Sécurité du courriel — SPF, DKIM, DMARC

SPF, DKIM, DMARC en langage clair —
sécuriser le courriel d'une PME québécoise

Le courriel reste le vecteur d'attaque numéro un pour les PME — et l'usurpation de domaine reste la menace la plus courante. Trois protocoles d'authentification (SPF, DKIM, DMARC) protègent une organisation contre l'usurpation de son nom de domaine et garantissent que les messages légitimes arrivent à destination. Depuis février 2024, Google et Yahoo exigent ces protocoles pour les expéditeurs de masse — ce qui en fait désormais un standard de fait pour toutes les PME, peu importe le volume.

Contenu informatif. Ne constitue pas un avis juridique — pour des conseils personnalisés, consultez un juriste qualifié.

Comprendre SPF, DKIM, DMARC — guide pratique pour PME québécoises

Configurer ces trois protocoles est l'un des gestes de cybersécurité les plus rentables pour une PME : faible effort technique, forte protection contre l'usurpation, garantie que les courriels légitimes ne tombent pas dans les spams. C'est aussi devenu obligatoire pour quiconque envoie des courriels en volume.

Préalable conseillé : ce guide suppose que votre organisation possède un nom de domaine (par exemple votreentreprise.ca) et y associe ses adresses courriel professionnelles. Si vous utilisez encore des adresses génériques de fournisseur (gmail.com, hotmail.com), commencez par migrer vers un domaine professionnel — c'est le préalable à toute sécurité courriel.

Pourquoi le courriel est un vecteur de risque majeur

Constat : les attaques par courriel (phishing, usurpation de domaine, fraude au président) restent la première cause d'incidents de sécurité observés dans les PME. La plupart de ces attaques exploitent une absence d'authentification du courriel — situation qui était la norme jusqu'aux années 2020 et qui devient progressivement inacceptable.

Sans authentification, n'importe qui peut envoyer un courriel apparaissant comme provenant de votre domaine. Un fraudeur peut écrire à vos clients en se faisant passer pour vous, à vos employés en se faisant passer pour la direction, à vos fournisseurs en se faisant passer pour le service comptable. Le destinataire voit le bon domaine dans le « De: » et n'a aucun moyen de vérifier la légitimité.

Trois conséquences concrètes pour une PME québécoise :

  • Phishing visant vos clients ou partenaires. Un courriel apparemment de votre entreprise demandant un paiement urgent vers un nouveau compte bancaire. Le préjudice est partagé entre votre client (qui paie le mauvais compte) et votre marque (qui en sort entachée).
  • Fraude au président interne. Un employé reçoit un courriel apparemment du dirigeant demandant un transfert urgent. Sans authentification, rien ne distingue le vrai courriel du faux.
  • Mise en quarantaine des courriels légitimes. Sans configuration correcte, vos propres courriels (factures, soumissions, communications clients) peuvent être classés en spam par les destinataires. Côté image, c'est dévastateur — côté affaires, ça fait perdre des contrats.

Les trois protocoles d'authentification du courriel (SPF, DKIM, DMARC) répondent ensemble à ces risques. Aucun seul ne suffit — c'est leur combinaison qui ferme les angles d'attaque.

À retenir

L'authentification du courriel n'est pas une option avancée — c'est le minimum standard. Sans SPF + DKIM + DMARC, votre domaine est exposé à l'usurpation et vos courriels légitimes risquent les spams. Le geste est devenu aussi essentiel que d'avoir HTTPS sur son site.

SPF — Sender Policy Framework

Définition : Le SPF (Sender Policy Framework, RFC 7208) est un enregistrement DNS de type TXT qui liste les serveurs autorisés à envoyer des courriels au nom de votre domaine. Quand un destinataire reçoit un courriel prétendant venir de votre domaine, il consulte votre enregistrement SPF pour vérifier si l'IP émettrice est autorisée.

Ce que SPF couvre : l'usurpation par envoi depuis des serveurs non autorisés. Si quelqu'un tente d'envoyer un courriel apparaissant comme venant de votreentreprise.ca depuis un serveur quelconque, et que cette IP n'est pas dans votre SPF, le destinataire peut le rejeter.

