Espace client
Hébergement web16 décembre 2025 39 vues

Comment configurer SPF, DKIM et DMARC sur cPanel

Comment configurer SPF, DKIM et DMARC sur cPanel

Comment configurer SPF, DKIM et DMARC sur cPanel

Temps estimé : 15 minutes
Difficulté : Intermédiaire ⭐⭐
Prérequis : Accès à cPanel, domaine avec DNS géré

📋 Introduction

SPF, DKIM et DMARC sont trois protocoles d'authentification email essentiels pour :

  • Améliorer la délivrabilité de vos emails
  • 🛡️ Protéger votre domaine contre le spoofing et le phishing
  • 📬 Éviter que vos emails arrivent en spam
  • Respecter les exigences de Gmail et Yahoo (obligatoire depuis février 2024)

🔍 Comprendre SPF, DKIM et DMARC

Vue d'ensemble

Protocole Fonction Analogie
SPF Vérifie que le serveur est autorisé à envoyer Liste des facteurs autorisés
DKIM Ajoute une signature numérique à l'email Sceau d'authenticité
DMARC Définit la politique en cas d'échec Instructions au destinataire

SPF (Sender Policy Framework)

SPF permet de spécifier quels serveurs sont autorisés à envoyer des emails pour votre domaine.

Fonctionnement :

  1. Vous publiez une liste de serveurs autorisés dans un enregistrement DNS TXT
  2. Le serveur destinataire vérifie si l'email provient d'un serveur autorisé
  3. Si non autorisé → l'email peut être rejeté ou marqué comme spam

Exemple d'enregistrement SPF :

v=spf1 +a +mx +ip4:123.456.789.0 include:_spf.google.com ~all

DKIM (DomainKeys Identified Mail)

DKIM ajoute une signature cryptographique à chaque email sortant.

Fonctionnement :

  1. Votre serveur signe chaque email avec une clé privée
  2. La clé publique est publiée dans vos DNS
  3. Le destinataire vérifie la signature avec la clé publique
  4. Si la signature est valide → l'email est authentique et non modifié

Exemple d'enregistrement DKIM :

default._domainkey.votredomaine.com IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBA..."

DMARC (Domain-based Message Authentication, Reporting & Conformance)

DMARC définit ce que le destinataire doit faire si SPF ou DKIM échoue.

Fonctionnement :

  1. Vous définissez une politique (none, quarantine, reject)
  2. Le destinataire applique cette politique aux emails non authentifiés
  3. Vous recevez des rapports sur les tentatives d'usurpation

Exemple d'enregistrement DMARC :

v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=100

📊 Tableau Récapitulatif

Élément SPF DKIM DMARC
Type d'enregistrement TXT TXT TXT
Nom @ ou domaine default._domainkey _dmarc
Obligatoire ✅ Oui ✅ Oui ⚠️ Recommandé
Configuré automatiquement ✅ cPanel ✅ cPanel ❌ Manuel
Protège contre Serveurs non autorisés Falsification du contenu Usurpation d'identité

⚙️ Méthode 1 : Configuration Automatique (Email Deliverability)

cPanel propose un outil Email Deliverability qui configure automatiquement SPF et DKIM.

Étape 1 : Accéder à Email Deliverability

  1. Connectez-vous à cPanel
  2. Dans la section Email, cliquez sur Email Deliverability

Image

Étape 2 : Vérifier le statut actuel

Vous verrez la liste de vos domaines avec leur statut :

Statut Signification
Valid SPF et DKIM correctement configurés
⚠️ Problems Exist Configuration manquante ou incorrecte

Étape 3 : Réparer automatiquement

Si des problèmes sont détectés :

  1. Cliquez sur Repair (Réparer) à côté du domaine concerné
  2. cPanel affiche les enregistrements suggérés
  3. Cliquez sur Repair pour appliquer automatiquement
    Image

💡 Note : Cette méthode fonctionne uniquement si vos DNS sont gérés par le même serveur que cPanel. Sinon, utilisez la méthode manuelle.

Étape 4 : Vérifier la configuration

Après la réparation, le statut devrait passer à Valid

Vous pouvez cliquer sur Manage pour voir les détails de chaque enregistrement.

⚙️ Méthode 2 : Configuration Manuelle

Si vos DNS sont gérés ailleurs (Cloudflare, OVH, Gandi, etc.), vous devez ajouter les enregistrements manuellement.

