Vérifier SPF, DKIM & DMARC : lire les en-têtes d’e-mail comme un pro

Lire les en‑têtes d’e‑mail, c’est comme consulter la carte d’identité d’un message pour y voir si SPF, DKIM et DMARC ont été validés 🔍. En les analysant comme un pro, vous détectez plus facilement les tentatives d’usurpation, améliorez la sécurité de vos communications et gagnez en sérénité 📧✨. Ce tutoriel vous guide pour vérifier SPF, DKIM & DMARC étape par étape, sans effort.

Objectif

👇Ce guide a pour objectif de vous apprendre à analyser les en-têtes d’authentification e-mail et à comprendre le rôle de SPF, DKIM et DMARC. Vous saurez reconnaître les erreurs courantes comme dmarc=fail, corriger tes enregistrements TXT dans le panel DNS LWS, et mettre en place une politique adaptée. ⚡Résultat : une meilleure protection contre l’usurpation et une délivrabilité renforcée pour vos envois.

Prérequis

Avant de commencer, assurez-vous d’avoir :

• Un client mail compatible (exemple : Apple Mail ou Thunderbird).

• L’accès à votre compte LWS pour la gestion DNS.

• Un domaine configuré (exemple : monsite.com).

Ces éléments vous permettront d’afficher, lire et corriger les en-têtes sans difficulté.

Besoin d'adresses emails pro et personnalisées ?

LWS vous conseille ses adresses email personnalisées (mail@votredomaine.fr) à partir de 0,79€ par mois et par boîte mail. Vous obtenez un domaine offert au choix (.fr .com .net .site .xyz .boutique…) et un certificat SSL (https). Assistant IA inclus.

Découvrir l'offre

Pourquoi vérifier DMARC email, SPF et DKIM ?

Stopper le spoofing

Le spoofing consiste à falsifier l’adresse de l’expéditeur pour tromper le destinataire. Sans DMARC, un pirate peut envoyer un e-mail semblant venir de votre domaine.

Protéger la réputation de domaine

La réputation d’un domaine est essentielle pour la délivrabilité. Si votre domaine est utilisé pour envoyer du spam, Gmail, Outlook ou Yahoo risquent de bloquer tous vos e-mails.

Grâce à DMARC, vous pouvez protéger votre marque et indiquer aux serveurs récepteurs comment gérer les messages suspects. Ainsi, votre domaine reste crédible et vos e-mails importants atteignent leur cible.

Améliorer la délivrabilité

Un mail correctement authentifié a beaucoup plus de chances d’arriver en boîte de réception plutôt qu’en spam. SPF, DKIM et DMARC montrent aux serveurs récepteurs que vous êtes un expéditeur légitime.

En appliquant progressivement une politique stricte (quarantine, puis reject), vous envoyez un signal fort aux filtres antispam : votre domaine est fiable.

Étapes pour vérifier SPF, DKIM & DMARC

1. Afficher les en-têtes complets (Mac / Windows)

Pour lire SPF, DKIM et DMARC, il faut accéder aux en-têtes complets du message :

Cela varie en fonction du client de messagerie que vous utilisez :

• Apple Mail (Mac) : ouvre le mail et rendez-vous dans le menu « Présentation > Message > Tous les en-têtes ».

• Thunderbird (Windows/Linux/Mac) : ouvre le mail et accédez au menu « Autres > Personnaliser > Afficher tous les en-têtes ».

• Outlook : faites un clic droit sur le mail et ouvrez l’onglet « Propriétés > En-têtes Internet ».

Vous verrez apparaître une série de lignes techniques. Voici ci-dessous exemple que vous pouvez avoir :

Received-SPF: pass (domain.com: domain of contact@domain.com designates 192.168.0.1 as permitted sender)
Authentication-Results: dkim=pass header.d=domain.com
Authentication-Results: dmarc=fail (p=quarantine) header.from=domain.com

2. Décrypter les champs : SPF, DKIM, DMARC

• SPF (Sender Policy Framework)
  Il vérifie que le serveur qui envoie le mail est bien autorisé par le domaine.
  Exemple :

v=spf1 include:spf.protection.lws.net -all

• Si SPF échoue, cela signifie que l’expéditeur utilise un serveur non autorisé.

