SPF, DKIM, DMARC : la configuration DNS complète expliquée pour les non-tech
TL;DR. SPF, DKIM et DMARC sont les trois enregistrements DNS qui authentifient vos emails auprès de Gmail, Yahoo et Outlook. Sans eux, vos emails partent en spam ou sont bloqués. Ce guide détaille la configuration complète étape par étape sur les trois registrars les plus courants en France (Cloudflare, OVH, Gandi), la vérification via MXToolbox, et la progression DMARC recommandée de
p=noneversp=rejecten 90 jours.
Si vous envoyez des emails marketing sans SPF, DKIM et DMARC configurés correctement, vos emails sont suspects aux yeux de Gmail avant même d'avoir lu votre objet. Depuis février 2024, Google et Yahoo ont rendu l'authentification obligatoire pour tout envoyeur de plus de 5 000 emails par jour. Cette page vous guide pas à pas, quel que soit votre registrar.
1. Comprendre les trois couches avant de toucher au DNS
Avant de configurer, comprendre ce que chaque protocole fait réellement.
SPF (Sender Policy Framework) : "Qui est autorisé à envoyer en mon nom ?" SPF est un enregistrement DNS de type TXT qui liste les serveurs de messagerie autorisés à envoyer depuis votre domaine. Quand Gmail reçoit un email de bonjour@votredomaine.com, il vérifie si l'IP de l'expéditeur est dans votre liste SPF.
DKIM (DomainKeys Identified Mail) : "Est-ce que ce message n'a pas été modifié en transit ?" DKIM appose une signature cryptographique dans l'en-tête de chaque email. Le MBP vérifie la signature contre la clé publique dans votre DNS. Si ça correspond, l'email est intact.
DMARC (Domain-based Message Authentication, Reporting and Conformance) : "Que faire si SPF ou DKIM échouent, et informez-moi de ce qui se passe." DMARC est la couche de politique. Elle dit aux MBP quoi faire avec les emails qui ne passent pas SPF ou DKIM (ignorer, mettre en quarantaine, rejeter), et vous envoie des rapports quotidiens.
Les trois sont complémentaires. SPF seul ne suffit pas (il ne protège pas le Header From). DKIM seul ne suffit pas (il ne protège pas contre le spoofing). DMARC sans SPF ni DKIM est inutile.
2. Prérequis avant de commencer
- Accès au panneau DNS de votre registrar (Cloudflare, OVH, Gandi ou autre)
- Le ou les domaines d'envoi que vous utilisez dans votre ESP (exemple :
mail.votredomaine.compour les marketing,votredomaine.compour le transactionnel) - Les informations SPF et DKIM fournies par votre ESP (dans les paramètres du compte Klaviyo : Paramètres > Domaine d'envoi)
- Un compte MXToolbox (mxtoolbox.com) pour la vérification
Règle de base : configurez toujours sur un sous-domaine dédié pour le marketing (mail.votredomaine.com), pas sur le domaine racine. Si la réputation de ce sous-domaine est endommagée, votre domaine principal (utilisé pour votre site, votre transactionnel) reste intact.
3. Configuration SPF
Format général d'un enregistrement SPF
L'enregistrement SPF est un TXT sur votre domaine (ou sous-domaine). Format :
v=spf1 [mécanismes] [qualificateur]all
Exemples de mécanismes courants :
- include:_spf.klaviyo.com : autorise les serveurs Klaviyo
- include:_spf.google.com : autorise Google Workspace (si vous envoyez aussi depuis Gmail)
- ip4:203.0.113.42 : autorise une IP spécifique
- a : autorise le serveur A de votre domaine
Qualificateurs finaux :
- ~all : softfail (recommandé pour commencer)
- -all : hardfail (à activer après validation complète)
Exemple complet pour un compte Klaviyo :
v=spf1 include:_spf.klaviyo.com ~all
Si vous utilisez aussi un outil transactionnel (Postmark, SendGrid) :
v=spf1 include:_spf.klaviyo.com include:spf.mtasv.net ~all
Limite SPF importante : vous ne pouvez avoir qu'un seul enregistrement SPF par domaine. Si vous en avez déjà un, fusionnez-les (ajoutez les include: dans un seul enregistrement).