Étape 1 : Récupérer les valeurs dans cPanel

  1. Allez dans EmailEmail Deliverability
  2. Cliquez sur Manage à côté de votre domaine
  3. Notez les valeurs suggérées pour SPF et DKIM

Étape 2 : Ajouter l'enregistrement SPF

Dans cPanel (Zone Editor)

  1. Allez dans DomainesZone Editor
  2. Cliquez sur Gérer à côté de votre domaine
  3. Cliquez sur + Ajouter un enregistrementAdd TXT Record
Champ Valeur
Name votredomaine.com (ou @)
TTL 14400
Type TXT
Record v=spf1 +a +mx +ip4:VOTRE_IP include:_spf.google.com ~all
  1. Cliquez sur Save Record

Enregistrements SPF selon votre configuration

Situation Enregistrement SPF
Email cPanel uniquement v=spf1 +a +mx ~all
Avec MailChannels v=spf1 +a +mx include:relay.mailchannels.net ~all
Avec Google Workspace v=spf1 include:_spf.google.com ~all
Avec Microsoft 365 v=spf1 include:spf.protection.outlook.com ~all
Avec SendGrid v=spf1 include:sendgrid.net ~all
Avec Mailchimp v=spf1 include:servers.mcsv.net ~all
Combiné (cPanel + Google) v=spf1 +a +mx include:_spf.google.com ~all

Comprendre la syntaxe SPF

Élément Signification
v=spf1 Version du protocole SPF
+a Autorise l'IP du domaine (enregistrement A)
+mx Autorise les serveurs MX du domaine
+ip4:123.456.789.0 Autorise une IP spécifique
include:domaine.com Inclut les serveurs autorisés d'un autre domaine
~all Soft fail : marquer comme suspect si non autorisé
-all Hard fail : rejeter si non autorisé
?all Neutre : ne pas vérifier

⚠️ Important : Un domaine ne peut avoir qu'un seul enregistrement SPF. Si vous utilisez plusieurs services, combinez-les dans un seul enregistrement.

Étape 3 : Ajouter l'enregistrement DKIM

Récupérer la clé DKIM

  1. Dans Email Deliverability, cliquez sur Manage
  2. Sous DKIM, copiez la valeur complète de la clé publique

Ajouter l'enregistrement

  1. Dans Zone Editor, cliquez sur + Ajouter un enregistrementAdd TXT Record
Champ Valeur
Name default._domainkey.votredomaine.com
TTL 14400
Type TXT
Record v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEB... (votre clé)
  1. Cliquez sur Save Record

💡 Note : Le sélecteur default peut varier selon votre configuration. Certains services utilisent d'autres sélecteurs comme google, selector1, etc.

Étape 4 : Ajouter l'enregistrement DMARC

DMARC n'est pas configuré automatiquement par cPanel. Vous devez l'ajouter manuellement.

  1. Dans Zone Editor, cliquez sur + Ajouter un enregistrementAdd TXT Record
Champ Valeur
Name _dmarc.votredomaine.com (ou _dmarc)
TTL 14400
Type TXT
Record v=DMARC1; p=none; rua=mailto:[email protected]
  1. Cliquez sur Save Record

📝 Configurations DMARC Recommandées

Politique progressive (recommandé pour débuter)

Commencez par une politique souple, puis renforcez progressivement :

Phase 1 : Surveillance (2-4 semaines)

v=DMARC1; p=none; rua=mailto:[email protected]; pct=100
  • p=none : Ne rien faire, juste surveiller
  • rua=mailto:... : Recevoir les rapports agrégés

Phase 2 : Quarantaine (2-4 semaines)

v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=25
  • p=quarantine : Mettre en spam les emails non authentifiés
  • pct=25 : Appliquer à 25% des emails (test progressif)

Phase 3 : Quarantaine complète

v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=100

Phase 4 : Rejet (protection maximale)

v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; pct=100
  • p=reject : Rejeter complètement les emails non authentifiés
  • ruf=mailto:... : Recevoir les rapports forensiques détaillés

Paramètres DMARC expliqués

Paramètre Valeurs Description
v DMARC1 Version (obligatoire)
p none, quarantine, reject Politique pour le domaine
sp none, quarantine, reject Politique pour les sous-domaines
pct 0-100 Pourcentage d'emails à filtrer
rua mailto:[email protected] Adresse pour rapports agrégés
ruf mailto:[email protected] Adresse pour rapports forensiques
adkim r (relaxed), s (strict) Alignement DKIM
aspf r (relaxed), s (strict) Alignement SPF
fo 0, 1, d, s Options de rapport d'échec

