SPF, DKIM et DMARC : comment protéger le domaine email de votre PME belge
Votre PME envoie des factures, des devis et des communications par email chaque jour. Mais êtes-vous certain que ces emails partent bien de votre domaine — et pas d’un expéditeur qui l’usurpe à votre insu ?
L’usurpation de domaine email est l’une des techniques les plus utilisées dans les arnaques BEC (Business Email Compromise). Un cybercriminel envoie un email en se faisant passer pour vous, votre comptable ou votre fournisseur. Votre client croit recevoir un vrai message de votre entreprise et exécute un virement ou transmet des données sensibles.
Trois protocoles techniques permettent de bloquer ces attaques : SPF, DKIM et DMARC. Voici ce qu’ils font concrètement et comment les activer pour protéger le domaine email de votre PME en Belgique.
En résumé
- L’usurpation de domaine email expose vos clients et partenaires à des arnaques en votre nom
- SPF, DKIM et DMARC sont trois protocoles complémentaires qui bloquent ces attaques
- Ils se configurent au niveau de votre DNS, sans modifier votre logiciel de messagerie
- Polynome les configure dans le cadre de ses services de solutions internet et d’infogérance
- Un outil gratuit permet de vérifier votre configuration en 2 minutes
Qu’est-ce que l’usurpation de domaine email et pourquoi c’est dangereux ?
L’usurpation de domaine (ou « spoofing ») consiste à envoyer des emails en utilisant votre nom de domaine sans votre autorisation. Le destinataire voit s’afficher une adresse qui ressemble à la vôtre. Il pense donc recevoir un message légitime.
Pour une PME belge, les conséquences peuvent être graves. Car vos clients peuvent recevoir de fausses factures avec vos coordonnées bancaires remplacées par celles du fraudeur. Vos partenaires peuvent recevoir des demandes de virement urgentes qui semblent venir de vous. Et votre réputation est directement engagée si votre domaine est utilisé pour du spam ou du phishing à grande échelle.
C’est pourquoi configurer SPF, DKIM et DMARC est aussi important que d’installer un antivirus. Ces protocoles font partie des bonnes pratiques de cybersécurité de base pour toute PME.
Qu’est-ce que le protocole SPF et comment fonctionne-t-il ?
SPF (Sender Policy Framework) est un enregistrement DNS qui liste les serveurs autorisés à envoyer des emails depuis votre domaine. Ainsi, quand un serveur de messagerie reçoit un email prétendant venir de votre domaine, il vérifie cette liste. Si le serveur expéditeur n’y figure pas, l’email est signalé comme suspect ou rejeté.
En pratique, SPF est le premier filtre. Il empêche les serveurs non autorisés d’envoyer en votre nom. C’est donc la base de la protection de votre domaine email.
Qu’est-ce que le protocole DKIM et comment fonctionne-t-il ?
DKIM (DomainKeys Identified Mail) ajoute une signature cryptographique à chaque email que vous envoyez. Cette signature est vérifiable par le serveur destinataire grâce à une clé publique stockée dans votre DNS.
Concrètement, DKIM garantit deux choses. D’abord, que l’email provient bien d’un serveur autorisé par votre domaine. Ensuite, que le contenu de l’email n’a pas été modifié en transit. Car si un attaquant intercepte un email et modifie le numéro de compte bancaire, la signature DKIM ne correspond plus et l’email est rejeté.
Qu’est-ce que le protocole DMARC et pourquoi est-il indispensable ?
DMARC (Domain-based Message Authentication, Reporting & Conformance) est le protocole qui orchestre SPF et DKIM. Il définit ce que doit faire le serveur destinataire lorsqu’un email échoue aux vérifications SPF ou DKIM : l’ignorer, le placer en spam ou le rejeter complètement.
DMARC ajoute également un mécanisme de reporting. C’est pourquoi vous recevez des rapports sur les tentatives d’usurpation de votre domaine. Ainsi, vous savez si quelqu’un essaie d’envoyer des emails en se faisant passer pour vous — même si ces tentatives sont bloquées.
Sans DMARC, SPF et DKIM protègent partiellement. Avec DMARC, vous définissez une politique claire et vous êtes alerté en cas d’attaque.
SPF, DKIM et DMARC : complémentaires et indissociables
Ces trois protocoles fonctionnent en couches. Chacun couvre une faille que les autres ne couvrent pas seuls.
| Protocole | Ce qu’il vérifie | Ce qu’il bloque |
|---|---|---|
| SPF | Le serveur expéditeur est-il autorisé? | Envoi depuis un serveur non autorisé |
| DKIM | La signature de l’email est-elle valide? | Modification du contenu en transit |
| DMARC | Les deux vérifications sont-elles cohérentes ? | Usurpation complète du domaine + reporting |
C’est pourquoi configurer les trois est indispensable. Un seul protocole seul ne suffit pas à protéger efficacement votre domaine email.