Ce que SPF ne couvre pas : les modifications du contenu du message en route, et l'usurpation à travers une plateforme légitime mais non configurée. SPF protège l'enveloppe, pas le contenu.

Format simplifié d'un enregistrement SPF :

v=spf1 include:_spf.google.com include:_spf.mailservice.ca ~all

Lecture : autoriser les serveurs Google Workspace + ceux d'un fournisseur courriel hypothétique, et marquer comme suspect (~all) tout autre envoi. Le « ~all » est plus prudent que « -all » (rejeter tout) pendant la phase de mise en place.

Pour une PME québécoise :

  • Si vous utilisez Google Workspace : include:_spf.google.com
  • Si vous utilisez Microsoft 365 : include:spf.protection.outlook.com
  • Si vous utilisez WHC ou un autre hébergeur québécois : ils publient leur instruction SPF dans leur documentation.
  • Si vous utilisez un service d'envoi en masse (Mailchimp, Constant Contact, ActiveCampaign) : il faut aussi inclure leur SPF.

Limite technique importante : SPF a une limite de 10 « DNS lookups » dans son évaluation. Empiler trop de fournisseurs peut casser la résolution. Pour une PME qui combine Microsoft 365, un service de courriel marketing et un hébergeur, il faut parfois consolider ou utiliser un service d'agrégation SPF.

À retenir

SPF répond à la question : « cette IP est-elle autorisée à envoyer pour ce domaine? ». C'est la fondation. Sans SPF correct, ni DKIM ni DMARC ne peuvent fonctionner pleinement.

DKIM — DomainKeys Identified Mail

Définition : Le DKIM (DomainKeys Identified Mail, RFC 6376) ajoute une signature cryptographique dans l'en-tête du courriel. La signature est générée avec une clé privée détenue par votre fournisseur de courriel ; le destinataire la vérifie avec la clé publique publiée dans le DNS de votre domaine.

Ce que DKIM couvre :

  • Authentification du domaine — la signature prouve que le courriel a bien été émis par un système autorisé sur votre domaine.
  • Intégrité du contenu — la signature couvre les en-têtes critiques et le corps du message. Si le contenu est altéré en route, la vérification échoue.

Avantage par rapport à SPF : DKIM survit aux transferts de courriel (forwarding). Si quelqu'un transfère un de vos courriels, SPF peut échouer (l'IP du serveur de transfert n'est pas dans votre SPF), mais DKIM continue à fonctionner si la signature est intacte.

Configuration : tous les fournisseurs majeurs (Google Workspace, Microsoft 365, fournisseurs d'envoi en masse) publient une procédure DKIM. Typiquement, on génère une paire de clés dans la console d'administration, on publie la clé publique dans le DNS comme enregistrement TXT, on active la signature côté serveur. Une fois configurée, la signature est ajoutée automatiquement à chaque courriel sortant.

Pour une PME québécoise : activer DKIM est devenu standard. Toutes les plateformes majeures le supportent et la configuration prend typiquement 15 à 30 minutes par domaine.

À retenir

DKIM ajoute une signature cryptographique. Combiné avec SPF, il rend l'usurpation très difficile. Sans DKIM, votre domaine est partiellement exposé même si SPF est correct.

DMARC — la politique qui aligne SPF et DKIM

Définition : Le DMARC (Domain-based Message Authentication, Reporting and Conformance, RFC 7489) est la politique qui dit aux destinataires quoi faire en cas d'échec d'authentification (SPF ou DKIM), et qui demande des rapports sur les courriels envoyés au nom de votre domaine. Il aligne SPF et DKIM avec le domaine visible (RFC5322.From) — celui que voit l'utilisateur.

Trois politiques DMARC progressives :

  • p=none — surveillance seulement. Les courriels qui échouent SPF/DKIM ne sont pas rejetés ; vous recevez des rapports pour analyser. C'est le point de départ.
  • p=quarantine — les courriels qui échouent sont marqués comme spam. C'est le palier intermédiaire.
  • p=reject — les courriels qui échouent sont rejetés. C'est la posture finale qui empêche complètement l'usurpation.

