SPF, DKIM et DMARC
Trois mécanismes complémentaires pour que les FAI et messageries sachent que vos messages viennent bien de vous et n’ont pas été altérés en route.
SPF (Sender Policy Framework)
Un enregistrement TXT sur votre domaine liste les serveurs autorisés à envoyer du courrier pour ce domaine. Lors de la réception, le serveur distant vérifie si l’IP source est couverte par votre SPF.
- Un seul enregistrement SPF par domaine (ou hiérarchie cohérente avec
include:). - Attention au mécanisme
allfinal :-all(échec dur) vs~all(soft fail) selon votre maturité.
DKIM (signature cryptographique)
Le relay signe le message (souvent des en-têtes et le corps) avec une clé privée ; le domaine publie la clé publique en DNS (selector._domainkey). Si la signature est valide, le message n’a pas été modifié de façon significative depuis la signature.
L’alignement DKIM est fort lorsque le domaine signé (d=) correspond au domaine visible dans From:.
DMARC
DMARC indique que faire si SPF et/ou DKIM ne s’alignent pas avec le domaine From:, et permet de recevoir des rapports agrégés (rua) et optionnellement des rapports de défaillance (ruf).
p=none: observer seulement (recommandé au début).p=quarantine: mettre en quarantaine les échecs.p=reject: rejeter — à n’actuer qu’avec SPF/DKIM stables et listes propres.
p=none avec rapports pendant plusieurs semaines avant de durcir la politique : vous verrez les sources légitimes oubliées (newsletters, outils tiers).
Alignement
Pour une bonne délivrabilité, viser l’alignement : le domaine dans From: doit matcher (strict ou relax) les domaines validés par SPF et/ou DKIM. Un From: sur client.com envoyé depuis une infra qui ne signe que relayeurexemple.com sans alignement peut être pénalisé.