La scène se répète dans presque toutes les entreprises que nous accompagnons, à Saint-Rémy-de-Provence comme à Avignon, Arles ou Châteaurenard. Vous préparez un devis avec soin, vous l'envoyez à un prospect intéressé, puis… plus rien. Trois jours plus tard, vous relancez par téléphone : « Quel devis ? Je n'ai jamais rien reçu. » Vous vérifiez vos messages envoyés, tout est parti, l'adresse était bonne. Et pourtant votre courriel dort dans le dossier « indésirables » du client, à côté des publicités pour montres à bas prix. Ce devis fantôme, cette relance qui tombe en spam, ce n'est pas de la malchance : c'est un problème technique précis, qui a des causes identifiables et des solutions concrètes.
Derrière ce phénomène frustrant se cachent trois mécanismes aux noms un peu barbares — SPF, DKIM et DMARC — auxquels s'ajoutent quelques facteurs plus terre à terre comme la réputation de votre serveur ou le contenu de vos messages. Cet article s'adresse au dirigeant, pas à l'informaticien. Il explique en langage clair ce que fait chacun de ces mécanismes, pourquoi leur absence envoie vos courriels au purgatoire, et comment y remédier proprement. Vous comprendrez aussi qu'au-delà de vos devis perdus, ces réglages protègent votre entreprise contre une menace bien plus grave : l'usurpation de votre nom de domaine.
Le devis parti « à l'heure » que le client n'a jamais reçu
Commençons par comprendre ce qui se passe réellement quand vous appuyez sur « Envoyer ». Votre courriel ne file pas directement dans la boîte de votre destinataire comme une lettre glissée sous une porte. Il transite par plusieurs serveurs, et à l'arrivée, le serveur de messagerie du destinataire — Gmail, Outlook, Orange, le serveur de son entreprise — mène une petite enquête avant de décider où déposer votre message. Boîte de réception ? Dossier indésirables ? Rejet pur et simple ? Cette décision se joue en une fraction de seconde, selon des critères que la plupart des dirigeants ignorent complètement.
Le problème de fond, c'est que le système de courrier électronique a été conçu à une époque où l'on faisait confiance à tout le monde. À l'origine, rien n'empêchait quiconque d'envoyer un message en se faisant passer pour n'importe qui. Un peu comme si, à la poste, on pouvait écrire l'adresse d'expéditeur que l'on voulait au dos de l'enveloppe, sans jamais avoir à le prouver. Face à l'explosion du spam et des arnaques, les grands acteurs de la messagerie ont ajouté des systèmes de vérification. SPF, DKIM et DMARC sont précisément ces contrôles d'identité. Si votre domaine ne les a pas configurés, vous ressemblez, aux yeux des serveurs modernes, à un expéditeur suspect qui n'a pas ses papiers en règle.
Et un expéditeur suspect, on ne le jette pas forcément à la poubelle : on le met « de côté », dans les indésirables, le temps de voir. Sauf que dans les indésirables, personne ne regarde. Votre devis y reste, votre relance aussi, et le prospect conclut que vous ne lui avez jamais répondu. Ce malentendu silencieux coûte des affaires, jour après jour, sans que vous en ayez conscience. La bonne nouvelle : une fois les trois mécanismes correctement posés, votre domaine retrouve sa crédibilité et vos messages leur place légitime.
Ce qui décide vraiment si votre e-mail arrive à destination
Avant d'entrer dans le détail des trois sigles, il faut comprendre la logique générale. Quand un serveur reçoit votre message, il se pose au fond trois questions très simples, exactement comme un vigile à l'entrée d'un bâtiment :
- Qui prétend envoyer ce message, et cette personne a-t-elle le droit d'écrire au nom de ce domaine ? C'est le rôle de SPF.
- Le contenu du message est-il bien celui qui a été signé au départ, ou a-t-il été trafiqué en route ? C'est le rôle de DKIM.
- Que dois-je faire si l'un de ces contrôles échoue, et à qui dois-je signaler ce que je vois ? C'est le rôle de DMARC.
