Sécurité e-mail : configurer correctement SPF, DKIM et DMARC

Écrit par ExposIQ | mars 13, 2026

L’e-mail reste le canal de communication le plus important pour les entreprises suisses, et en même temps l’une des cibles d’attaque les plus prisées. Le phishing, le Business Email Compromise (BEC) et l’usurpation d’e-mail causent des milliards de dégâts dans le monde. La bonne nouvelle : avec les trois standards DNS que sont SPF, DKIM et DMARC, l’usurpation d’e-mail peut être efficacement empêchée. La mauvaise nouvelle : de nombreuses PME n’ont pas configuré ces standards, ou les ont configurés de manière incorrecte.

Pourquoi l’usurpation d’e-mail est si dangereuse

L’usurpation d’e-mail (email spoofing) signifie qu’un attaquant envoie des e-mails qui semblent provenir de votre domaine. L’expéditeur affiche « info@votreentreprise.ch », mais l’e-mail provient d’un serveur totalement étranger. Sans mesures de protection appropriées, il n’existe aucun moyen technique pour le destinataire de détecter la falsification.

Les conséquences peuvent être graves :

  • Business Email Compromise (BEC) : Les attaquants se font passer pour le directeur ou le responsable financier et ordonnent des paiements. Selon les statistiques du FBI, le BEC cause plus de dommages financiers que les ransomwares.
  • Phishing ciblant vos clients et partenaires : Vos partenaires commerciaux reçoivent des e-mails trompeurs avec votre adresse d’expéditeur, contenant des liens vers des pages de phishing ou des malwares. Les dommages à la réputation sont considérables.
  • Problèmes de délivrabilité : Si votre domaine est utilisé abusivement pour le spam, vos e-mails légitimes se retrouvent eux aussi sur des listes de blocage. La délivrabilité en souffre.

En Suisse, le BACS (Bureau fédéral de la cybersécurité, anciennement NCSC) observe depuis des années une augmentation des attaques BEC ciblant spécifiquement les PME suisses. Les montants des dommages vont de quelques milliers à plusieurs centaines de milliers de francs par incident.

Les trois mécanismes de protection expliqués

SPF (Sender Policy Framework)

SPF est le plus simple des trois standards. Un enregistrement SPF est une entrée DNS (enregistrement TXT) qui définit quels serveurs sont autorisés à envoyer des e-mails au nom de votre domaine.

Un enregistrement SPF typique ressemble à ceci :

v=spf1 include:_spf.google.com include:spf.hostpoint.ch ip4:203.0.113.5 -all

Cet enregistrement dit : « Seuls Google Workspace, les serveurs de messagerie Hostpoint et le serveur avec l’IP 203.0.113.5 sont autorisés à envoyer des e-mails pour ce domaine. Tous les autres sont rejetés. »

Erreurs SPF fréquentes :

  • ~all au lieu de -all : Le tilde signifie « Softfail » — les e-mails suspects sont marqués, mais pas rejetés. Seul « -all » (Hardfail) offre une véritable protection.
  • Entrées manquantes : Les services de newsletter, les systèmes CRM ou les formulaires web envoient des e-mails via des serveurs tiers qui ne figurent pas dans l’enregistrement SPF.
  • Trop de requêtes DNS : SPF autorise un maximum de 10 requêtes DNS. Ceux qui ont trop d’entrées « include » dépassent la limite et l’enregistrement SPF devient invalide.
  • Plusieurs enregistrements SPF : Il ne peut y avoir qu’un seul enregistrement SPF par domaine. Deux enregistrements font que SPF est complètement ignoré.

DKIM (DomainKeys Identified Mail)

DKIM va un pas plus loin que SPF : il signe chaque e-mail sortant avec une clé cryptographique. Le serveur destinataire vérifie la signature à l’aide d’une clé publique, également enregistrée comme enregistrement DNS.

DKIM offre deux avantages par rapport à SPF :

  • Protection de l’intégrité : DKIM vérifie non seulement l’expéditeur, mais aussi si l’e-mail a été modifié pendant le transport.
  • Redirection : SPF échoue pour les e-mails redirigés (le serveur de redirection ne figure pas dans l’enregistrement SPF). Les signatures DKIM survivent aux redirections, tant que le contenu n’est pas modifié.

