Credit : Illustration backtotheweb.fr
Configurer SPF DKIM et DMARC pour ses emails
Configurer SPF, DKIM et DMARC pour ses emails
Si vos emails arrivent en spam ou sont rejetes, c'est probablement parce que votre domaine manque de configuration d'authentification. SPF, DKIM et DMARC sont trois mecanismes complementaires qui prouvent aux serveurs destinataires que vos emails sont legitimes.
Comprendre les trois protocoles
- SPF (Sender Policy Framework) : declare quels serveurs sont autorises a envoyer des emails pour votre domaine
- DKIM (DomainKeys Identified Mail) : signe cryptographiquement chaque email pour garantir son integrite
- DMARC (Domain-based Message Authentication) : definit la politique a appliquer si SPF ou DKIM echouent
1. Configurer SPF
Ajoutez un enregistrement TXT dans votre zone DNS (chez IONOS, dans la section DNS du panneau de controle) :
Type : TXT
Nom : @
Valeur : v=spf1 ip4:203.0.113.50 include:_spf.google.com ~all
Explication des mecanismes :
ip4:203.0.113.50: autorise l'IP de votre serveurinclude:_spf.google.com: autorise les serveurs Google (si vous utilisez Google Workspace)~all: soft fail pour les autres sources (recommande au debut, passez a-allune fois valide)
Verifiez avec :
dig TXT mondomaine.fr +short
2. Configurer DKIM avec OpenDKIM
Installez OpenDKIM sur votre serveur :
apt install opendkim opendkim-tools -y
Generez la paire de cles :
mkdir -p /etc/opendkim/keys/mondomaine.fr
opendkim-genkey -b 2048 -d mondomaine.fr -D /etc/opendkim/keys/mondomaine.fr -s mail -v
chown -R opendkim:opendkim /etc/opendkim
Configurez /etc/opendkim.conf :
Syslog yes
UMask 007
Domain mondomaine.fr
Selector mail
KeyFile /etc/opendkim/keys/mondomaine.fr/mail.private
Socket inet:8891@localhost
Canonicalization relaxed/simple
Mode sv
SubDomains no
Configurez Postfix pour utiliser DKIM dans /etc/postfix/main.cf :
milter_default_action = accept
milter_protocol = 6
smtpd_milters = inet:localhost:8891
non_smtpd_milters = inet:localhost:8891
Redemarrez les services :
systemctl restart opendkim
systemctl restart postfix
Recuperez la cle publique pour l'enregistrement DNS :
cat /etc/opendkim/keys/mondomaine.fr/mail.txt
Ajoutez cet enregistrement TXT dans votre zone DNS chez IONOS :
Retour d'expérience : on utilise cette config sur tous nos serveurs clients.
Type : TXT
Nom : mail._domainkey
Valeur : v=DKIM1; h=sha256; k=rsa; p=MIIBIjANBg... (votre cle publique)
3. Configurer DMARC
Une fois SPF et DKIM fonctionnels, ajoutez l'enregistrement DMARC :
Type : TXT
Nom : _dmarc
Valeur : v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@mondomaine.fr; ruf=mailto:dmarc-forensic@mondomaine.fr; fo=1; adkim=r; aspf=r; pct=100
Les politiques possibles :
p=none: ne rien faire, juste rapporter (ideal pour commencer)p=quarantine: mettre en spamp=reject: rejeter completement
Commencez avec p=none pendant quelques semaines pour analyser les rapports, puis passez progressivement a quarantine puis reject.
4. Tester la configuration
Envoyez un email de test et verifiez les en-tetes. Vous devez voir :
Authentication-Results:
spf=pass
dkim=pass
dmarc=pass
Outils de verification en ligne :
# Tester SPF
dig TXT mondomaine.fr +short
# Tester DKIM
dig TXT mail._domainkey.mondomaine.fr +short
# Tester DMARC
dig TXT _dmarc.mondomaine.fr +short
# Test complet depuis le serveur
swaks --to test@gmail.com --from contact@mondomaine.fr --server localhost
Vous pouvez aussi envoyer un email a check-auth@verifier.port25.com qui vous retournera un rapport complet.
Une configuration SPF + DKIM + DMARC correcte ameliore considerablement la delivrabilite de vos emails et protege votre domaine contre l'usurpation d'identite (spoofing).