Sur Cloudflare
- Connectez-vous à dash.cloudflare.com
- Sélectionnez votre domaine
- Menu "DNS" > "Records"
- Cliquez "Add record"
- Type : TXT
- Name :
mail(pour le sous-domainemail.votredomaine.com) ou@(pour le domaine racine) - Content : votre enregistrement SPF complet (ex :
v=spf1 include:_spf.klaviyo.com ~all) - TTL : Auto (ou 3600 secondes)
- Sauvegardez. Proxy : OFF (DNS uniquement, pas de proxy Cloudflare)
Sur OVH
- Connectez-vous à ovhcloud.com > Manager
- "Web Cloud" > "Noms de domaine" > votre domaine
- Onglet "Zone DNS"
- "Ajouter une entrée"
- Type : TXT
- Sous-domaine :
mail(ou laissez vide pour la racine) - Cible : votre enregistrement SPF complet
- TTL : 3600
- Validez et confirmez par email si OVH le demande
Sur Gandi
- Connectez-vous à gandi.net
- "Noms de domaine" > votre domaine
- "Enregistrements DNS"
- "Ajouter un enregistrement"
- Type : TXT
- Nom :
mailou@ - Valeur : votre enregistrement SPF
- TTL : 10800 (par défaut Gandi, acceptable)
- Sauvegardez
Propagation : attendez 5 à 30 minutes avant de vérifier. Sur OVH, jusqu'à 24h dans certains cas.
4. Configuration DKIM
La configuration DKIM requiert de publier une clé publique dans votre DNS. Votre ESP génère cette paire de clés (privée/publique). Vous ne voyez que la clé publique à publier.
Récupérer vos clés DKIM depuis Klaviyo
Dans Klaviyo :
1. Paramètres (icône engrenage en bas à gauche)
2. "Email" > "Sending Domains"
3. "Add Sending Domain" si ce n'est pas encore configuré
4. Klaviyo vous fournit deux enregistrements CNAME à créer dans votre DNS
Format Klaviyo (CNAME) :
Nom : klaviyodkim1._domainkey.mail
Valeur : k1._domainkey.klaviyo.com
Nom : klaviyodkim2._domainkey.mail
Valeur : k2._domainkey.klaviyo.com
Note : Klaviyo utilise des CNAME (pas des TXT) pour DKIM, ce qui facilite la rotation automatique des clés.
Ajouter les CNAME DKIM sur Cloudflare
- DNS > Records > Add record
- Type : CNAME
- Name :
klaviyodkim1._domainkey.mail - Target :
k1._domainkey.klaviyo.com - Proxy : OFF (très important, sinon la résolution échoue)
- Répéter pour
klaviyodkim2._domainkey.mail
Sur OVH
- Zone DNS > Ajouter une entrée > CNAME
- Sous-domaine :
klaviyodkim1._domainkey.mail - Cible :
k1._domainkey.klaviyo.com.(avec le point final) - Répéter pour le second CNAME
Sur Gandi
- Enregistrements DNS > Ajouter > CNAME
- Nom :
klaviyodkim1._domainkey.mail - Valeur :
k1._domainkey.klaviyo.com. - Répéter
Vérification dans Klaviyo : une fois les CNAME créés et propagés (5 à 60 minutes), retournez dans Klaviyo > Sending Domains et cliquez "Verify". Le statut passe de "Pending" à "Verified".
5. Configuration DMARC
L'enregistrement DMARC se place sur _dmarc.votredomaine.com (ou _dmarc.mail.votredomaine.com si vous voulez un DMARC spécifique au sous-domaine). Dans la plupart des cas, un DMARC sur le domaine racine suffit.
Étape 1 : DMARC en mode observation (p=none)
Créez un enregistrement TXT sur _dmarc :
v=DMARC1; p=none; rua=mailto:dmarc-reports@votredomaine.com; ruf=mailto:dmarc-forensics@votredomaine.com; fo=1
Explications :
- p=none : mode observation uniquement, aucune action sur les emails non authentifiés
- rua= : adresse qui reçoit les rapports agrégés quotidiens (XML)
- ruf= : adresse qui reçoit les rapports forensiques (détail message par message, si le MBP les envoie)
- fo=1 : génère un rapport si SPF OU DKIM échoue (plus de visibilité)
Gardez ce mode pendant au moins 14 jours. Analysez les rapports pour identifier tous les services qui envoient depuis votre domaine (transactionnel, support, CRM, newsletters).
Outil d'analyse des rapports DMARC : dmarcanalyzer.com ou valimail.com/analyze offrent une lecture humaine des rapports XML (gratuit pour les petits volumes).
Étape 2 : quarantaine progressive
Après analyse et correction des sources non authentifiées :
v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc-reports@votredomaine.com
pct=25 : applique la politique quarantaine à 25 % des emails non conformes. Montez progressivement à 50, 75, 100 sur 4 semaines.
Étape 3 : quarantaine pleine
v=DMARC1; p=quarantine; pct=100; rua=mailto:dmarc-reports@votredomaine.com
Maintenez 30 jours. Surveillez les rapports pour détecter des sources légitimes manquantes.
Étape 4 : rejet
v=DMARC1; p=reject; rua=mailto:dmarc-reports@votredomaine.com
Niveau maximum de protection. Tout email non authentifié depuis votre domaine est rejeté par le MBP. Aucun email de phishing ne peut usurper votre domaine.
Sur les trois registrars
Le processus est identique à SPF et DKIM, mais le nom de l'enregistrement TXT est toujours _dmarc (ou _dmarc.mail pour un sous-domaine spécifique).