Ces trois vérifications s'appuient sur des informations que vous publiez dans les « enregistrements DNS » de votre domaine. Le DNS, c'est en quelque sorte l'annuaire public d'Internet : c'est là qu'un nom de domaine indique où se trouve son site web, ses serveurs de messagerie, et — pour ce qui nous intéresse ici — les règles d'envoi de ses courriels. Publier un enregistrement SPF, DKIM ou DMARC revient à afficher officiellement, dans cet annuaire, la carte d'identité de votre messagerie. Tout serveur du monde peut la consulter pour vérifier vos messages.
Retenez cette image : SPF, DKIM et DMARC ne modifient pas vos courriels et ne s'installent pas sur votre ordinateur. Ce sont des déclarations publiques attachées à votre domaine, qui disent aux autres serveurs comment reconnaître un vrai message de votre part et comment traiter un faux. Voyons maintenant chacun d'eux, sans jargon.
SPF : qui a le droit d'écrire en votre nom
SPF est le plus simple à comprendre. Imaginez que vous publiiez, à la mairie, la liste officielle des personnes autorisées à signer des documents pour votre entreprise. Toute personne présentant un document signé par quelqu'un qui ne figure pas sur cette liste éveille aussitôt le soupçon. SPF fonctionne exactement ainsi : c'est la liste publique des serveurs autorisés à envoyer des courriels au nom de votre domaine.
Concrètement, vous déclarez dans votre DNS quels serveurs ont le droit d'expédier en votre nom : celui de votre hébergeur de messagerie, celui de votre outil de facturation qui envoie les factures, celui de votre plateforme d'e-mailing si vous en utilisez une, etc. Lorsqu'un serveur reçoit un message se présentant comme venant de votre domaine, il regarde d'où il part réellement et vérifie que cette provenance figure bien dans votre liste SPF. Si oui, premier bon point. Si non, le message est jugé douteux.
Là se cache l'erreur la plus courante que nous rencontrons : une liste SPF incomplète. Une entreprise configure son serveur principal, puis se met à envoyer ses factures depuis un logiciel de gestion, ses newsletters depuis un autre outil, ses relances depuis une plateforme tierce… sans jamais mettre à jour la liste. Résultat, ces envois « légitimes » ne figurent pas sur la liste officielle et sont traités comme des usurpateurs. C'est typiquement le cas d'une facture envoyée depuis votre logiciel de gestion qui atterrit en spam alors que vos messages personnels passent très bien. Tenir cette liste à jour à mesure que vos outils évoluent est donc essentiel, et c'est un point que nous vérifions systématiquement lors de nos interventions sur votre infrastructure et votre messagerie.
Une limite importante à connaître : SPF vérifie le serveur d'envoi, mais pas le nom affiché dans le champ « De » que voit votre destinataire. Un escroc peut donc, dans certains cas, contourner SPF en jouant sur la manière dont l'adresse s'affiche. C'est précisément pour combler ce trou que DKIM et surtout DMARC entrent en scène.
DKIM : la signature qui prouve que rien n'a été modifié
Si SPF vérifie qui envoie, DKIM vérifie que le message n'a pas été altéré en chemin et qu'il provient bien de votre domaine. DKIM ajoute à chaque courriel une signature électronique invisible, un peu comme le sceau de cire que l'on apposait autrefois sur une lettre importante. Si le sceau est intact à l'arrivée, le destinataire a la garantie que personne n'a ouvert ni modifié le courrier entre-temps. Si le sceau est brisé ou absent, méfiance.
Techniquement, votre serveur d'envoi appose sur chaque message une signature calculée à partir de son contenu, à l'aide d'une clé secrète que vous seul détenez. La clé publique correspondante est, elle, affichée dans votre DNS, à la disposition de tous. À la réception, le serveur du destinataire recalcule la signature avec cette clé publique et vérifie qu'elle correspond. Si tout concorde, deux choses sont prouvées : le message vient bien d'un serveur qui possède votre clé secrète, et son contenu n'a pas été trafiqué depuis l'envoi.
Cet aspect « contenu non modifié » a une valeur concrète pour une entreprise. Dans les arnaques les plus soignées, un attaquant qui a réussi à s'immiscer dans un échange peut chercher à modifier une pièce jointe ou un numéro de compte au vol. Une signature DKIM valide rend ce type de falsification bien plus difficile à faire passer inaperçu. C'est une brique de confiance qui bénéficie autant à vos destinataires qu'à votre réputation. Comme pour SPF, l'écueil est l'oubli : dès qu'un nouvel outil se met à envoyer des courriels en votre nom, il doit lui aussi signer correctement, faute de quoi ses messages perdront ce précieux gage de confiance.
