Comprendre les Enregistrements TXT : SPF, DKIM et DMARC

Par Nathan Melki — dimanche 25 janvier 2026

Introduction aux Enregistrements TXT

Les enregistrements TXT dans le Domain Name System (DNS) jouent un rôle essentiel dans la gestion des communications électroniques, notamment en matière de sécurité des emails. Ils permettent d'associer des informations textuelles aux noms de domaine, ce qui est crucial pour l'authentification des messages. Dans cet article, nous explorerons en détail trois des protocoles les plus courants utilisant des enregistrements TXT : SPF, DKIM et DMARC. Ces mécanismes sont devenus des standards pour la protection des emails contre le spam et les usurpations d'identité.

Qu'est-ce que SPF ?

SPF, ou Sender Policy Framework, est un mécanisme qui permet aux propriétaires de domaine de spécifier les adresses IP autorisées à envoyer des emails en leur nom. En configurant un enregistrement SPF, un domaine peut indiquer aux serveurs de réception quels serveurs sont légitimes pour envoyer des messages, réduisant ainsi le risque de spam et de phishing.

Implémentation de SPF

Pour mettre en place un enregistrement SPF, il est nécessaire de créer un enregistrement TXT dans la zone DNS du domaine. Cet enregistrement doit contenir une déclaration qui liste les adresses IP ou les noms d'hôtes autorisés à envoyer des emails. Par exemple :

v=spf1 include:_spf.example.com -all

Dans cet exemple, le préfixe v=spf1 indique la version de SPF, include:_spf.example.com désigne un enregistrement SPF d'un autre domaine à inclure, et -all signifie que toutes les autres adresses non spécifiées sont interdites.

Pièges courants avec SPF

• Limite de 10 requêtes DNS : Les enregistrements SPF ne peuvent pas dépasser 10 requêtes DNS lors de leur évaluation, ce qui peut poser problème si des inclusions multiples sont utilisées.
• Surcharge d'enregistrements : Trop d'enregistrements SPF peuvent engendrer des conflits et entraîner des erreurs lors de l'authentification des emails.
• Invalidité des enregistrements : Un enregistrement mal formé peut empêcher la livraison des emails, il est donc crucial de vérifier sa syntaxe.

Qu'est-ce que DKIM ?

DKIM, ou DomainKeys Identified Mail, est un autre mécanisme qui permet d'ajouter une signature numérique aux emails. Cela permet au destinataire de vérifier que le message n'a pas été altéré durant son transit et qu'il provient effectivement du domaine revendiqué.

Implémentation de DKIM

Pour activer DKIM, le propriétaire du domaine doit générer une paire de clés cryptographiques : une clé privée, qui est utilisée pour signer les emails, et une clé publique, qui est publiée dans le DNS sous forme d'enregistrement TXT. Par exemple :

default._domainkey.example.com IN TXT \"v=DKIM1; k=rsa; p=MIGfMA0G...\"

Dans cet enregistrement, v=DKIM1 indique la version de DKIM, k=rsa spécifie le type de clé, et p=MIGfMA0G... contient la clé publique.

Pièges courants avec DKIM

• Configuration incorrecte : Une clé publique mal configurée ou absente peut empêcher l'authentification des emails.
• Changements de clés : Si la clé privée est compromise, il est essentiel de générer une nouvelle paire de clés et de mettre à jour l'enregistrement TXT.
• Sous-domaines non pris en charge : Par défaut, DKIM ne fonctionne pas pour les sous-domaines, ce qui nécessite une configuration supplémentaire si nécessaire.

Qu'est-ce que DMARC ?

DMARC, ou Domain-based Message Authentication, Reporting & Conformance, est un protocole qui s'appuie sur SPF et DKIM pour fournir une méthode de validation des emails. Il permet aux propriétaires de domaine de contrôler la manière dont les emails non authentifiés doivent être traités par les serveurs de réception.

Implémentation de DMARC

Pour mettre en œuvre DMARC, un enregistrement TXT doit être ajouté au DNS du domaine avec des paramètres spécifiant la politique souhaitée (par exemple, aucune action, mise en quarantaine ou rejet des messages non authentifiés). Voici un exemple d'enregistrement DMARC :

v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.com

Dans cet enregistrement, p