Comment vérifier si votre domaine est correctement protégé ?
Plusieurs outils gratuits permettent de tester votre configuration en quelques secondes, sans compétences techniques.
MXToolbox (mxtoolbox.com) vérifie vos enregistrements SPF et DMARC et signale les erreurs de configuration.
Google Admin Toolbox (toolbox.googleapps.com) analyse la configuration complète de votre domaine et identifie les lacunes.
Mail-tester.com évalue la qualité de vos envois et détecte les problèmes d’authentification en analysant un email test.
Si ces outils révèlent des lacunes, contactez votre prestataire informatique. Car une mauvaise configuration SPF ou DMARC peut aussi faire atterrir vos propres emails en spam chez vos clients — ce qui est problématique pour votre activité quotidienne.
SPF, DKIM et DMARC font-ils partie d’une stratégie cybersécurité globale ?
Oui, et c’est précisément pourquoi Polynome les intègre dans son offre de cybersécurité pour les PME wallonnes.
La protection du domaine email s’inscrit dans le même périmètre que le Triple Bouclier que nous proposons : ESET Cloud Protect pour les postes de travail, WatchGuard Firebox pour le réseau, et Serenity Backup pour les données. SPF, DKIM et DMARC complètent ce dispositif en sécurisant spécifiquement vos communications par email.
Car une PME peut avoir le meilleur antivirus du marché et perdre des milliers d’euros à cause d’un email frauduleux qui semble venir de son propre domaine. C’est pourquoi la protection de votre identité numérique fait partie intégrante d’une cybersécurité bien construite.
WatchGuard, intégré dans notre Triple Bouclier, inclut également un filtrage des emails entrants qui bloque les tentatives de phishing avant qu’elles n’atteignent vos collaborateurs.
FAQ — Questions fréquentes sur la protection du domaine email
Il n’existe pas d’obligation légale spécifique en Belgique. En revanche, Google et Yahoo imposent ces protocoles aux expéditeurs en volume depuis 2024. Et surtout, leur absence expose directement votre entreprise et vos clients à des arnaques en votre nom. C’est donc une nécessité pratique, pas seulement réglementaire.
La configuration se fait au niveau de votre DNS, chez votre hébergeur ou registrar de domaine. C’est donc votre prestataire informatique qui s’en charge. Polynome configure aussi ces enregistrements dans le cadre de ses services de solutions internet et d’infogérance pour les PME en Wallonie et à Bruxelles.
Non directement. Ces protocoles protègent votre domaine sortant — ils empêchent alors qu’on usurpe votre identité. Pour filtrer les emails entrants malveillants, c’est WatchGuard qui joue donc ce rôle dans notre offre Triple Bouclier, via son module de filtrage des connexions réseau et email.
Pas nécessairement. L’usurpation de domaine peut se faire sans que vous en soyez averti — les emails frauduleux sont envoyés directement aux victimes, pas à vous. C’est pourquoi DMARC est précieux : il génère des rapports qui vous alertent même quand vous ne voyez rien.
Pour une PME avec un seul domaine et une configuration standard, la mise en place prend généralement moins d’une heure. La propagation DNS peut prendre jusqu’à 24 à 48 heures avant d’être effective globalement.
Indirectement oui. PEPPOL transite par un réseau sécurisé et signé, distinct de l’email classique. Mais les notifications, confirmations et échanges annexes à la facturation passent souvent par email. Une bonne configuration SPF, DKIM et DMARC protège donc aussi ces communications liées à votre facturation électronique.
Conclusion : protéger le domaine email de votre PME belge est une priorité cybersécurité
SPF, DKIM et DMARC ne sont pas des outils réservés aux grandes entreprises ou aux équipes IT spécialisées. Ce sont des protections de base que toute PME belge devrait activer, au même titre qu’un antivirus ou un pare-feu.
Leur configuration est rapide, leur coût est minime, et leur absence expose directement votre réputation et celle de vos clients à des arnaques en votre nom.
Polynome accompagne leur mise en place pour les PME et fiduciaires en Wallonie et à Bruxelles, dans le cadre de ses services de solutions internet et de cybersécurité. Contactez-nous pour un audit gratuit de la protection de votre domaine email.
📞 +32 (0)81 84 90 66 — du lundi au vendredi, 9h à 17h 🌐 polynome.be/contact
