Un client vous appelle, fâché : il a reçu un courriel qui semble venir de votre entreprise, avec votre nom et votre adresse, mais le message lui demande de payer une fausse facture. Vous n’avez jamais écrit ce courriel. Pourtant, aux yeux du destinataire, il vient bel et bien de vous. Ce genre d’usurpation est plus simple à réaliser qu’on le croit, et il vise les PME du Québec tous les jours.
La bonne nouvelle, c’est qu’il existe trois mécanismes gratuits et standards pour bloquer ce type de fraude et améliorer la livraison de vos courriels légitimes : SPF, DKIM et DMARC. Bien configurés, ils prouvent à Microsoft, Google et aux autres serveurs que les messages portant votre nom de domaine viennent vraiment de vous. Voici comment ils fonctionnent et comment les mettre en place pour votre entreprise en Mauricie.
Réponse rapide : SPF, DKIM et DMARC sont trois enregistrements DNS qui authentifient vos courriels. SPF dit quels serveurs ont le droit d’envoyer en votre nom, DKIM ajoute une signature numérique qui prouve que le message n’a pas été modifié, et DMARC indique aux destinataires quoi faire si la vérification échoue. Ensemble, ils bloquent l’usurpation de votre domaine et améliorent votre taux de livraison.
1. Pourquoi vos courriels finissent dans les indésirables (ou pire)
Le protocole de courriel a été conçu dans les années 1980, à une époque où la confiance régnait sur le réseau. Résultat : par défaut, n’importe qui peut envoyer un message en écrivant votre adresse dans le champ expéditeur. C’est exactement ce qu’exploitent les fraudeurs pour faire passer leurs arnaques pour des communications de votre PME.
Quand vous n’avez pas configuré SPF DKIM DMARC, deux problèmes surgissent. D’abord, vos vrais courriels risquent de tomber dans le dossier indésirable de vos clients, parce que les serveurs de réception n’ont aucun moyen de confirmer votre identité. Ensuite, votre domaine devient une cible facile pour l’hameçonnage : un pirate peut envoyer des centaines de faux messages en votre nom sans que personne ne s’en aperçoive.
- Vos factures et soumissions atterrissent dans les pourriels du client.
- Des escrocs envoient de fausses demandes de paiement en se faisant passer pour vous.
- Votre réputation d’expéditeur se dégrade auprès de Microsoft 365 et Gmail.
- Vos campagnes courriel légitimes sont bloquées ou marquées comme suspectes.
Pour une PME de Trois-Rivières qui dépend du courriel pour facturer et communiquer, ce sont des ventes perdues et une crédibilité abîmée. Un accompagnement en services informatiques gérés permet de fermer cette porte une fois pour toutes.

2. SPF : qui a le droit d’envoyer en votre nom
SPF, pour Sender Policy Framework, est le premier rempart. C’est une liste publiée dans votre DNS qui énumère tous les serveurs autorisés à envoyer des courriels avec votre nom de domaine. Quand un serveur reçoit un message, il consulte cette liste : si l’expéditeur ne figure pas dans les serveurs approuvés, le courriel est considéré comme suspect.
Pour une PME québécoise sur Microsoft 365, l’enregistrement SPF inclut les serveurs de Microsoft, plus tout service tiers qui envoie en votre nom : votre infolettre, votre système de facturation, votre CRM. C’est l’étape la plus courante à oublier, et celle qui cause le plus de courriels légitimes bloqués.
Ce que SPF ne fait pas
SPF vérifie l’enveloppe technique du message, pas le champ expéditeur visible. Un fraudeur peut donc parfois passer entre les mailles si vous vous fiez à SPF seul. C’est précisément pourquoi il faut le combiner avec DKIM et DMARC, et ne jamais s’arrêter au premier des trois.
3. DKIM : la signature qui prouve l’authenticité
DKIM, pour DomainKeys Identified Mail, ajoute une signature numérique à chaque courriel sortant. Cette signature est générée avec une clé privée que vous seul détenez, et le serveur de réception la vérifie grâce à une clé publique publiée dans votre DNS. Si le message a été modifié en cours de route, la signature ne correspond plus et le courriel est rejeté.
Concrètement, DKIM répond à deux questions : le message vient-il bien de votre domaine, et son contenu est-il intact ? C’est une preuve cryptographique difficile à falsifier. Dans Microsoft 365, DKIM se configure en quelques clics dans le centre d’administration, puis s’active en publiant deux enregistrements DNS.
- La signature voyage avec le courriel, invisible pour le destinataire.
- Elle confirme que le contenu n’a pas été altéré.
- Elle renforce votre réputation auprès des grands fournisseurs.
- Elle est indispensable pour que DMARC fonctionne correctement.

