Aller au contenu
Aide à distance Portail client English (514) 534-0236
ADN-TI — Solutions sur mesure
CybersécuritéMicrosoft 365Courriel

SPF, DKIM, DMARC : protéger vos courriels (et votre réputation)

·Équipe ADN-TI

Un fournisseur reçoit une fausse facture « de votre part », avec votre logo et votre adresse. Vos clients commencent à voir vos courriels classés comme indésirables. Dans les deux cas, la cause est souvent la même : votre domaine n’est pas correctement authentifié. Depuis que Microsoft et Google resserrent leurs règles pour les expéditeurs, c’est devenu incontournable, même pour une petite organisation.

Le problème : n’importe qui peut écrire « en votre nom »

Le courriel a été conçu dans les années 80, sans mécanisme pour vérifier l’expéditeur. Sans protection, rien n’empêche un fraudeur d’envoyer un message qui affiche comptes@votreentreprise.ca — c’est l’usurpation de domaine (spoofing), la base de l’hameçonnage et de la fraude au virement.

Trois enregistrements, ajoutés à votre nom de domaine, referment cette porte. Ils travaillent ensemble.

SPF — qui a le droit d’envoyer

SPF (Sender Policy Framework) est une liste publique des serveurs autorisés à envoyer des courriels pour votre domaine (Microsoft 365, votre logiciel de paie, votre plateforme d’infolettre…). Le serveur qui reçoit vérifie : « ce message vient-il d’une source de la liste ? »

DKIM — une signature infalsifiable

DKIM (DomainKeys Identified Mail) appose une signature numérique sur chaque message. Le serveur destinataire confirme que le contenu n’a pas été altéré en chemin et qu’il provient bien de votre domaine.

DMARC — la règle qui tranche

DMARC (Domain-based Message Authentication) relie les deux et dit au monde quoi faire d’un message qui échoue : le laisser passer, le mettre en quarantaine, ou le rejeter. Bonus essentiel : DMARC vous envoie des rapports qui révèlent qui envoie des courriels en votre nom — souvent une découverte.

Les erreurs qu’on voit le plus souvent

  1. N’avoir que SPF. C’est un début, mais sans DMARC, vous ne bloquez rien et vous ne voyez rien. Les trois vont ensemble.
  2. Passer en « rejet » trop vite. Activer DMARC en mode strict sans observer les rapports, c’est risquer de bloquer vos propres infolettres ou votre système de facturation. On commence en observation, on corrige, puis on durcit.
  3. Oublier les services tiers. Votre logiciel comptable, votre CRM ou votre plateforme de réservation envoient aussi en votre nom — ils doivent être inclus, sinon leurs courriels échouent.

Par où commencer

La mise en place demande généralement une à deux semaines : on cartographie tout ce qui envoie des courriels pour vous, on publie SPF et DKIM, puis on active DMARC en observation. Après quelques semaines de rapports, on resserre jusqu’au rejet en toute confiance. C’est un projet à faible coût et à fort rendement — exactement le genre de chantier qu’on mène pour nos clients.

À retenir : SPF, DKIM et DMARC ne protègent pas seulement vos destinataires de la fraude — ils protègent la livrabilité de vos vrais courriels. Un domaine bien authentifié, c’est moins d’indésirables et plus de confiance.

Tous les articles

Prêt quand vous l’êtes

Prêt à reprendre le contrôle de vos TI ?

Réservez un appel découverte gratuit de 30 minutes. Sans engagement, sans jargon.

Nous écrire Discuter de votre projet