoi faire en cas d'échec — et fournit des rapports.
SPF
SPF est un simple enregistrement DNS TXT listant les émetteurs autorisés. Le destinataire compare l'IP entrante à l'enregistrement SPF du domaine d'enveloppe (Return-Path).
example.com. IN TXT "v=spf1 include:_spf.google.com ip4:198.51.100.10 -all"
include:importe les émetteurs autorisés d'un autre domaine (votre routeur, par exemple).-allest un rejet strict ;~allun échec doux (softfail).- SPF n'autorise que 10 résolutions DNS maximum — au-delà, c'est un
permerror. Aplatissez lesinclude:trop imbriqués.
Faiblesse de SPF : il valide l'expéditeur d'enveloppe, pas le From: que l'utilisateur voit. Seul, il n'arrête pas l'usurpation du nom affiché.
DKIM
DKIM ajoute une signature couvrant certains en-têtes et le corps du message, avec une clé privée détenue par l'émetteur. La clé publique est publiée dans le DNS sous un sélecteur.
selector1._domainkey.example.com. IN TXT
"v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQ..."
Un message signé porte un en-tête comme :
DKIM-Signature: v=1; a=rsa-sha256; d=example.com; s=selector1;
h=from:to:subject:date; bh=...; b=...
Comme la signature survit au transfert, DKIM est plus robuste que SPF. Utilisez des clés 2048 bits et faites tourner les sélecteurs régulièrement.
DMARC et alignement
C'est dans DMARC que réside la politique. Il exige que SPF ou DKIM non seulement réussisse mais aussi s'aligne avec le domaine du From: visible.
_dmarc.example.com. IN TXT
"v=DMARC1; p=reject; rua=mailto:dmarc@example.com; adkim=s; aspf=s; pct=100"
- Alignement SPF : compare le domaine du
From:à celui duReturn-Path. - Alignement DKIM : compare le domaine du
From:aud=de la signature. p=est la politique :none(surveillance),quarantineoureject.adkim/aspffixent le mode :s(strict, égalité exacte) our(relâché, même domaine organisationnel).
Un message passe DMARC si au moins un des deux, SPF ou DKIM, réussit et est aligné. C'est pourquoi le transfert casse souvent SPF mais survit via DKIM.
Le déroulé côté destinataire
1. IP entrante vérifiée contre l'enregistrement SPF du Return-Path
2. DKIM-Signature vérifiée avec la clé publique du sélecteur
3. DMARC : un mécanisme réussi s'aligne-t-il avec le domaine du From: ?
4. Sinon → application de la politique p= (reject / quarantine)
5. Émission des rapports agrégés (rua) et forensiques optionnels (ruf)
Erreurs fréquentes
- Trop de résolutions SPF — regroupez les chaînes d'
include:, privilégiezip4/ip6quand c'est stable. - Sous-domaines oubliés — un attaquant usurpe
mail.example.comsi seul l'apex est protégé. Couvrez les sous-domaines ou utilisezsp=dans la politique globale. - Émetteurs tiers — outils de facturation, CRM et plateformes marketing ont tous besoin d'includes SPF et de clés DKIM, sinon ils échouent à DMARC.
- Passer directement à
p=reject— commencez toujours parp=none, lisez les rapports agrégés, corrigez les émetteurs légitimes, puis durcissez.
Une politique
p=rejectsur un domaine bien surveillé signifie qu'un attaquant ne peut plus envoyer de mail en votre nom vers un destinataire respectant DMARC. Cela ferme le vecteur de phishing le plus convaincant : l'usurpation du domaine exact.
Comment GottaPhish aide
SPF, DKIM et DMARC bloquent l'usurpation de votre domaine, mais les attaquants basculent aussitôt vers des domaines sosies, des astuces de nom affiché et des tiers compromis. GottaPhish et son équipe d'experts vous aident à traiter précisément ce risque résiduel : des simulations réalistes reproduisant ces techniques — domaines cousins, émetteurs mal alignés, cas limites de transfert — et des tableaux de bord montrant qui a cliqué et ce que chaque contrôle a intercepté. Nos experts vous accompagnent dans la configuration, conçoivent des scénarios adaptés à votre posture d'authentification et vous aident à interpréter les résultats pour prioriser à la fois les correctifs DNS et la sensibilisation ciblée.
