Aller au contenu
Guides · Glossaire

Authentification e-mail

L'authentification e-mail regroupe les standards DNS — SPF, DKIM et DMARC — qui permettent aux serveurs de réception de vérifier qu'un message provient bien du domaine qu'il annonce. SPF autorise les serveurs d'envoi, DKIM signe le contenu du message, DMARC dicte la conduite à tenir en cas d'échec. Elle prouve l'identité, pas le placement en boîte de réception.

Mis à jour le 8 juil. 20263 min de lecturePar fromHello
À retenir
  • SPF, DKIM et DMARC prouvent des choses différentes : SPF autorise les serveurs d'envoi, DKIM signe le contenu, DMARC impose l'alignement avec l'adresse From visible.
  • Les règles pour expéditeurs de Google exigent SPF, DKIM et une politique DMARC dès 5 000 messages par jour vers Gmail ; Yahoo applique des règles similaires.
  • L'authentification prouve une identité, pas une qualité — un message parfaitement authentifié peut toujours finir en spam.

Que prouvent SPF, DKIM et DMARC ?

SPF (Sender Policy Framework) est un enregistrement DNS qui liste les serveurs autorisés à envoyer des e-mails pour votre domaine ; le serveur de réception y confronte le serveur émetteur. DKIM (DomainKeys Identified Mail) ajoute une signature cryptographique à chaque message, vérifiée via une clé publique publiée dans votre DNS — la preuve que le contenu n'a pas été modifié en transit. DMARC (défini par la RFC 7489) chapeaute l'ensemble : il indique aux serveurs de réception quoi faire quand aucune des deux vérifications ne passe pour le domaine From visible — surveiller, mettre en quarantaine ou rejeter — et vous envoie des rapports sur qui envoie en votre nom.

L'authentification e-mail et les trois standards DNS qui la mettent en œuvre.

Comment fonctionne l'alignement DMARC ?

Un message peut passer SPF et DKIM et échouer quand même à DMARC. L'alignement est la pièce manquante : le domaine du champ From visible doit correspondre au domaine validé par SPF (le Return-Path) ou au domaine signataire DKIM (le tag d=). En mode relaxed, un sous-domaine suffit ; en mode strict, les domaines doivent être identiques. C'est l'alignement qui bloque réellement l'usurpation — sans lui, un spammeur pourrait passer SPF sur son propre domaine tout en affichant le vôtre.

Qu'exigent Gmail et Yahoo des expéditeurs en masse ?

Depuis février 2024, les règles pour expéditeurs de Google imposent SPF ou DKIM à tout expéditeur, et les trois — SPF, DKIM et une politique DMARC (p=none suffit pour démarrer) avec un domaine From aligné — à quiconque envoie 5 000 messages ou plus par jour vers des comptes Gmail. Yahoo applique des règles équivalentes. Sans cela, le courrier est rejeté ou ralenti, quel que soit son contenu. Pour une petite équipe, c'est une après-midi d'enregistrements DNS — à faire avant d'avoir besoin du volume.

L'authentification garantit-elle le placement en boîte de réception ?

Non. L'authentification prouve qui a envoyé le message, pas si quelqu'un le veut — les spammeurs publient aussi des enregistrements SPF parfaits. Le placement en boîte de réception dépend aussi de la réputation de l'expéditeur, de l'engagement, de l'hygiène de la liste, et de la gestion des bounces et de votre liste de suppression. Considérez SPF, DKIM et DMARC comme le ticket d'entrée, puis travaillez le reste — notre guide sur la délivrabilité e-mail pour startups couvre le warmup, la réputation et le suivi.

FAQ

Questions fréquentes

  • Quelle est la différence entre SPF et DKIM ?

    SPF valide le serveur qui a remis le message contre une liste publiée dans votre DNS ; il casse dès qu'un e-mail est transféré. DKIM signe le message lui-même : la signature survit au transfert et prouve que le contenu n'a pas été modifié. Ils échouent différemment, d'où l'intérêt — pour les serveurs de réception comme pour DMARC — d'avoir les deux.

  • Faut-il DMARC si j'ai déjà SPF et DKIM ?

    Oui, pour deux raisons. Sans DMARC, l'alignement n'est pas imposé : un message peut passer SPF ou DKIM sur un domaine sans rapport tout en affichant le vôtre. Et Gmail comme Yahoo exigent une politique DMARC des expéditeurs en masse ; s'en passer plafonne votre volume d'envoi.

  • SPF, DKIM et DMARC empêchent-ils mes e-mails d'arriver en spam ?

    Pas à eux seuls. Ils suppriment une raison de vous filtrer — une identité invérifiable — mais le placement dépend aussi de la réputation, de l'engagement et de la qualité de la liste. Des e-mails parfaitement authentifiés finissent en spam tous les jours.

  • Avec quelle politique DMARC une startup doit-elle commencer ?

    Commencez à p=none avec une adresse de rapports rua, surveillez les rapports jusqu'à ce que chaque source légitime passe avec alignement, puis passez à p=quarantine et enfin p=reject. Passer directement à reject, c'est ainsi qu'une équipe perd ses propres e-mails transactionnels.

Découvrez la plateforme que l'équipe pilote.

Guides liés
Accès anticipé

Votre growthen autopilote.

L'accès anticipé ouvre progressivement, pour que l'équipe s'ajuste à de vrais cas d'usage. Les petites équipes aux grandes ambitions passent en premier.

déjà 500+ sur la liste

Pas prêt à laisser un e-mail ? C'est open source. Faites-la tourner vous-même dès aujourd'hui. Voir sur GitHub

Pas de spam. Un e-mail quand votre place s'ouvre. Désinscription à tout moment.