Retour au blog
SPFDKIMDMARCPMESMEFree Check

Vérifier SPF, DKIM et DMARC gratuitement : guide étape par étape

SC
ExpertCyberScore
2 juillet 2026·7 min de lecture

Pourquoi vérifier SPF, DKIM et DMARC en priorité

Avant d'investir dans des solutions de cybersécurité onéreuses, la première étape pour toute PME est de vérifier gratuitement sa configuration SPF, DKIM et DMARC. Ces trois enregistrements DNS sont la fondation de la sécurité email — et leur absence ou mauvaise configuration expose votre domaine à l'usurpation, sans coût pour l'attaquant.

La bonne nouvelle : il existe des outils gratuits efficaces pour effectuer cette vérification en quelques minutes.

Comprendre les trois enregistrements avant de les vérifier

SPF : la liste blanche de vos expéditeurs

Le Sender Policy Framework est un enregistrement DNS de type TXT qui liste explicitement les serveurs autorisés à envoyer des emails pour votre domaine. Voici à quoi ressemble un enregistrement SPF typique :

v=spf1 include:_spf.google.com include:sendgrid.net -all

Éléments à vérifier :

  • Le préfixe `v=spf1` est présent
  • Tous vos services d'envoi sont listés (`include:` ou `ip4:`)
  • Le suffixe est `-all` (hardfail) et non `~all` (softfail) ou `?all` (neutre)
  • Il n'y a qu'un seul enregistrement SPF par domaine (les doublons cassent la validation)

DKIM : la signature numérique de vos emails

Le DomainKeys Identified Mail ajoute une signature cryptographique invisible dans les en-têtes de chaque email. Le serveur destinataire peut vérifier cette signature grâce à une clé publique publiée dans votre DNS.

Un enregistrement DKIM ressemble à :

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQ...

Ce que vous devez vérifier :

  • La clé publique est publiée dans votre DNS (sous `selecteur._domainkey.votredomaine.fr`)
  • La longueur de clé est d'au moins 2048 bits (les clés RSA 1024 bits sont dépréciées)
  • Le sélecteur utilisé correspond bien à celui configuré dans votre fournisseur email

DMARC : la politique qui gouverne les deux autres

Le Domain-based Message Authentication, Reporting and Conformance s'appuie sur SPF et DKIM pour définir ce qui se passe quand un email échoue aux vérifications :

v=DMARC1; p=reject; rua=mailto:dmarc@votredomaine.fr; pct=100

Points essentiels :

  • La politique `p=` est idéalement `reject` ou au minimum `quarantine` (pas `none`)
  • L'adresse `rua=` reçoit les rapports agrégés quotidiens
  • `pct=100` applique la politique à 100 % des emails

Comment vérifier SPF, DKIM et DMARC gratuitement

Option 1 : ExpertCyberScore (recommandé)

La méthode la plus simple : entrez votre adresse email professionnelle sur ExpertCyberScore. En 60 secondes, l'outil vérifie automatiquement :

  • La présence et la validité de votre SPF
  • La publication et la force de votre clé DKIM
  • La politique et la configuration de votre DMARC
  • Votre certificat SSL/TLS
  • Vos ports ouverts
  • La santé globale de vos DNS

Vous recevez un score chiffré, une note littérale (A à F), et des recommandations précises pour chaque point.

Option 2 : La commande dig (vérification manuelle)

Pour vérifier directement depuis un terminal :

SPF :

dig TXT votredomaine.fr +short | grep "v=spf1"

DMARC :

dig TXT _dmarc.votredomaine.fr +short

DKIM (remplacez "google" par le sélecteur de votre fournisseur) :

dig TXT google._domainkey.votredomaine.fr +short

Si la commande renvoie un résultat vide, l'enregistrement est absent ou mal configuré.

Les problèmes les plus courants et comment les corriger

Problème 1 : SPF absent

Diagnostic : La commande dig ne renvoie rien pour votre domaine.

Correction : Créez un enregistrement TXT chez votre registraire de domaine. Si vous utilisez Google Workspace :

v=spf1 include:_spf.google.com -all

Problème 2 : Plusieurs enregistrements SPF

Diagnostic : dig renvoie deux lignes commençant par v=spf1.

Correction : Les multiples enregistrements SPF violent le RFC et cassent la validation. Fusionnez-les en un seul enregistrement en combinant les include: sur une seule ligne.

Problème 3 : DMARC en `p=none`

Diagnostic : Votre enregistrement DMARC existe mais contient p=none.

Correction : Après avoir confirmé que vos emails légitimes passent bien SPF et DKIM (visible dans les rapports DMARC), passez à p=quarantine puis p=reject.

Problème 4 : DKIM introuvable

Diagnostic : La commande dig ne retourne rien pour le sélecteur DKIM.

Correction : Dans la console d'administration de votre fournisseur email (Google Admin → Apps → Gmail → Authenticate email), générez une nouvelle paire de clés, puis publiez la clé publique dans votre DNS.

La fréquence idéale de vérification

Un audit SPF/DKIM/DMARC n'est pas une opération ponctuelle. Planifiez des vérifications :

  • À chaque ajout d'un outil d'envoi (CRM, plateforme emailing, etc.)
  • Trimestriellement pour détecter les dérives
  • Après tout incident signalé par un client ou partenaire

ExpertCyberScore permet de relancer un scan en un clic, sans ré-enregistrement.

Vérifiez votre configuration maintenant

Ne laissez pas votre domaine exposé. Un test gratuit de 60 secondes vous donne une image complète de votre configuration SPF, DKIM et DMARC — avec exactement quoi corriger et comment.

Vérifiez gratuitement votre SPF, DKIM et DMARC maintenant sur ExpertCyberScore. Sans inscription, résultats instantanés.

Testez votre domaine maintenant

Vérifiez votre configuration en 60 secondes — gratuitement.

Scanner mon domaine