DMARC : que faire quand ça ne colle pas — et les précieux rapports
SPF et DKIM font chacun un contrôle, mais ne disent pas au serveur destinataire quoi faire en cas d'échec. Un message qui échoue à SPF doit-il être rejeté ? Mis en indésirables ? Livré quand même ? Sans consigne, chaque serveur décide dans son coin, souvent avec prudence — ce qui explique bien des courriels perdus. DMARC comble ce vide : c'est la politique que vous publiez pour dire, noir sur blanc, comment traiter les messages qui prétendent venir de chez vous mais échouent aux vérifications.
DMARC apporte trois choses décisives. D'abord, il exige une cohérence entre le nom affiché dans le champ « De » et les domaines validés par SPF et DKIM — refermant ainsi la faille évoquée plus haut, où un escroc affichait votre nom tout en envoyant depuis ailleurs. Ensuite, il vous laisse définir la conséquence en cas d'échec : ne rien faire de particulier, mettre en indésirables, ou rejeter carrément. Enfin, et c'est trop souvent négligé, DMARC vous fait remonter des rapports.
Ces rapports sont un outil précieux. Chaque jour, les grands serveurs de messagerie vous envoient un compte rendu de tous les messages expédiés en votre nom : ceux qui ont passé les contrôles, et surtout ceux qui ont échoué. Vous découvrez ainsi deux choses capitales : quels sont vos propres outils légitimes que vous auriez oublié de déclarer (une plateforme d'envoi, votre logiciel de facturation), et si quelqu'un, quelque part, tente d'envoyer des courriels frauduleux en usurpant votre domaine. C'est un système de vidéosurveillance de votre identité numérique, qui vous alerte avant que le mal ne soit fait.
Pour résumer la répartition des rôles, voici comment les trois mécanismes se complètent :
| Mécanisme | Question à laquelle il répond | Image simple |
|---|---|---|
| SPF | Ce serveur a-t-il le droit d'envoyer en mon nom ? | La liste des signataires autorisés |
| DKIM | Le message est-il intact et vraiment de moi ? | Le sceau de cire sur la lettre |
| DMARC | Que faire si un contrôle échoue, et qui prévenir ? | La consigne au vigile + le rapport de sécurité |
Les trois fonctionnent en équipe. SPF et DKIM posent les vérifications, DMARC leur donne du sens et vous rend maître de la décision. C'est l'ensemble, correctement réglé, qui fait passer votre domaine du statut de « suspect toléré » à celui d'« expéditeur de confiance ».
Sans DMARC, n'importe qui peut usurper votre domaine
Jusqu'ici, nous avons parlé de vos courriels qui n'arrivent pas. Mais il existe un revers bien plus inquiétant à cette même pièce : sans DMARC, n'importe qui peut envoyer des messages en se faisant passer pour vous. Vos clients, vos fournisseurs, vos salariés reçoivent alors un courriel qui affiche votre nom, votre domaine, peut-être votre logo, et qui semble parfaitement authentique — alors qu'il vient d'un escroc. Un domaine sans protection est une identité laissée sans surveillance, que le premier venu peut emprunter.
C'est exactement le terrain de jeu d'une arnaque redoutablement efficace : la fausse facture assortie d'un faux changement de coordonnées bancaires. Un attaquant se fait passer pour l'un de vos fournisseurs — ou pour vous, auprès de vos clients — et annonce un « nouveau RIB » sur lequel régler la prochaine facture. Si le courriel semble venir d'un domaine légitime, la victime n'a aucune raison de se méfier, et le virement part sur le compte de l'escroc. Nous décortiquons le déroulé complet de cette arnaque, et la manière de s'en prémunir, dans notre article la fausse facture et le faux changement de RIB. DMARC ne fait pas tout, mais il coupe l'herbe sous le pied de l'usurpateur en empêchant que les faux messages estampillés de votre domaine soient délivrés.