Sur Cloudflare :
- Name : _dmarc (pour _dmarc.votredomaine.com)
- Type : TXT
- Content : votre enregistrement DMARC
Sur OVH et Gandi : même logique, sous-domaine = _dmarc.
6. Vérification complète avec MXToolbox
MXToolbox (mxtoolbox.com/SuperTool) est l'outil standard pour valider votre configuration.
Tests à effectuer :
| Test | Commande MXToolbox | Ce qu'il vérifie |
|---|---|---|
| SPF | SPF Lookup > mail.votredomaine.com |
Syntaxe, nb de lookups DNS (max 10) |
| DKIM | DKIM Lookup > sélecteur klaviyodkim1, domaine mail.votredomaine.com |
Présence et validité de la clé |
| DMARC | DMARC Lookup > votredomaine.com |
Présence et syntaxe |
| Blacklist | Blacklist Check > IP ou domaine | Présence dans les RBL (Real-time Blackhole List) |
| Email Headers | Email Health > copiez un en-tête d'email reçu | Analyse complète SPF/DKIM/DMARC en conditions réelles |
Erreur fréquente à SPF : "Too many DNS lookups". Le SPF autorise maximum 10 résolutions DNS. Si vous ajoutez trop d'include:, vous dépassez la limite et le SPF échoue. Solution : utiliser un outil de flattening SPF (spfflattener.com) qui remplace les include: par des ip4: statiques.
Erreur fréquente à DKIM : "CNAME points to invalid target". Vérifiez que le proxy Cloudflare est désactivé sur les enregistrements CNAME DKIM. Le proxy orange Cloudflare masque la résolution DNS et casse DKIM.
7. Récapitulatif : 30 minutes pour être conforme
| Étape | Durée | Priorité |
|---|---|---|
| Créer le SPF sur le sous-domaine d'envoi | 5 minutes | Critique |
| Créer les CNAME DKIM dans Klaviyo et publier | 10 minutes | Critique |
| Vérifier SPF + DKIM dans Klaviyo | 5 minutes | Critique |
Créer le DMARC p=none |
5 minutes | Obligatoire |
| Vérifier les trois avec MXToolbox | 5 minutes | Obligatoire |
Passer à p=quarantine après 14 jours d'analyse |
30 jours | Fortement recommandé |
Passer à p=reject après stabilisation |
60-90 jours | Recommandé |
8. FAQ
Faut-il configurer SPF, DKIM et DMARC sur le domaine racine ou le sous-domaine ?
Les deux si vous envoyez depuis les deux. Dans la pratique : DKIM et SPF sur le sous-domaine d'envoi (mail.votredomaine.com), DMARC sur le domaine racine (votredomaine.com). Le DMARC de la racine couvre automatiquement les sous-domaines sauf si un DMARC spécifique existe sur le sous-domaine.
Mon ESP dit que DKIM est vérifié mais MXToolbox montre une erreur. Que faire ?
Vérifiez d'abord que la propagation DNS est complète (minage dnschecker.org pour voir la propagation mondiale). Ensuite, vérifiez que le proxy Cloudflare est désactivé sur les CNAME DKIM. Enfin, vérifiez que vous utilisez le bon sélecteur dans MXToolbox (le sélecteur est la partie avant ._domainkey, ex : klaviyodkim1).
Combien de temps faut-il pour que les changements DNS soient actifs ?
De 5 minutes (Cloudflare) à 24-48 heures (certains registrars anciens). Sur OVH et Gandi, comptez généralement 1 à 4 heures. Utilisez dnschecker.org pour voir la propagation en temps réel depuis différents pays.
Peut-on avoir plusieurs enregistrements DKIM pour plusieurs ESP ?
Oui. Chaque ESP publie ses propres CNAME ou TXT DKIM avec un sélecteur différent. Vous pouvez avoir klaviyodkim1 pour Klaviyo et s1 pour Postmark en parallèle. Il n'y a pas de limite au nombre de DKIM.
DMARC p=reject peut-il bloquer mes emails de support client ?
Oui, si votre outil de support (Zendesk, Freshdesk, Intercom) envoie des emails depuis votre domaine sans être correctement authentifié. C'est pourquoi la phase p=none est obligatoire : elle vous permet d'identifier tous les services d'envoi avant d'activer le rejet.
→ Réserver un audit technique email
À lire ensuite :
- Deliverability email : le guide complet anti-spam
- Google et Yahoo : les nouvelles règles deliverability 2024-2026
Charlotte Rodrigues, CRM Lead chez Deliver by Make Sense.
Besoin d'appliquer ça à votre stack ?
30 minutes avec Charlotte. On audit votre setup CRM en direct, on chiffre l'opportunité, vous repartez avec un plan d'attaque.
Réserver 30 minutes →