La mise en place de DKIM nécessite la collaboration avec le fournisseur de messagerie : le fournisseur génère la paire de clés, signe les e-mails sortants et fournit la clé publique qui doit être enregistrée comme enregistrement DNS.

DMARC (Domain-based Message Authentication, Reporting and Conformance)

DMARC est la pièce décisive du puzzle. Il définit ce qui doit se passer avec les e-mails qui échouent à la fois SPF et DKIM, et fournit des rapports à ce sujet.

Un enregistrement DMARC ressemble à ceci :

v=DMARC1; p=reject; rua=mailto:dmarc@votreentreprise.ch; ruf=mailto:dmarc@votreentreprise.ch; adkim=s; aspf=s

Les paramètres les plus importants :

  • p=none : Mode surveillance — les e-mails sont délivrés, mais des rapports sont générés. Adapté pour débuter.
  • p=quarantine : Les e-mails suspects sont déplacés vers le dossier spam.
  • p=reject : Les e-mails suspects sont complètement rejetés. C’est l’objectif.
  • rua : Adresse pour les rapports agrégés (résumé quotidien)
  • ruf : Adresse pour les rapports forensiques (e-mails individuels ayant échoué)

Mise en place pas à pas

Le guide suivant décrit la mise en place chez les hébergeurs suisses les plus courants.

Étape 1 : Vérifier l’état actuel

Avant d’apporter des modifications, vérifiez l’état actuel de vos enregistrements DNS. Un scanner DNS automatisé montre immédiatement si SPF, DKIM et DMARC sont présents et correctement configurés. De nombreuses PME découvrent à cette occasion que SPF existe mais est incorrect, ou que DMARC manque complètement.

Étape 2 : Créer ou corriger l’enregistrement SPF

Listez tous les services qui envoient des e-mails via votre domaine :

  • Votre fournisseur de messagerie (Hostpoint, Infomaniak, Google Workspace, Microsoft 365)
  • Services de newsletter (Mailchimp, CleverReach, Brevo)
  • Systèmes CRM et ERP
  • Formulaires de site web (souvent via le serveur web)
  • Systèmes de ticketing ou helpdesk

Chez Hostpoint : Connectez-vous au Control Panel, naviguez vers « Domains » puis votre domaine puis « DNS-Editor ». Créez un enregistrement TXT pour le domaine principal avec la valeur SPF. Hostpoint utilise typiquement : include:spf.hostpoint.ch

Chez Infomaniak : Sous « Web & Domain » puis « DNS Zone » puis « Ajouter un enregistrement ». Infomaniak utilise : include:_spf.infomaniak.ch

Chez cyon : Sous « my.cyon.ch » puis « Domains » puis « DNS/Nameserver ». cyon utilise : include:spf.cyon.ch

Étape 3 : Activer DKIM

L’activation de DKIM dépend fortement du fournisseur :

  • Hostpoint : DKIM est automatiquement configuré pour les comptes de messagerie. Vérifiez dans le Control Panel que les enregistrements DNS sont correctement définis.
  • Infomaniak : DKIM est activé par défaut. L’enregistrement DNS est défini automatiquement.
  • Google Workspace : DKIM doit être activé manuellement dans la console d’administration sous « Apps » puis « Google Workspace » puis « Gmail » puis « Authentifier les e-mails ». Vous devez enregistrer vous-même l’enregistrement TXT généré dans le DNS.
  • Microsoft 365 : DKIM est configuré dans le Centre d’administration Exchange sous « Protection » puis « DKIM ». Deux enregistrements CNAME sont nécessaires.

Étape 4 : Configurer l’enregistrement DMARC

Commencez toujours en mode surveillance (p=none) pour voir quels e-mails passent SPF et DKIM et lesquels échouent.

Créez un enregistrement TXT pour _dmarc.votredomaine.ch avec la valeur :

v=DMARC1; p=none; rua=mailto:dmarc@votredomaine.ch

Laissez ce mode actif pendant 2 à 4 semaines et analysez les rapports reçus. Les rapports montrent quels serveurs envoient des e-mails pour votre domaine et si ceux-ci passent SPF/DKIM. Vous identifiez ainsi si des serveurs manquent encore dans l’enregistrement SPF avant de passer à « quarantine » ou « reject ».

Étape 5 : Renforcer

Une fois que vous avez vérifié que toutes les sources d’e-mails légitimes sont correctement authentifiées, renforcez progressivement la politique DMARC :

  1. D’abord p=quarantine pendant 2 semaines
  2. Puis p=reject comme paramètre permanent

Veillez à continuer de surveiller les rapports rua pour détecter les problèmes rapidement.