Il faut bien mesurer l'enjeu de réputation. Le jour où un de vos clients se fait escroquer par un faux message à votre nom, ce n'est pas seulement de l'argent qui est perdu : c'est la confiance dans votre entreprise qui est entamée. Protéger votre domaine, c'est donc autant protéger vos partenaires que vous-même. Cette démarche s'inscrit dans une hygiène numérique globale, celle que nous détaillons dans nos cinq réflexes de cybersécurité pour les TPE et PME. La sécurité de la messagerie n'est pas un sujet isolé : c'est l'un des piliers de la protection d'ensemble de votre activité.
Les autres causes : réputation, contenu, pièces jointes et envois en masse
SPF, DKIM et DMARC sont la fondation, mais ils ne font pas tout. Même parfaitement configuré, un domaine peut voir ses messages filtrés pour d'autres raisons. Il est important de les connaître pour ne pas s'étonner qu'un problème persiste après avoir « tout bien réglé ».
La réputation de votre adresse IP et de votre domaine joue un rôle majeur. Chaque serveur d'envoi possède une réputation, un peu comme un historique de conduite. Si l'adresse depuis laquelle partent vos courriels a été utilisée par le passé pour du spam — ce qui arrive avec certaines offres d'hébergement mutualisé bon marché où vous partagez le serveur avec des inconnus — vous héritez d'un mauvais dossier sans y être pour rien. À l'inverse, une réputation se construit dans la durée par des envois réguliers et propres.
Le contenu du message compte aussi. Les filtres analysent vos courriels et se méfient de certains signaux : un sujet tout en majuscules, une avalanche de points d'exclamation, un message qui n'est qu'une grosse image sans texte, des mots typiques du démarchage agressif, ou un déséquilibre entre le texte et les liens. Un devis rédigé sobrement, avec du vrai texte et une signature normale, passe bien mieux qu'un message tape-à-l'œil.
Les pièces jointes sont un autre facteur. Certains formats sont considérés comme risqués et bloqués d'office, et une pièce jointe très lourde peut faire basculer un message en indésirables. Pour vos devis et vos factures, le PDF reste le format de référence, léger et universellement accepté. Enfin, l'envoi en masse depuis une simple boîte professionnelle est une erreur classique : expédier d'un coup la même annonce à des centaines de destinataires depuis votre adresse habituelle est le comportement type d'un spammeur, et les serveurs réagissent en conséquence. Pour toute communication de masse, il faut passer par un outil d'e-mailing dédié, correctement déclaré dans votre SPF et signé en DKIM.
Un dernier point technique, souvent invisible mais bien réel : l'absence d'enregistrement PTR, aussi appelé « reverse DNS ». En simplifiant, c'est la vérification inverse qui permet à un serveur de messagerie de confirmer que l'adresse IP d'où part votre courriel correspond bien à un nom cohérent. Un serveur d'envoi dépourvu de cette correspondance est immédiatement suspect. C'est un réglage d'infrastructure qui échappe totalement à l'utilisateur, mais qui peut, à lui seul, expédier tous vos messages en indésirables. Le diagnostiquer et le corriger relève du travail sur les serveurs et le réseau que nous menons dans le cadre de nos prestations de réseaux et d'infrastructure.
Mettre en place SPF, DKIM et DMARC sans casser vos e-mails
La tentation, après avoir compris tout cela, serait de tout activer d'un coup et au maximum. C'est précisément l'erreur à ne pas commettre. Mal menée, la mise en place de ces protections peut faire l'inverse de ce que l'on cherche : bloquer vos propres messages légitimes. La démarche correcte est progressive, méthodique, et guidée par l'observation. Voici l'esprit dans lequel elle se conduit.
La première étape consiste à faire l'inventaire de tous vos expéditeurs. Avant toute chose, il faut lister l'ensemble des outils qui envoient des courriels en votre nom : votre messagerie principale, votre logiciel de facturation, votre outil de gestion, votre éventuelle plateforme d'e-mailing, votre site web qui envoie des accusés de réception, etc. Oublier un seul de ces émetteurs, c'est prendre le risque de le bloquer plus tard. Cet inventaire est la base de tout le reste.
Vient ensuite la configuration de SPF et de DKIM pour couvrir tous ces expéditeurs légitimes. On s'assure que chacun figure bien dans la liste des serveurs autorisés et signe correctement ses messages. C'est un travail de précision, propre à chaque environnement, et c'est la raison pour laquelle nous n'indiquons pas ici d'enregistrement DNS tout fait : un réglage recopié à l'aveugle, sans correspondre exactement à votre situation, ferait plus de dégâts que de bien.
