Configuration SPF, DKIM et DMARC pour un domaine de sécurité Google Workspace

Un site d’entreprise peut sembler professionnel alors que son domaine e-mail reste facile à usurper. SPF, DKIM et DMARC ferment cet écart en donnant aux destinataires des preuves sur les expéditeurs autorisés et le traitement attendu des échecs.

Pour une entreprise orientée sécurité, ce n’est pas une finition optionnelle. C’est une partie de la surface publique de confiance, surtout lorsque le site publie des boîtes contact, support, security, privacy, legal et sales.

• Créez d’abord les boîtes opérationnelles, y compris une boîte de rapports DMARC comme dmarc@example.com.
• Publiez SPF pour l’expéditeur actif, par exemple Google Workspace.
• Activez la signature DKIM Google Workspace et publiez l’enregistrement TXT DKIM.
• Démarrez DMARC avec p=none et les rapports activés afin d’observer les échecs avant application stricte.
• Passez à quarantine ou reject seulement après alignement des expéditeurs légitimes.

La vérification doit se faire à la fois dans le DNS et dans les en-têtes de vrais messages. Le DNS confirme l’existence des enregistrements. Les en-têtes confirment que le courrier envoyé par le chemin de production passe réellement l’alignement SPF, DKIM et DMARC.

• SPF ne contient que les services qui envoient réellement pour le domaine.
• DKIM utilise un selector actuel et affiche pass dans les messages reçus.
• Les rapports DMARC arrivent dans une boîte surveillée.
• La politique est documentée pour éviter qu’un futur outil e-mail ne casse la délivrabilité.

Lorsque les rapports sont propres, durcissez DMARC progressivement. L’état final le plus fort est reject, mais le bon calendrier dépend des newsletters, e-mails transactionnels, outils CRM ou outils de support qui peuvent aussi envoyer depuis le domaine.