← Tous les articles

SPF, DKIM et DMARC : l’authentification e-mail contre le phishing

GottaPhish Team · 29 avril 2026

L'e-mail n'a jamais été conçu pour être authentifié : le MAIL FROM comme l'en-tête From: peuvent contenir n'importe quoi. SPF, DKIM et DMARC sont les trois standards complémentaires qui permettent au serveur destinataire de vérifier qu'un message provient bien de votre domaine — et ils constituent le contrôle technique le plus efficace contre l'usurpation de domaine dans le phishing.

Trois couches complémentaires

Ces standards résolvent des problèmes différents et sont faits pour être déployés ensemble.

SPF

SPF est un simple enregistrement DNS TXT listant les émetteurs autorisés. Le destinataire compare l'IP entrante à l'enregistrement SPF du domaine d'enveloppe (Return-Path).

example.com.  IN  TXT  "v=spf1 include:_spf.google.com ip4:198.51.100.10 -all"

Faiblesse de SPF : il valide l'expéditeur d'enveloppe, pas le From: que l'utilisateur voit. Seul, il n'arrête pas l'usurpation du nom affiché.

DKIM

DKIM ajoute une signature couvrant certains en-têtes et le corps du message, avec une clé privée détenue par l'émetteur. La clé publique est publiée dans le DNS sous un sélecteur.

selector1._domainkey.example.com.  IN  TXT
  "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQ..."

Un message signé porte un en-tête comme :

DKIM-Signature: v=1; a=rsa-sha256; d=example.com; s=selector1;
  h=from:to:subject:date; bh=...; b=...

Comme la signature survit au transfert, DKIM est plus robuste que SPF. Utilisez des clés 2048 bits et faites tourner les sélecteurs régulièrement.

DMARC et alignement

C'est dans DMARC que réside la politique. Il exige que SPF ou DKIM non seulement réussisse mais aussi s'aligne avec le domaine du From: visible.

_dmarc.example.com.  IN  TXT
  "v=DMARC1; p=reject; rua=mailto:dmarc@example.com; adkim=s; aspf=s; pct=100"

Un message passe DMARC si au moins un des deux, SPF ou DKIM, réussit et est aligné. C'est pourquoi le transfert casse souvent SPF mais survit via DKIM.

Le déroulé côté destinataire

1. IP entrante vérifiée contre l'enregistrement SPF du Return-Path
2. DKIM-Signature vérifiée avec la clé publique du sélecteur
3. DMARC : un mécanisme réussi s'aligne-t-il avec le domaine du From: ?
4. Sinon → application de la politique p= (reject / quarantine)
5. Émission des rapports agrégés (rua) et forensiques optionnels (ruf)

Erreurs fréquentes

Une politique p=reject sur un domaine bien surveillé signifie qu'un attaquant ne peut plus envoyer de mail en votre nom vers un destinataire respectant DMARC. Cela ferme le vecteur de phishing le plus convaincant : l'usurpation du domaine exact.

Comment GottaPhish aide

SPF, DKIM et DMARC bloquent l'usurpation de votre domaine, mais les attaquants basculent aussitôt vers des domaines sosies, des astuces de nom affiché et des tiers compromis. GottaPhish et son équipe d'experts vous aident à traiter précisément ce risque résiduel : des simulations réalistes reproduisant ces techniques — domaines cousins, émetteurs mal alignés, cas limites de transfert — et des tableaux de bord montrant qui a cliqué et ce que chaque contrôle a intercepté. Nos experts vous accompagnent dans la configuration, conçoivent des scénarios adaptés à votre posture d'authentification et vous aident à interpréter les résultats pour prioriser à la fois les correctifs DNS et la sensibilisation ciblée.