Enfin, DMARC se déploie en trois paliers, dans un ordre précis et éprouvé :
- Observer, sans rien bloquer. On commence par une politique qui demande simplement aux serveurs de tout livrer comme d'habitude, mais de vous envoyer les rapports. Pendant cette phase, vous ne risquez rien : aucun message n'est bloqué. Vous récoltez au contraire une vue complète de qui envoie en votre nom, ce qui révèle les expéditeurs légitimes oubliés comme les éventuelles tentatives d'usurpation.
- Mettre en quarantaine. Une fois que tous vos envois légitimes passent les contrôles et que les rapports sont propres, on durcit la politique : les messages qui échouent sont désormais dirigés vers les indésirables plutôt que livrés. C'est un palier intermédiaire prudent, qui commence à protéger votre domaine tout en laissant une marge de sécurité.
- Rejeter. Dernière étape, la plus protectrice : les messages frauduleux qui prétendent venir de vous sont purement et simplement refusés, avant même d'atteindre la boîte du destinataire. C'est l'objectif final, celui qui ferme la porte aux usurpateurs — mais on ne l'atteint qu'après s'être assuré, aux deux paliers précédents, qu'aucun message légitime n'en fera les frais.
Cette progression du plus souple au plus strict est la clé d'un déploiement réussi. Elle demande de la patience et une lecture régulière des rapports, mais elle garantit qu'à l'arrivée, vos vrais courriels arrivent et vos faux sont bloqués. C'est un chantier qui se mène idéalement avec un professionnel, non par difficulté insurmontable, mais parce qu'une erreur de manipulation dans le DNS a des conséquences immédiates sur toute votre messagerie.
Une messagerie fiable, socle d'une présence en ligne qui rapporte
Régler SPF, DKIM et DMARC, ce n'est pas un caprice de technicien : c'est s'assurer que le travail que vous faites pour communiquer sert effectivement à quelque chose. Un devis qui arrive, une relance qui est lue, une facture qui atterrit dans la bonne boîte : voilà des affaires gagnées plutôt que perdues. Et cette délivrabilité s'inscrit dans une réflexion plus large sur votre visibilité et votre efficacité commerciale en ligne. Si vos courriels partent bien mais que vos prospects ne vous trouvent pas, le problème se déplace vers votre référencement, un sujet que nous traitons dans votre site ne vous rapporte rien : le référencement local en cause. Messagerie fiable et présence en ligne visible sont les deux jambes d'une même démarche.
Ce que nous constatons sur le terrain, c'est que la plupart des dirigeants découvrent ces mécanismes le jour où ils rencontrent le problème — un client mécontent, une facture perdue, ou pire, une usurpation avérée. Il est bien plus confortable de traiter le sujet à froid, en quelques heures de travail bien menées, que dans l'urgence d'un incident. C'est un investissement modeste au regard de la tranquillité qu'il apporte, et il bénéficie tout autant à votre image qu'à vos partenaires.
Faisons le point sur votre messagerie
Vos e-mails qui tombent en spam ne sont pas une fatalité, et l'usurpation de votre domaine n'est pas un risque abstrait réservé aux grands groupes. Derrière ces désagréments se cachent des réglages précis — SPF, DKIM, DMARC — auxquels s'ajoutent la réputation de votre serveur, le soin apporté à vos messages et quelques détails d'infrastructure comme l'enregistrement PTR. Bien menés, dans le bon ordre et à froid, ces réglages redonnent à votre messagerie sa crédibilité et à votre entreprise la maîtrise de son identité numérique.
Basés à Saint-Rémy-de-Provence, nous accompagnons les entreprises des Alpilles, d'Avignon, d'Arles, de Châteaurenard et de Cavaillon sur l'ensemble de ces sujets, de la configuration DNS à la sécurisation complète de la messagerie, en passant par la formation de vos équipes aux bons réflexes. Le meilleur point de départ est un diagnostic honnête : où en est réellement votre domaine, et quels réglages manquent ? Contactez-nous pour un premier échange ou appelez-nous au 04 13 41 85 81. Nous ferons le point ensemble, sans jargon inutile, et vous repartirez avec une feuille de route claire pour que vos courriels arrivent, enfin, là où ils doivent arriver.