Format simplifié d'un enregistrement DMARC :

v=DMARC1; p=none; rua=mailto:dmarc@votreentreprise.ca; ruf=mailto:dmarc@votreentreprise.ca; pct=100; aspf=r; adkim=r

Lecture : politique « surveillance » (p=none), envoyer rapports agrégés et forensiques à dmarc@votreentreprise.ca, appliquer à 100 % des courriels, alignement SPF et DKIM en mode relâché (r) plutôt que strict (s).

Démarche progressive recommandée :

  1. Démarrer à p=none avec rapports activés. Pendant 4 à 8 semaines, vous recevez des rapports qui révèlent qui envoie au nom de votre domaine — vos serveurs légitimes, vos services tiers, et éventuellement des fraudeurs.
  2. Analyser et corriger. Pour chaque source légitime non couverte par SPF ou DKIM, ajouter la configuration manquante.
  3. Resserrer à p=quarantine. Une fois les flux légitimes identifiés et configurés, passer en mode quarantaine pour bloquer les usurpations.
  4. Resserrer à p=reject. Quand l'environnement est stable et propre, passer au rejet complet.

Cette progression évite de bloquer accidentellement vos propres courriels légitimes. Elle prend typiquement 3 à 6 mois pour une PME, plus long si l'organisation utilise beaucoup de services tiers.

À retenir

DMARC est le chef d'orchestre. SPF et DKIM sont les instruments. Sans DMARC, les destinataires ne savent pas quoi faire d'un courriel qui échoue à l'authentification — la protection est partielle. Avec DMARC en p=reject, l'usurpation devient pratiquement impossible.

Les exigences Google et Yahoo de février 2024

Tournant majeur : en février 2024, Google et Yahoo ont resserré leurs exigences pour les expéditeurs de masse. Sans configuration correcte SPF + DKIM + DMARC, les courriels sont rejetés ou classés en spam. C'est le moment où l'authentification du courriel est devenue une obligation pratique pour beaucoup d'organisations.

Définition de bulk sender selon Google :

  • Un expéditeur envoyant 5 000 messages ou plus par 24 heures vers des comptes Gmail personnels.
  • Yahoo n'a pas annoncé de seuil chiffré, mais utilise une définition de « volume significatif » avec des critères similaires.

Exigences pour les bulk senders :

  1. SPF doit être configuré et passer.
  2. DKIM doit être configuré et passer.
  3. DMARC doit être publié avec une politique p=none minimum (peut être quarantine ou reject).
  4. Au moins un de SPF ou DKIM doit être aligné avec le domaine RFC5322.From (le domaine visible par l'utilisateur).
  5. Lien de désabonnement en un clic pour les communications marketing.
  6. Taux de plaintes spam maintenu sous un certain seuil (typiquement < 0,3 %).

Conséquences si non conforme :

  • Rejet des courriels — taux de livraison qui chute.
  • Marquage automatique en spam.
  • Réputation du domaine affectée durablement.

Pour les expéditeurs en dessous du seuil bulk :

Les exigences ne sont pas formellement obligatoires, mais SPF et DKIM corrects sont déjà fortement recommandés. Sans eux, les courriels arrivent souvent en spam, et le domaine est exposé au phishing par usurpation. La majorité des PME québécoises (qui n'envoient pas 5 000 courriels par jour à Gmail) bénéficient quand même fortement de la mise en place. Le standard de fait s'aligne désormais sur les exigences bulk, peu importe le volume.

À retenir

Les exigences Google/Yahoo de février 2024 ont fait basculer SPF + DKIM + DMARC du « recommandé » au « obligatoire en pratique ». Une PME québécoise sans cette configuration risque de voir ses courriels rejetés et son domaine vulnérable à l'usurpation.

Articulation avec la Loi 25 et erreurs fréquentes

Lien Loi 25 : SPF, DKIM et DMARC contribuent directement aux mesures de sécurité raisonnables exigées par l'article 10 de la Loi 25. Le courriel est l'un des canaux de communication des renseignements personnels — sa sécurisation est une obligation implicite. Une PME qui subit un incident de phishing par usurpation sans avoir mis en place ces protocoles s'expose à un constat de manquement.

