Quand un destinataire voit un message signé de votre domaine, il suppose que vous en êtes l’expéditeur réel, sans méfiance. Sans SPF, DKIM et DMARC, des tiers peuvent usurper votre adresse sans compromettre votre boîte mail.
Ce guide pratique s’adresse aux administrateurs et responsables emailing qui utilisent Outlook et Microsoft 365. La suite montre précisément la configuration DNS et les étapes de vérification, enchaînant vers « A retenir : ».
A retenir :
- SPF, DKIM, DMARC obligatoires pour la délivrabilité
- Commencer en p=none pour collecter les rapports
- Éviter plus de dix lookups SPF
- Privilégier DKIM 2048 bits pour la rotation
Inventaire des sources d’envoi pour Outlook et Microsoft 365
Après les points clés, commencez par recenser chaque service qui envoie des emails pour votre domaine. Ce travail évite les blocages après le passage à une politique stricte.
Identifier les services internes et externes
Cette étape vise à lister les fournisseurs comme Microsoft 365, solutions marketing et transactionnelles. Demandez à chaque outil la valeur include: à insérer dans votre DNS.
Selon Radicati Group, le volume mondial de phishing reste très élevé, ce qui rend cette phase critique pour la sécurité. Une erreur ici entraîne des faux positifs massifs.
Intégrer ensuite chaque valeur dans un seul enregistrement SPF racine, en évitant la multiplication des TXT. Cette consolidation réduit les erreurs et la surcharge de lookups.
Avant de publier, testez en local avec dig et un outil en ligne pour vérifier la syntaxe et le nombre de lookups. Ce contrôle prépare le passage à la configuration SPF.
Catégorie
Exemples
SPF include
Messagerie principale
Google Workspace
include:_spf.google.com
Messagerie principale
Microsoft 365
include:spf.protection.outlook.com
Marketing
Brevo
include:spf.brevo.com
Transactionnel
SendGrid
include:sendgrid.net
« J’ai perdu des jours avant de trouver un service oublié qui cassait notre SPF avant p=reject »
Alice L.
Ce repérage alimente le SPF et la mise en place de DKIM pour chaque service. Le bon inventaire facilite ensuite la rédaction d’un DMARC progressif vers p=reject.
Configurer SPF et éviter les erreurs courantes pour Microsoft 365
Enchaînant l’inventaire, la construction du record SPF suit des règles strictes et techniques. Un enregistrement unique à la racine doit contenir toutes les autorisations d’envoi.
Construire le record SPF correct
Commencez par v=spf1 puis ajoutez les include: fournis par vos services et terminez par -all ou ~all. En 2026, le meilleur choix initial reste ~all pour limiter les risques.
Selon Agari, la majorité des domaines d’entreprises françaises n’avaient pas de DMARC actif, ce qui rend le SPF encore plus crucial pour commencer. Vérifiez le nombre de lookups.
Publiez le TXT dans l’interface de votre registrar en suivant la procédure spécifique d’OVH, Cloudflare ou Google Domains. Une propagation DNS peut prendre quelques heures.
Erreur fréquente : publier plusieurs records SPF distincts. Un seul TXT doit contenir tout le contenu v=spf1 et ses includes pour être valide.
Expression des actions : vérifiez la consommation DNS pour éviter PermError et préférez ip4: directs si vous approchez la limite des lookups. Ce soin prépare DKIM ensuite.
SPF checklist :
- Un seul enregistrement TXT à la racine
- Compter les lookups en amont
- Utiliser ip4: si nécessaire
- Commencer en ~all puis durcir
« Après ajout des includes pour tous nos services, nos envois marketing sont redevenus fiables »
Marc D.
Activer DKIM et DMARC pour Outlook et Microsoft 365
Suite à la mise en place du SPF, activez DKIM pour assurer l’intégrité des messages et configurez DMARC pour définir la politique. Cette combinaison renforce l’authentification email.
Déployer DKIM sur Microsoft 365 et fournisseurs
DKIM demande une clé publique en DNS et la clé privée est gérée par l’émetteur. Pour Microsoft 365, publiez deux CNAME fournis par la console avant l’activation.
Selon Proofpoint, en 2025 la majorité des attaques échouaient quand DKIM et DMARC étaient correctement appliqués, d’où l’importance de clés 2048 bits. Planifiez une rotation régulière.
Guide rapide : générez la paire, publiez le TXT ou les CNAME, attendez la réplication et activez la signature côté fournisseur. Contrôlez avec l’option « afficher l’original » dans Gmail.
Définir et monter la politique DMARC
Débutez avec p=none et rua pour collecter les rapports, puis évoluez progressivement vers p=quarantine puis p=reject. L’enchaînement progressif limite les blocages accidentels.
Tableau des politiques DMARC : durée et recommandations pour la montée en puissance, utile pour les équipes techniques et marketing avant enforcement.
Politique
Effet
Recommandation durée
p=none
Monitoring sans blocage
4 à 6 semaines
p=quarantine
Mise en spam partielle
2 à 4 semaines
p=reject
Rejet des messages non conformes
Objectif final après vérification
pct
Pourcentage d’application
Monter progressivement
« Notre bascule progressive vers p=reject a résolu plusieurs cas d’usurpation »
Sophie P.
Pour vérifier, envoyez des tests vers Gmail et inspectez spf=pass, dkim=pass, dmarc=pass dans l’en-tête. Les rapports DMARC fournissent la visibilité nécessaire pour durcir la politique.
« Un audit initial a identifié trois services oubliés qui causaient nos échecs DMARC »
Paul N.
Source : Radicati Group, 2025 ; Agari, 2024 ; Proofpoint, 2025.