Exemples de configurations DMARC

Cas d'usage Enregistrement DMARC
Débutant (surveillance) v=DMARC1; p=none; rua=mailto:[email protected]
Standard v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=100
Strict v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100
Complet avec sous-domaines v=DMARC1; p=reject; sp=quarantine; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1; pct=100

✅ Vérifier la Configuration

Méthode 1 : Email Deliverability cPanel

  1. Retournez dans EmailEmail Deliverability
  2. Vérifiez que le statut est Valid ✅ pour votre domaine

Méthode 2 : Outils en ligne

Outil URL Vérifie
MXToolbox mxtoolbox.com/SuperTool.aspx SPF, DKIM, DMARC
Mail Tester mail-tester.com Score global + authentification
DMARC Analyzer dmarcanalyzer.com/dmarc/dmarc-record-check DMARC
Google Admin Toolbox toolbox.googleapps.com/apps/checkmx MX, SPF, DKIM
DKIM Validator dkimvalidator.com DKIM
EasyDMARC easydmarc.com/tools SPF, DKIM, DMARC

Méthode 3 : Commandes de vérification

Vérifier SPF

# Linux/Mac
dig TXT votredomaine.com +short

# Windows
nslookup -type=TXT votredomaine.com

Résultat attendu :

"v=spf1 +a +mx ~all"

Vérifier DKIM

# Linux/Mac
dig TXT default._domainkey.votredomaine.com +short

# Windows
nslookup -type=TXT default._domainkey.votredomaine.com

Résultat attendu :

"v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEB..."

Vérifier DMARC

# Linux/Mac
dig TXT _dmarc.votredomaine.com +short

# Windows
nslookup -type=TXT _dmarc.votredomaine.com

Résultat attendu :

"v=DMARC1; p=quarantine; rua=mailto:[email protected]"

Méthode 4 : Envoyer un email de test

  1. Envoyez un email à [email protected]
  2. Vous recevrez un rapport détaillé avec les résultats SPF, DKIM et DMARC

Ou utilisez mail-tester.com :

  1. Allez sur mail-tester.com
  2. Copiez l'adresse email temporaire fournie
  3. Envoyez un email à cette adresse
  4. Consultez votre score et les détails d'authentification

📧 Configuration pour Services Externes

Google Workspace (Gmail professionnel)

SPF

v=spf1 include:_spf.google.com ~all

DKIM

  1. Dans la console Google Admin, allez dans ApplicationsGoogle WorkspaceGmailAuthentifier les emails
  2. Générez la clé DKIM
  3. Ajoutez l'enregistrement TXT fourni par Google

Microsoft 365 (Outlook professionnel)

SPF

v=spf1 include:spf.protection.outlook.com ~all

DKIM

  1. Dans le Centre d'administration Microsoft 365
  2. ParamètresDomaines → Sélectionnez votre domaine
  3. Copiez les enregistrements CNAME DKIM fournis

Services d'envoi d'emails

Service Include SPF Documentation DKIM
SendGrid include:sendgrid.net Panneau SendGrid
Mailchimp include:servers.mcsv.net Account → Settings → Verified domains
Sendinblue include:sendinblue.com Paramètres → Expéditeurs → Domaines
Mailjet include:spf.mailjet.com Paramètres compte → Domaines
Amazon SES include:amazonses.com Console AWS SES

Exemple : cPanel + Mailchimp combinés

v=spf1 +a +mx include:servers.mcsv.net ~all

🔧 Dépannage

SPF : "Too many DNS lookups"

Problème : SPF est limité à 10 lookups DNS maximum.

Solution :

  • Réduisez le nombre de include:
  • Utilisez des IP directes (ip4:) au lieu de include:
  • Utilisez un service de "SPF flattening"

SPF : "Multiple SPF records"

Problème : Vous avez plusieurs enregistrements SPF.

Solution : Fusionnez tous vos enregistrements en un seul :

Incorrect (2 enregistrements) :

v=spf1 +a +mx ~all
v=spf1 include:_spf.google.com ~all

Correct (1 seul enregistrement) :

v=spf1 +a +mx include:_spf.google.com ~all

DKIM : "No DKIM record found"

Cause Solution
Mauvais sélecteur Vérifiez le nom du sélecteur (default, google, etc.)
Propagation DNS Attendez 24-48h après création
Clé tronquée Vérifiez que la clé est complète
Mauvais domaine Vérifiez le format selecteur._domainkey.domaine.com

DKIM : Clé trop longue

Si votre clé DKIM dépasse 255 caractères, elle doit être divisée :

"v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA..." "...suite de la clé..."