• DKIM (DomainKeys Identified Mail) : il ajoute une signature cryptographique dans l’en-tête. Le serveur récepteur compare cette signature avec la clé publique DNS. Si ça correspond, le mail est authentique.

• DMARC (Domain-based Message Authentication, Reporting, and Conformance) : il combine SPF et DKIM, et définit une politique (none, quarantine, reject).
  Exemple :

v=DMARC1; p=quarantine; rua=mailto:rapports@mondomaine.com; ruf=mailto:forensics@mondomaine.com

3. Repérer dmarc=fail et les causes

Si vous voyez le message ci-dessous :

Authentication-Results: dmarc=fail (p=quarantine)

Cela signifie que le mail n’a pas respecté les règles définies par votre politique DMARC. Les causes possibles qui peuvent entrainer cette erreur sont :

• SPF échoue (mauvais serveur d’envoi).

• DKIM échoue (signature invalide ou clé non publiée).

• L’adresse From: n’est pas alignée sur le domaine configuré.

4. Modifier SPF/DKIM/DMARC TXT dans le panel LWS

Chez LWS, vous pouvez modifier vos enregistrements DNS directement via votre panel :

• Connectez-vous à votre espace client.

• Cliquez sur la section « Gestion de domaine > zone DNS ».

• Ajoutez ou modifiez un enregistrement TXT.

Voici quelques exemples à suivre :

• SPF

v=spf1 include:spf.lws.net -all

• DKIM (clé générée par votre outil d’envoi, ex : Mailjet, LWS Webmail, etc.)

default._domainkey  IN  TXT  "v=DKIM1; k=rsa; p=MIGfMA0..."

• DMARC

_dmarc  IN  TXT  "v=DMARC1; p=quarantine; rua=mailto:rapports@mondomaine.com"

5. Générer des rapports RUA/RUF et lire un rapport XML (outil DMARCian)

DMARC permet de recevoir des rapports agrégés (RUA) et rapports forensiques (RUF) :

• RUA : résumé des résultats SPF/DKIM pour votre domaine.

• RUF : rapports détaillés en cas d’échec.

Ces rapports sont envoyés en XML. Voici un exemple que vous pouvez recevoir :

<feedback>
  <record>
    <row>
      <source_ip>192.168.0.1</source_ip>
      <count>10</count>
      <policy_evaluated>
        <disposition>quarantine</disposition>
        <dkim>fail</dkim>
        <spf>pass</spf>
      </policy_evaluated>
    </row>
  </record>
</feedback>

Pour ce rapport, parmi les outils recommandés : DMARCian qui traduit ces fichiers XML en graphiques clairs.

6. Mettre en place une politique « quarantaine » puis « rejet »

La mise en place de cette politique nécessite de suivre quelques étapes techniques. Voici comment vous devez procéder :

• Au départ, configurez votre enregistrement DMARC avec p=none pour observer les rapports sans bloquer les mails.
• Ensuite, passez en p=quarantine pour placer en spam les mails non conformes.
• Enfin, une fois sûr de votre configuration, appliquez p=reject.

Vérifier SPF, DKIM & DMARC sur les serveurs LWS

LWS simplifie la configuration de la zone DNS. Plutôt que d’entrer manuellement des enregistrements compliqués, vous pouvez utiliser l’outil intégré dans le panel :

• Connectez-vous à votre panel LWS.

• Rendez-vous dans la section « Gestion de domaine > zone DNS ».

• Modifiez vos enregistrements SPF, DKIM et DMARC.

• Validez les changements.

L’interface vérifie instantanément que vos enregistrements sont corrects. Vous évitez ainsi les erreurs de syntaxe fréquentes (espaces en trop, guillemets manquants).

Conclusion

En apprenant à lire les en-têtes et à corriger vos enregistrements SPF, DKIM et DMARC, vous protégez votre domaine contre l’usurpation et vous améliorez votre délivrabilité. Grâce au panel et à l’assistant DNS de LWS, vous gagnez du temps et renforcez la fiabilité de vos communications e-mail. ✨La sécurité des e-mails n’est plus une option, mais une étape clé pour protéger votre image et vos utilisateurs. 🔒

Et vous, avez-vous déjà rencontré des problèmes liés à DMARC, SPF ou DKIM ? Partagez votre expérience et vos astuces en commentaire pour aider la communauté à mieux sécuriser ses e-mails !