4. DMARC : la politique qui met de l’ordre
SPF et DKIM vérifient. DMARC, lui, décide. C’est la politique qui indique aux serveurs de réception quoi faire quand un courriel échoue aux vérifications : le laisser passer, le mettre en quarantaine ou le rejeter complètement. Sans DMARC, les deux premiers mécanismes existent, mais personne ne sait comment réagir à un échec.
DMARC apporte aussi un avantage précieux : les rapports. Chaque jour, vous recevez un résumé indiquant qui envoie des courriels en votre nom, combien passent les vérifications et combien échouent. Pour une PME, c’est une fenêtre directe sur les tentatives d’usurpation de votre domaine, et un outil pour repérer un service légitime mal configuré.
La bonne progression
On ne commence jamais par une politique stricte. La méthode recommandée est de débuter en mode observation, d’analyser les rapports pendant quelques semaines, puis de durcir progressivement vers la quarantaine et enfin le rejet. Passer trop vite au rejet risque de bloquer vos propres courriels légitimes. C’est ce travail d’ajustement qui demande un peu d’expérience.
5. Comment configurer SPF DKIM DMARC pour votre PME
La configuration repose entièrement sur votre DNS, là où vit votre nom de domaine. Voici la marche à suivre dans le bon ordre, pour une entreprise sur Microsoft 365 :
- Publiez votre enregistrement SPF en y listant Microsoft 365 et tous vos services d’envoi tiers.
- Activez DKIM dans le centre d’administration Microsoft 365, puis publiez les deux enregistrements DNS demandés.
- Créez un enregistrement DMARC en mode observation, avec une adresse pour recevoir les rapports.
- Analysez les rapports pendant deux à quatre semaines pour repérer tout service légitime non couvert.
- Durcissez la politique vers la quarantaine, puis vers le rejet une fois que tout est propre.
Chaque étape semble simple, mais une erreur de syntaxe dans un enregistrement DNS peut bloquer tous vos courriels du jour au lendemain. C’est pour ça que beaucoup de PME de la Mauricie préfèrent confier cette mise en place à une équipe spécialisée. Si vous voulez un coup de main, l’équipe d’OKTO peut tout vérifier pour vous depuis notre page contact.
6. Les erreurs fréquentes (et comment les éviter)
Au fil de nos interventions auprès des entreprises du Québec, certaines erreurs reviennent constamment. Les connaître vous évitera des semaines de courriels perdus.
- Deux enregistrements SPF : on ne doit en avoir qu’un seul. Deux SPF distincts invalident la vérification complètement.
- Oublier un service d’envoi : votre infolettre ou votre logiciel comptable envoie peut-être en votre nom sans figurer dans SPF.
- Passer au rejet trop vite : sans période d’observation, vous risquez de bloquer vos propres communications.
- Ignorer les rapports DMARC : ils contiennent des signaux d’usurpation qu’il faut surveiller régulièrement.
- Laisser DKIM inactif : beaucoup de PME publient SPF et DMARC, mais oublient d’activer DKIM dans Microsoft 365.
Bien réglée, cette trilogie protège votre marque, rassure vos clients et garde vos courriels hors des indésirables. Mal réglée, elle devient un casse-tête silencieux.
Foire aux questions
SPF, DKIM et DMARC sont-ils gratuits ?
Oui, les trois sont des standards ouverts et gratuits. Vous publiez simplement des enregistrements dans le DNS de votre nom de domaine. Le seul coût possible est l’accompagnement technique si vous préférez déléguer la configuration plutôt que de risquer une erreur.
Combien de temps prend la mise en place ?
La configuration technique de SPF DKIM DMARC prend généralement moins d’une heure. La propagation DNS peut demander jusqu’à 48 heures, et la phase d’observation de DMARC s’étale sur quelques semaines avant de durcir la politique en toute sécurité.
Que se passe-t-il si je ne configure rien ?
Vos courriels légitimes risquent davantage d’être marqués comme indésirables, et n’importe qui peut envoyer de fausses communications en votre nom. Pour une PME, c’est un risque réel d’arnaque visant vos clients et de perte de crédibilité.
Protégez le courriel de votre PME à Trois-Rivières et en Mauricie
Le courriel reste le canal numéro un de votre entreprise, et aussi la première porte d’entrée des fraudeurs. Mettre en place SPF, DKIM et DMARC, c’est fermer cette porte tout en améliorant la livraison de vos messages légitimes. Notre équipe accompagne les PME de Trois-Rivières et de toute la Mauricie dans cette démarche, du diagnostic à la surveillance continue. Découvrez nos services informatiques gérés ou écrivez-nous directement via notre page contact pour un examen complet de votre domaine.