Certains DNS gèrent cela automatiquement, d'autres nécessitent une division manuelle.

DMARC : "DMARC record not found"

Cause Solution
Nom incorrect Doit être exactement _dmarc.votredomaine.com
Propagation DNS Attendez quelques heures
Syntaxe incorrecte Vérifiez avec un validateur DMARC

Emails toujours en spam

Vérifiez dans l'ordre :

  1. ✅ SPF configuré et valide
  2. ✅ DKIM configuré et valide
  3. ✅ DMARC configuré
  4. ✅ PTR (Reverse DNS) configuré
  5. ✅ IP non blacklistée (vérifiez sur mxtoolbox.com/blacklists.aspx)
  6. ✅ Contenu de l'email (pas de mots spam, bon ratio texte/images)

📊 Lire les Rapports DMARC

Format des rapports

Les rapports DMARC sont envoyés en XML. Exemple simplifié :

<record>
  <row>
    <source_ip>123.456.789.0</source_ip>
    <count>10</count>
    <policy_evaluated>
      <disposition>none</disposition>
      <dkim>pass</dkim>
      <spf>pass</spf>
    </policy_evaluated>
  </row>
</record>

Services d'analyse DMARC

Les rapports XML sont difficiles à lire. Utilisez un service gratuit :

Service URL Fonctionnalités
DMARC Analyzer dmarcanalyzer.com Gratuit limité
Postmark DMARC dmarc.postmarkapp.com Gratuit
EasyDMARC easydmarc.com Gratuit limité
URIports uriports.com Gratuit
DMARCLY dmarcly.com Gratuit limité

⚠️ Bonnes Pratiques

À faire ✅

Pratique Raison
Commencer DMARC en mode p=none Observer avant de bloquer
Tester après chaque modification Éviter les interruptions
Surveiller les rapports DMARC Détecter les problèmes
Mettre à jour SPF si vous changez de service Maintenir la liste à jour
Utiliser ~all plutôt que -all au début Plus tolérant aux erreurs

À éviter ❌

Pratique Risque
Passer directement à p=reject Bloquer vos propres emails
Oublier d'inclure tous les services d'envoi Emails rejetés
Avoir plusieurs enregistrements SPF Configuration invalide
Ignorer les rapports DMARC Manquer des problèmes
Copier des configurations sans les adapter Valeurs incorrectes

📝 Récapitulatif

AUTHENTIFICATION EMAIL - CONFIGURATION CPANEL

┌─────────────────────────────────────────────────────────────┐
│                         SPF                                 │
├─────────────────────────────────────────────────────────────┤
│ Type: TXT                                                   │
│ Nom: votredomaine.com (ou @)                               │
│ Valeur: v=spf1 +a +mx ~all                                 │
│ → Autorise les serveurs à envoyer pour votre domaine       │
└─────────────────────────────────────────────────────────────┘

┌─────────────────────────────────────────────────────────────┐
│                         DKIM                                │
├─────────────────────────────────────────────────────────────┤
│ Type: TXT                                                   │
│ Nom: default._domainkey.votredomaine.com                   │
│ Valeur: v=DKIM1; k=rsa; p=VOTRE_CLE_PUBLIQUE               │
│ → Signe cryptographiquement chaque email                   │
└─────────────────────────────────────────────────────────────┘

┌─────────────────────────────────────────────────────────────┐
│                        DMARC                                │
├─────────────────────────────────────────────────────────────┤
│ Type: TXT                                                   │
│ Nom: _dmarc.votredomaine.com                               │
│ Valeur: v=DMARC1; p=none; rua=mailto:[email protected]     │
│ → Définit la politique si SPF/DKIM échoue                  │
└─────────────────────────────────────────────────────────────┘

CONFIGURATION AUTOMATIQUE (cPanel) :
1. Email → Email Deliverability
2. Cliquer sur "Repair" si problèmes détectés
3. Ajouter DMARC manuellement dans Zone Editor

PROGRESSION DMARC RECOMMANDÉE :
Phase 1: p=none (surveillance) → 2-4 semaines
Phase 2: p=quarantine; pct=25 → 2-4 semaines  
Phase 3: p=quarantine; pct=100 → 2-4 semaines
Phase 4: p=reject; pct=100 → Protection maximale

VÉRIFICATION :
├── cPanel Email Deliverability → Statut "Valid"
├── mail-tester.com → Score 10/10
├── mxtoolbox.com → Vérification complète
└── dig TXT votredomaine.com → Voir enregistrements
Retour à la documentation