Articulation Loi 25 ↔ sécurité courriel :

  • Loi 25 article 10 (mesures de sécurité raisonnables) → SPF + DKIM + DMARC font partie des mesures attendues pour le courriel.
  • Loi 25 obligations de notification d'incident (72 h) → un incident de phishing affectant des renseignements personnels déclenche les obligations de notification, peu importe le vecteur.
  • Loi 25 article 18.3 (DPA) → si vous utilisez un service d'envoi en masse, leur DPA doit couvrir les renseignements personnels traités via courriel.

Erreurs fréquentes en PME :

  • SPF mal configuré. Plusieurs services empilés sans consolidation, dépassement de la limite de 10 DNS lookups, ou utilisation de +all qui rend SPF inutile (« autoriser tout »).
  • DKIM activé mais pas vérifié. La clé publique n'est pas correctement publiée dans le DNS, ou la configuration côté fournisseur n'est pas active. Tester avec un outil de diagnostic en ligne.
  • DMARC en p=none indéfiniment. La politique surveillance est utile au début, mais sans progression vers quarantine puis reject, l'organisation reste exposée à l'usurpation.
  • Sous-domaines non couverts. Configurer SPF/DKIM/DMARC sur le domaine principal mais oublier les sous-domaines (newsletter.votreentreprise.ca). DMARC peut couvrir les sous-domaines avec sp=.
  • Services tiers non déclarés. Mailchimp, ActiveCampaign, Stripe Receipts, etc. envoient au nom de votre domaine mais ne sont pas inclus dans le SPF. Ils échouent l'authentification et tombent en spam.
  • Pas de surveillance des rapports DMARC. Les rapports révèlent qui usurpe votre domaine, mais sans personne pour les lire, l'information se perd.
  • Confondre courriel d'employé et courriel marketing. Les deux passent par votre domaine mais ont souvent des configurations différentes. Les deux doivent être couverts.

L'erreur la plus structurelle : croire que SPF + DKIM + DMARC est une configuration « une fois pour toutes ». Les services évoluent, de nouveaux fournisseurs sont adoptés, des sous-domaines sont ajoutés. Une revue annuelle de la configuration courriel est devenue la bonne pratique.

À retenir

SPF + DKIM + DMARC est l'un des meilleurs ratios effort/protection en cybersécurité PME. Mise en place initiale en quelques heures, durcissement progressif sur 3 à 6 mois, revue annuelle. Pour une PME québécoise active aujourd'hui, ne pas avoir cette configuration en 2026 est devenu un signal négatif clair.

En résumé

SPF (Sender Policy Framework, RFC 7208), DKIM (DomainKeys Identified Mail, RFC 6376) et DMARC (Domain-based Message Authentication, Reporting and Conformance, RFC 7489) sont les trois protocoles d'authentification du courriel. SPF liste les serveurs autorisés à envoyer pour un domaine. DKIM ajoute une signature cryptographique au message. DMARC aligne SPF et DKIM avec le domaine visible et publie la politique à appliquer en cas d'échec (p=none / quarantine / reject). Depuis février 2024, Google et Yahoo exigent ces trois protocoles pour les expéditeurs envoyant 5 000 messages ou plus par 24 heures vers leurs comptes personnels — ce qui en fait désormais un standard de fait pour toutes les PME. Les protocoles contribuent directement aux mesures de sécurité raisonnables exigées par l'article 10 de la Loi 25.

Réponse rapide

Faut-il configurer les trois? Oui. Aucun seul ne suffit. SPF couvre l'IP, DKIM couvre la signature, DMARC aligne et applique la politique. Les trois ensemble ferment les angles d'usurpation.

Combien de temps pour atteindre p=reject? Typiquement 3 à 6 mois en démarche progressive (none → quarantine → reject). Plus long si beaucoup de services tiers à intégrer dans la configuration.

Vérifier la configuration SPF/DKIM/DMARC de votre domaine?

Pour les organisations qui veulent valider que leur configuration courriel passe les exigences Google/Yahoo et protège leur domaine contre l'usurpation, un contrôle qualité numérique inclut systématiquement la vérification SPF/DKIM/DMARC. Réservez un appel d'orientation gratuit pour discuter de votre situation.

Planifier un appel d'orientation →