Erreurs fréquentes et pièges

L’expérience tirée de centaines d’analyses DNS révèle des schémas d’erreurs typiques :

  • SPF sans DMARC : SPF seul a une utilité limitée. Sans DMARC, chaque serveur destinataire décide lui-même ce qu’il fait des vérifications SPF échouées — la plupart du temps, rien.
  • DMARC laissé sur p=none : De nombreuses PME configurent DMARC en mode surveillance et oublient de renforcer la politique. « p=none » ne protège pas, il ne fait qu’observer.
  • Services de newsletter oubliés : La cause la plus fréquente d’échecs DMARC après renforcement : un service de newsletter qui ne figure pas dans l’enregistrement SPF et n’utilise pas DKIM pour votre domaine.
  • Sous-domaines non pris en compte : DMARC peut couvrir les sous-domaines avec « sp=reject ». Sans ce paramètre, les attaquants peuvent utiliser spoofing@nimportequoi.votredomaine.ch.
  • Rapports DMARC non analysés : Les rapports sont au format XML et ne sont pas particulièrement conviviaux. Il existe des services gratuits qui traitent ces rapports — utilisez-les.

Vérification automatisée : pourquoi la vérification manuelle ne passe pas à l’échelle

Vérifier manuellement les enregistrements SPF, DKIM et DMARC est faisable pour un domaine. Mais la plupart des PME exploitent plusieurs domaines : le domaine principal, une variante .com, éventuellement un domaine produit ou le domaine d’une filiale. Chaque domaine nécessite ses propres enregistrements, et chaque modification de la configuration de messagerie (nouveau fournisseur de newsletter, nouveau CRM) requiert des ajustements.

Les scanners DNS automatisés vérifient régulièrement tous les domaines d’une entreprise et signalent :

  • Enregistrements SPF, DKIM ou DMARC manquants
  • Erreurs de syntaxe dans les enregistrements existants
  • Enregistrements SPF avec trop de requêtes DNS
  • DMARC en mode surveillance uniquement (p=none)
  • Politiques de sous-domaines manquantes
  • Clés DKIM expirées ou faibles

Ce que les PME suisses devraient faire maintenant

La mise en place de SPF, DKIM et DMARC n’est pas un projet titanesque. Pour une PME typique avec un domaine et un fournisseur de messagerie, la configuration est réalisable en quelques heures. L’effort est sans commune mesure avec la protection que ces mesures offrent.

Liste de priorités :

  1. Vérifiez l’état actuel de tous vos domaines avec un scanner DNS automatisé
  2. Corrigez les enregistrements SPF défectueux et passez à « -all » (Hardfail)
  3. Activez DKIM chez votre fournisseur de messagerie
  4. Configurez DMARC en mode surveillance et analysez les rapports
  5. Renforcez DMARC à « p=reject » après une phase de test réussie

Conclusion

L’usurpation d’e-mail est un problème résolu, du moins techniquement. SPF, DKIM et DMARC offrent ensemble une protection efficace contre la falsification d’expéditeur. Ce qui manque, c’est la mise en oeuvre systématique. De nombreuses PME suisses laissent leur infrastructure de communication la plus importante sans protection, alors que la solution est disponible et gratuite.

ExposIQ vérifie automatiquement la configuration de sécurité e-mail de vos domaines dans le cadre de chaque scan : SPF, DKIM, DMARC, enregistrements MX et DNSSEC. Les erreurs de configuration sont clairement identifiées et priorisées. Le tout combiné avec plus de 35 moteurs de scan supplémentaires pour la sécurité réseau, web et infrastructure. Hébergé en Suisse, conforme à la nLPD, à partir de CHF 99 par mois. En savoir plus sur exposiq.ch.

ExposIQ est la plateforme suisse pour la gestion automatisée des vulnérabilités. Nous aidons les PME et les prestataires informatiques à identifier et corriger les vulnérabilités – de manière sécurisée, compréhensible et conforme à la nLPD.

Zürich, Schweiz

info@exposiq.ch
+41 43 200 02 52

Entreprise

À propos Contact Blog
 Politique de confidentialité Conditions d'utilisation

Newsletter

Copyright © ExposIQ Suisse 2026. Tous droits réservés.